2.栈溢出简单利用

看代码

#include <stdio.h> #include "windows.h" #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[8]; authenticated=strcmp(password,PASSWORD); strcpy(buffer,password); return authenticated; } int main() { int valid_flag=0; char password[1024]; while (1) { printf("请输入密码："); scanf("%s",password); valid_flag=verify_password(password); if (valid_flag) { printf("错误！\n"); } else { printf("正确！\n"); break; } } return 0; }
会点C语言就能看懂吧，有个验证密码是否正确的函数

要注意的一点是要关闭编译时的GZ选项，VC6以上版本关闭GS编译选项

具体方式：vc6工程-设置-c/c++-工程选项里面去掉GZ

vsC/C++ 代码生成 缓冲区安全检查 否

生成程序输入密码，当输入的为8位但是数值比1234567大时均会通过验证，这是为什么呢？

拿到OD中看下

当输入12345678时，堆栈中如下所示

0012FB18 34333231 ;4321 0012FB1C 38373635 ;8765 0012FB20 00000000; ;authenticated 0012FB24 /0012FF80; ;ebp

strcmp之后authenticated的值为0000001，strcpy函数用字符串12345678最后一个NULL给覆盖了这个值，所以会通过验证
当我们输入01234567时，因为比1234567小，所以strcmp会返回-1.补码为0xFFFFFFFF，OD中看下

0012FB18 33323130 ;3210 0012FB1C 37363534 ;7654 0012FB20 FFFFFF00 ;authenticated 0012FB24 /0012FF80 ;ebp
authenticated为FFFFFF，所以还是不会通过验证的
另外问下为什么我OD中那些像strcpy什么的函数都识别不出来，CALL的都是一个模块内的地址
是不是符号的问题？

下面我们再换种方式

#include <stdio.h> #include "windows.h" #define PASSWORD "1234567" char *p={ "\x12\x12\x12\x12\x12\x12\x12\x12"//buffer "\x34\x34\x34\x34"//authenticated "\xaa\xaa\xaa\xaa"//ebp "\xbb\xbb\xbb\xbb"//eip }; int verify_password(char *password) { int authenticated; char buffer[8]; authenticated=strcmp(password,PASSWORD); strcpy(buffer,password); return authenticated; } int main() { int valid_flag=0; char password[1024]; while (1) { printf("请输入密码："); scanf("%s",password); valid_flag=verify_password(p); if (valid_flag) { printf("错误！\n"); } else { printf("正确！\n"); break; } } return 0; }
为了方便测试直接在程序内定义一个字符串，这样编译运行后会弹出一个引用的0xbbbbbbbb内存不能 为read错误，原因就不多说了。

我们把这个0xxbbbbbbbb改为输出正确的分支就可以，拖到OD中找到输出正确的地址，是0x00401106，替换掉就OK 。

运行下就会输出正确了，不过程序之后会崩溃掉，因为栈内EBP被覆盖为无效值，使得程序在退出时堆栈无法平衡。