简单分析栈以及栈溢出

最新推荐文章于 2024-01-05 19:00:00 发布
最新推荐文章于 2024-01-05 19:00:00 发布
阅读量538 收藏
点赞数 1
文章标签: c语言 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/witwitwiter/article/details/122398882
版权

简单分析栈以及栈溢出

目标代码

#include<iostream>
#include<cstring>
bool IsPasswordOkay(void)
{
    char Password[12] = {0,1,2,3,4,5,7,8,9,10,11};//直接将数组填满
        for(int i=12;i<20;i++)//覆盖EBP和ESP所指向的返回地址
        {
                printf("NO.%d\t",i);
                scanf("%x",&Password[i]);
                printf("NO.%d put in hex is %c\n",i,Password[i]);
        }
        return 0==strcmp(Password,"goodpass");
}
int main()
{
        bool PwStatus;
        puts("Enter");
        PwStatus = IsPasswordOkay();
        if(PwStatus == false){
                puts("denied");
                exit(-1);
        }
        else puts("Access Granted");
}

这里将输入密码的地方直接用0~11填满,直接进行后面的覆盖。

由于EBP指针和ESP指向的地址都是8位16进制

在OD中可以看到存储Password数组的内容都是MOV BYTE PTR SS:[LOCAL.3]

其翻译过来是MOV BYTE PTR SS:[EBP-0C],0,表示把0赋值给距离EBP指针12(16进制为0C)的一个byte,那么装满了12个元素的字符数组Password的最后一个元素的地址[EBP-01]和EBP相邻。

CPU Disasm
地址        十六进制转储            命令                                       注释
00401048  |.  C645 F4 00    MOV BYTE PTR SS:[LOCAL.3],0
0040104C  |.  C645 F5 01    MOV BYTE PTR SS:[LOCAL.3+1],1
00401050  |.  C645 F6 02    MOV BYTE PTR SS:[LOCAL.3+2],2
00401054  |.  C645 F7 03    MOV BYTE PTR SS:[LOCAL.3+3],3
00401058  |.  C645 F8 04    MOV BYTE PTR SS:[LOCAL.2],4
0040105C  |.  C645 F9 05    MOV BYTE PTR SS:[LOCAL.2+1],5
00401060  |.  C645 FA 07    MOV BYTE PTR SS:[LOCAL.2+2],7
00401064  |.  C645 FB 08    MOV BYTE PTR SS:[LOCAL.2+3],8
00401068  |.  C645 FC 09    MOV BYTE PTR SS:[LOCAL.1],9
0040106C  |.  C645 FD 0A    MOV BYTE PTR SS:[LOCAL.1+1],0A
00401070  |.  C645 FE 0B    MOV BYTE PTR SS:[LOCAL.1+2],0B

而在堆栈中,可以看到程序中的存储情况。临时变量(指这里的数组Password)存储在栈中,并且最后一个元素的地址与EBP的地址相邻。

请添加图片描述

程序返回时ESP所指向的返回地址指向值是函数ISpasswordOkay下一句的地址

请添加图片描述

那么我们可以通过覆盖EBP指针和返回地址改变程序的返回,从而控制程序下一步的执行。

这里的控制方法是使用循环输入EBP和返回地址的值。

 for(int i=12;i<20;i++)//覆盖EBP和ESP所指向的返回地址
        {
                printf("NO.%d\t",i);
                scanf("%x",&Password[i]);
                printf("NO.%d put in hex is %c\n",i,Password[i]);
        }

EBP和返回地址分别占用4个字节故使用8次输入一个字节的内容。

目标为

CPU Disasm
地址        十六进制转储            命令                                       注释
0040117D  |> \68 50304300   PUSH OFFSET 00433050                     ; ASCII "Access Granted"

输入内容为

Enter
NO.12   30
NO.12 put in hex is 0
NO.13   ff
NO.13 put in hex is 
NO.14   19
NO.14 put in hex is 
NO.15   00
NO.15 put in hex is
NO.16   7d
NO.16 put in hex is }
NO.17   11
NO.17 put in hex is 
NO.18   40
NO.18 put in hex is @
NO.19   00
NO.19 put in hex is
Access Granted

这里EBP指针是main函数的EBP,返回地址是0040117D即将"Access Granted"入栈准备输出的地址

函数ISpasswordOkay进行返回时

CPU Disasm
地址        十六进制转储            命令                                       注释
004010F6  |.  8BE5          MOV ESP,EBP
004010F8  |.  5D            POP EBP
004010F9  \.  C3            RETN

MOV ESP,EBP:EBP的值会给到ESP,然后会将存储在栈中的main的EBP指针的值取出(这里进行的操作的结果就是在程序返回后,ESP的值改成了我们写入的0019FF30(其实原来就是这个值,只是象征性的写一下,意思就是ISpasswordOkay的EBP存储main的EBP地址,而main的EBP存储的是win32内核的EBP指针的地址)

POP EBP :会把之前存储在栈中的ISpasswordOkay的EBP的值取出,并且将栈顶弹出,栈顶弹出后(ESP指向返回地址!!!!!!)

