简单栈溢出

简单栈溢出<br> C语言中，每一个函数调用都会有自己的栈空间，WIN32下用2个寄存器来标识位于栈顶的工作单元:<br> EBP:指向当前工作栈区的底部<br> ESP:指向当前工作栈区的顶部<br> 函数调用步骤为:<br> (1) 参数从右至左依次入栈<br> (2) 返回地址入栈<br> (3) 代码区跳转<br> (4) 更改EBP,ESP寄存器,开辟新的栈工作区<br> 一个函数调用时的指令大致为<br>! push arg2;<br> push arg1;<br> push arg0;<br> push 返回地址;<br> push ebp; //保存旧的栈区底部<br> mov ebp,esp; //栈区单元切换<br> sub esp,xxx; //抬高栈顶，开辟新栈区<br>

注:栈在内存中是从高地址向低地址延伸的，即栈顶位于低地址单元。一个函数开始时，ebp指向返回地址.<br>

实例:<br> 一个C函数如下:<br> int verify(char* key)<br> {<br> int right;<br> char buf[8];<br> right = strcmp(“12345”, key);<br> strcpy(buf, key);<br> return right;<br> }<br> <img src="http://static.oschina.net/uploads/space/2013/0426/142247_RqGM_589185.jpg" /> 则工作栈区如图，此时，若构造key为 “1234123412341234xxxx”总共20字节,后面xxxx为4字节的16进制地址,则strcpy函数后xxxx将覆盖原来的返回地址，即可将程序流程定位到任何位置。<br>

在本机上调试之后发现，老EBP和第一个变量之间还有2个单元被占用，因此我将key修改为28个字节,恰好覆盖返回地址。(个人猜测是编译器不同造成的，原文作者采用的是VC6，我用的是gcc)

转载于:https://my.oschina.net/justplay8/blog/125438