尝试学学二进制安全,补补短板
这次是采用C语言,直接修改目标返回地址的内容,从而达到和使用memcpy等函数进行缓冲区溢出测试同样的效果。
之前在站里找了找案例,发现很多文章没有写明自己的程序是运行在怎样的环境下,以及是多少位系统,我将先把自己的环境列出来:
win10 基于X64 64位
VS2019
代码如下
#include<stdio.h>
#include<stdlib.h>
#include<string.h>
void func()
{
int a, * p;
//printf("%p\n", &a-3);
//printf("%p\n", &p);
p = (int*)(&a+4); //这里也可以写成p=(int*)((char*)&a+16);
*p = *p + 13;
//printf("%p\n", *p);
}
int main()
{
func();
printf("first call address rew..\n");
printf("second call address rew..\n");
/*printf("%d\n", sizeof(char));
printf("%d\n", sizeof(short));
printf("%d\n", sizeof(int));
printf("%d\n", sizeof(long));
printf("%d\n", sizeof(unsigned int));
printf("%d\n", sizeof(int *));
printf("%d\n", sizeof(char *));*/
return 0;
}
可以看到程序跳过了第一个printf语句,这也就是改变栈中返回地址的结果。
以下对不理解的朋友进行程序分析:
函数调用过程希望看这个理解,很简单:
https://blog.csdn.net/l198738655/article/details/53761435(函数调用堆栈过程)
进入func后,先申请的变量a在EBP以上一个地址,变量p再往上一个地址。由于一个地址单元大小为64位,合计两个int大小,那么:
p = (int*)(&a+4);
也就是使p指向a以下的第二个地址单元。通过上边的博客,我们应该了解到,a下面是EBP,再下面是back address,这个位置也就是我们要改变的地方。
由于以下语句:
printf("first call address rew..\n");
占13×64个位,我们更改其内容后函数返回被更改过的断点位置执行。我们看到:
second call address rew…
完毕。