示例如下:
#include "stdafx.h"
#include "string.h"
char *shellcode="\x64\x65\x66\x67\x68\x69\x70\x71\x05\x10\x40\x00";
void fun1(int a, int b)
{
printf("fun1 run!para a=%d,b=%d\n",a,b);
char aa[4]={0};
strcpy(aa,shellcode);
}
void fun2(int a)
{
printf("fun2 run! para a=%d\n",a);
}
void fun3(int a,int b,int c)
{
printf("fun3 run! para a=%d,b=%d,c=%d\n",a,b,c);
}
int main(int argc, char* argv[])
{
printf("begin\n");
fun1(1,2);
printf("end\n");
return 0;
}
运行后发现,执行了fun2,但是没有输出end,而且还报错了,点开报错信息查看,发现这里是00000001.
解释一下,首先第一个,我们没有调用fun2,为什么还执行了呢?
因为在fun1中调用了一个strcpy函数:strcpy(aa,shellcode); ,也就是在这里发生了缓冲区溢出,当后四位也就是eip的值指向了fun2函数的地址,则返回地址就会直接跳转到fun2,去执行,所以fun2执行成功。
第二个,我们发现fun2执行成功,并输出了2,也就是给fun1传值的第二个参数,fun2调用的参数是直接把上一个堆栈的第二个参数输出了,那么第一个参数是什么?我们很容易从报错信息发现,此时的第一个参数到了报错信息里,也就是说,fun2的返回的地址应该是那个第一个参数对应的也就是00000001。
很显然,我们只要把这个值改成地址对应的整数值就不会出错了。接下来我们尝试一下:
由于反汇编出来的的地址是16进制的,所以我们要把它换成十进制;
进制转换工具:https://tool.oschina.net/hexconvert/
接下来我们可以看到,成功输出 end ,不过还是报错了。
接下来我们解决上一个报错的原因,我们可以看到,在未调用函数函数前的esp的值为,此时我们看到ebp的值被我们shellcode里面一些随意的数字覆盖掉了,这里就会导致栈校验的时候esp和ebp值不等,从而导致堆栈不平衡,于是我们做了如下操作:
首先,我们找到在调用fun1前的栈中esp和ebp的值(可以看见esp是0012ff34,ebp是0012ff80):
然后,我们找到在执行完fun2时esp和ebp的值(可以看见esp是0012ff38,ebp是71706968):
我们先平衡esp,因为开始是0012ff34,后来呢是0012ff38,所以我们可以直接sub esp 4
接下来我们平衡ebp,由于后面我们的ebp的值被shellcode里面一个随意的值覆盖掉了,所以我们只要把原来的ebp的值赋给ebp就可以了,即就是mov ebp,0x12ff80
于是,这串代码我们就可以成功执行了!
1490
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
