栈溢出的C代码
#include <stdio.h>
#include <windows.h>
#define PASSWORD "1234567"
int verify_password (char *password)
{
int authenticated;
char buffer[44];
authenticated=strcmp(password,PASSWORD);
strcpy(buffer,password);//over flowed here!
return authenticated;
}
main()
{
int valid_flag=0;
char password[1024];
FILE * fp;
LoadLibrary("user32.dll");//prepare for messagebox
if(!(fp=fopen("password.txt","rw+")))
{
exit(0);
}
fscanf(fp,"%s",password);
valid_flag = verify_password(password);
if(valid_flag)
{
printf("incorrect password!\n");
}
else
{
printf("Congratulation! You have passed the verification!\n");
}
fclose(fp);
}
- 这段代码添加了**LoadLibrary(“user32.dll”)**用于初始化载入user32.dll,以便之后函数中调用MessageBoxA函数
实验要求
- 希望运行程序可以弹出窗口,窗口标题和内容都为“failwest”
获取buff的基地址
- 根据C代码我们知道会读password.txt文件,我们可以构造该文本
- 我们可以在password.txt文本中写入11组“4321”,共44个字符。刚好覆盖buff
- 根据之前实验我们知道,字符串的结尾标识符会覆盖返回值,使得程序得到成功验证
根据上图知道buff基址为0x0018fab8
- 我们可以将返回地址改为buff基址,这样就可以执行buff中的指令
================================== - 接下来就是在buff中写入机器指令
获取MessageBoxA的地址
- 在0day2书籍中,作者指出使用vc的工具depends获取user32.dll的基址以及MessageBoxA的偏移地址
- 这样MessageBoxA的地址就是0x7DC50000+0x6FD1E
- 但是在之后的实验中我发现这个地址是错误的,至于为什么错误,小白还不了解,求大佬赐教。。。。。。。。
=================================
- 鉴于这种情况,我直接用OllyDbg打开有调用MessageBoxA函数的程序,来查看MessageBoxA地址
- 我们可以在OD中查看内存,来获取user32.dll的基址
- 这样MessageBoxA的地址就是0x75990000+0x6FD1E
- 我们也可以在调用MessageBoxA函数之前下断点,单步运行来查看该值
在password.txt中写入机器指令
这是文章中给出的调用MessageBoxA的相关机器指令,我们只需要修改倒数第二行MessageBoxA的地址
- 其余部分用NOP填充
- 将返回地址改为buff基址0x0018fab8
运行程序,发现弹出窗口
点击确定,程序就会崩溃
- 这是因为在执行MessageBoxA代码之后,没有写安全退出的代码。。。