0day 第10章--10.5节：修改data中的cooki突破GS

实验原理：

修改.data中保存的cookie，然后替换掉检查时的cookie，即可绕过对cookie的检查！

实验环境：

winxp sp3 vs2010

实验要求：

优化全部禁用、release版本

源程序：

OD载入程序，在两处printf处下断点。首先得到malloc后，str的地址：0x003A4ED0

F7单步向下，得到shellcode的地址：0x00403000

单步继续，进入test函数，来到security_cookie处，
发现程序是从0x004030DC处取出一个数，与EBP(0x0012FF64)，得到cookie的值，并把该值存入[local.1]，即0x0012FF60


既然找到了cookie的来源，那么只要我们把0x004030DC中的值用我们传入的参数，如：0x90909090代替，那么我们就知道cookie的值了！
根据程序，我们可以通过test函数，将str+i中的内容修改为src（shellcode）的内容！（这里str+i为0x004030DC，src为0x90909090）
于是，而str的地址是0x003A4ED0，如果i等于0x5E20C（0x004030DC和0x003A4ED0的差），那么就能将0x004030DC中的内容改为0x90909090！

单步继续，运行到strcpy之前，发现果然0x004030DC中的内容修改为0x90909090了！

单步继续，找到dest的地址为0x0012FE94

继续单步，则程序从0x0012FF60中取出cookie进行cookie的检查，而0x0012FF64中存的是EBP，则0x0012FF68中存的就是返回地址，
如果我们将返回地址覆盖为dest的地址0x0012FE94,则程序就能执行shellcode了！

于是我们的shellcode这样布置：

我们的源代码就是这样写的，
F8单步，ret后转入0x0012FE94的shellcode

F9运行，则弹框出现！