经典缓冲区溢出小例子
文章目录
经典缓冲区溢出小例子
0.说明
1.基于缓冲区溢出的HelloWord
2.永不停止的HelloWord
0.说明
两个小程序,C语言编写,VC++6.0编译
调试用的OD。
小程序来源:“滴水逆向”的视频。
1.基于缓冲区溢出的HelloWord
#includevoid HelloWord()
{
printf("Hello World");
getchar();
}
void Fun()
{
int arr[5] = {1,2,3,4,5};
arr[6] = (int) HelloWord;
}
int main()
{
Fun();
return 0;
}
程序展示:
为什么会输出“Hello Word”??
调试过程:
int arr[5] = {1,2,3,4,5};
注意到汇编语言中,一个数组声明时,arr[0]到arr[4]在堆栈中的位置分别是[EBP-0x14]到[EBP-0x4],也就是先声明4*5(字节)的堆栈空间,在从低位向高位存储。
注意下断点那一行代码,等价于C源码中 arr[6] = (int) HelloWord
0041097B MOV DWORD PTR SS:[EBP+0x4],cccchhhh.0040>
将子函数HelloWord的函数地址MOV到[EBP+0x4],而这个地址用来存放上一个函数的返回地址,等执行到下面RETN语句是,本该是pop到eip里的函数返回地址变为了HelloWord的地址,函数继续运行,输出“Hello Word”。
2.永不停止的HelloWord
#includevoid Fun()
{
int i;
int arr[5] = {0};
for( i=0 ; i<=5 ;i++)
{
arr[i]=0;
printf("Hello Word\n");
}
}
int main()
{
Fun();
return 0;
}
注意for循环i<=5,意思是要循环6次,但是只声明arr[5],也就是arr[0]到arr[4]
当循环到第六次时,会有arr[5] = 0,这就会发生溢出。
程序展示:
调试过程:
注意在汇编中,arr[0]到arr[4]的堆栈地址依次是[EBP-0x18]到[EBP-0x8]。
注意[EBP-0x4]是子函数的第一个局部变量,也就是C源码对应for循环中的变量i。
而第六次循环( 此时i=5 )时出现的语句:arr[5] = 0 , 数组arr发生缓冲区溢出,按照数组在堆栈中的存储顺序,arr[5]=0会存储在[EBP-0x4],而这个地址正是变量i的堆栈地址。
相当于数组arr发生缓冲区溢出覆盖了变量i,将变量i置为0,使for循环不停止,i又继续从0自增到5,又被缓冲区溢出的数据置为0,反复循环,致使“Hello Word”永不停止。