- 首先构建一个含有缓冲区溢出的C语言程序。
源码如下:
#include <stdio.h>
#include <windows.h>
#define PASSWORD "1234567"
int verify (char * password)
{
int flag;
char buffer[44];
flag = strcmp(password,PASSWORD);
strcpy(buffer,password);
return flag;
}
void main()
{
int vaild_flag=0;
char password[1024];
FILE * fp;
LoadLibrary("user32.dll");
if (!(fp=fopen("password.txt","rw+")))
{
exit(0);
}
fscanf(fp,"%s",password);
vaild_flag = verify(password);
if (vaild_flag)
{
printf("Incorrect!!!!!!\n");
}
else
{
printf("Congratulation!Gay!you have passed!!!!!\n");
}
fclose(fp);
getchar();
}
因为在程序输入中手动输入shellcode较为困难。所以我们用password.txt作为输入源,shellcode也将写入其中。
从程序可知当我们输入错误的密码的时候。
flag在内存的值为00000001,此时弹出提示信息“Incorrect!!!!!!”。那么有什么方法在不合法的输入前提下可以让flag为00000000呢 ?
根据栈的结构函数在栈中的空间分配应该为以下所示:
buffer[0…3]
……
buffer[40…43]
flag
EBP
返回地址
- C语言中有一个字符结束标志'\0'
我们可以通过填满缓冲区使位于字符末位的0,跨界溢出到flag的1上使flag=00000000。
未受溢出的flag
受溢出影响的flag
用44个字符填充buffer
- 既然已经覆盖了邻接变量flag,那么我们是不是也可以覆盖掉返回地址,使得返回地址指向我们想让执行的地方并在其中放上shellcode。
当然只需要在password中再写入三个dword,第一个覆盖flag,第二个覆盖EBP,第三个覆盖返回地址。
-
在password.txt中放入shellcode并使返回地址指向buffer的偏移地址0012FAEC(ollydbg中得到)。
最后四位是buffer地址(注意顺序)
shellcode成功执行
shellcode的编写
用汇编语言编写之后(可用高级语言通过编译器查看)
用所用机器的CPU指令集,将其写为16进制代码。Shellcode便制作成功了。
此处的shellcode是调用系统的动态链接库中的messageboxA.dll
将地址写入
用APIAdress.exe可以查看API所在的入口地址。
