1.引言

2.工具

3.栈溢出的patch

我们可以看到,buf距离ebp（栈底）距离0x28，但是输入却能够输入0x100，很明显的栈溢出漏洞

可以看到这里参数为0x100，因为32位程序是通过栈传参的。

再装好keypatch之后，会在Edit选项栏中出现keypatch的选项，接着选中参数0x100，点击patch

将长度改成小于0x28即可，这里需要注意输入长度要为16进制。这里输入输入3个nop指令是因为这条指令本身Size为5，然后push 0x20为2，因此需要填充三个nop与原本的Size一致。

我们zhidao64位下是通过寄存器传参数的，因此我们再找长度的参数时，找到相应的寄存器即可

4.格式化字符串的patch

若程序中即存在printf函数，又存在puts函数，那么我们可以将printf函数修改为puts函数

我们找到puts函数的plt表地址，因为puts函数也是带一个参数，并且puts函数与printf函数的plt表地址长度一致，因此直接修改不会造成程序down掉

修改成puts函数的地址

加入一个%s参数

可以看到除了传递格式化字符串参数以为，程序还存在mov eax,0，我们可以利用该指令修改，但是想要修改为%s还有一个问题，程序中不存在%s这个字符，就需要我们手动添加进去

我们可以在.eh_frame这个段中填入%s这个字符串，这个段中的信息不会影响程序的正常运行。

记住填入的地址0x400c01

完成参数修改

例子

free完之后没有将指针置空，很明显的uaf漏洞，想要修补uaf漏洞，则将free之后的指针置空即可

可以看到在调用完free之后，没有多少空间可以写下新的汇编代码，因此需要与上一个方法一致，跳转到.eh_frame段上

将call free指令修改为跳转指令，在.eh_frame段上写汇编代码

patch效果

• 对于栈溢出来说，patch比较简单，只需要修改输入长度即可
• 对于格式化字符串漏洞来说，若有puts函数则将printf函数修改为puts函数，若没有则在.eh_frame段上创造%s
• 对于堆的uaf来说，漏洞patch思路很简单，只需要将指针置空即可，但是需要了解汇编代码。