EBP的值不对的话会使程序崩溃。(当然是试过了)

RETN 基于ESP现在指向的地址进行返回

结果就是成功的返回到输出Access Granted的地方。

witwitwiter
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
简单栈溢出 crack小实验(二)
m0_46827210的博客
01-07 332
参考《0day安全 软件漏洞分析》做的,个人学习记录 工具: x32dbg; 密码验证小程序源码: #include<stdio.h> #include<string.h> #define PASSWORD "1234567" int verify_password (char *password) { int authenticated=1; char buffer[8]; //设置一个数组来人为制造栈溢出 authenticated = strcmp(passwo
栈溢出利用软件漏洞分析入门
04-08
- **案例01**:通过对一个简单的程序进行分析,演示如何找到潜在的栈溢出漏洞并利用它。 - **Microsoft TIFF图像文件处理栈溢出漏洞(MS07-055)**:此案例分析了微软产品中一个著名的栈溢出漏洞,展示了如何通过恶意...
栈溢出
weixin_34419321的博客
10-07 114
是从高地址向低地址方向增涨,堆的方向相反。 在一次函数调用中,中将被依次压入:参数,返回地址,EBP。如果函数有局部变量,接下来,就在中开辟相应的空间以构造变量。 在C语言程序中,参数的压顺序是反向的。比如func(a,b,c)。在参数入的时候,是:先压c,再压b,最后a。在取参数的时候,由于的先入后 出,先取顶的a,再取b,最后取c。 C语言是不作栈溢出检查,如下代码可以正常...
JVM系列之实战内存溢出异常
weixin_34010566的博客
11-23 2655
实战内存溢出异常大家好,相信大部分Javaer在code时经常会遇到本地代码运行正常,但在生产环境偶尔会莫名其妙的报一些关于内存的异常,StackOverFlowError,OutOfMemoryError异常是最常见的。今天就基于上篇文章JVM系列之Java内存结构详解讲解的各个内存区域重点实战分析下内存溢出的情况。在此之前,我还是想多余累赘一些其他关于对象的问题,具体内容如下: 文章结构 ...
四种“栈溢出检测方法”实现分析(2种纯软件、一种纯硬件、一种软硬件结合)
最新发布
weixin_42031299的博客
01-05 757
介绍栈溢出检测机制
分析
u011392772的专栏
04-07 869
一、预备知识—程序的内存分配     一个由C/C++编译的程序占用的内存分为以下几个部分     1、区(stack)—   由编译器自动分配释放   ,存放函数的参数值,局部变量的值等。其     操作方式类似于数据结构中的。     2、堆区(heap)   —   一般由程序员分配释放,   若程序员不释放,程序结束时可能由OS回     收   。注意它与数据结构中的堆是两
堆和的详细分析
07-28
- 的空间相对有限,过度使用可能导致栈溢出。 ##### 2.2 堆(Heap) - **定义**:堆是一种动态内存分配区域,用于存储对象和数据结构等较长时间存在的数据。 - **特点**: - 分配和释放没有固定的模式,可以在...
顺序实现源码
10-19
### 顺序实现源码解析 #### 一、基础知识介绍 在计算机科学领域,(Stack)是一种非常重要的线性数据结构之一,它遵循...同时,代码还提供了简单的用户交互界面,使得用户能够直观地控制的操作流程。
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在上分配的内存不足,...
调用:为什么JavaScript代码会出现栈溢出.docx
07-14
"调用:为什么JavaScript代码会出现栈溢出" 在 JavaScript 中,调用是一种数据结构,用于管理函数调用关系。当我们编写 JavaScript 代码时,可能会遇到栈溢出的错误,这是因为 JavaScript 引擎使用调用来管理...
分析和详解
angry_youth的博客
05-13 710
数据结构-详细分析(Stack)”
VI___
05-26 4662
详细的在这篇文章里:http://happysneaker.com/article/78 一、什么是是一种数据结构,元素的进出方式类似于“子弹进出子弹夹”。 二、的作用?哪里会用到呢?(我理解还不太深,以后会补充) 三、的实现(C++、VS2017) 1、新建三个文件,分别为MyStack.h、MyStack.cpp、StackDemo.cpp,代码分别如下,注释详细。 ...
汇编如何判断溢出_CVE-2018-0802栈溢出漏洞个人分析
weixin_39941792的博客
12-06 222
本文为看雪论坛优秀文章看雪论坛作者ID:不懂就不懂概述该漏洞在微软针对CVE-2017-11882漏洞打上了kb4011604补丁后产生的,该漏洞同样是OLE 对象的“Equation Native”的数据流中的数据导致的,导致漏洞的对象是tagLOGFONT的字体名。在微软对CVE-2017-11882修补后,CVE-2018-0802的漏洞利用构造需要用到两个特别巧合的地方,最终导致了噩梦公式...
分析,堆,常量池
weixin_42264823的博客
04-15 404
,堆,常量池 此文半转载半自编 寄存器:最快的存储区, 由编译器根据需求进行分配,我们在程序中无法控制.2. (stack):存放基本类型的变量数据和对象的引用,但对象本身不存放在中,而是存放在堆(new 出来的对象)或者常量池中(字符串常量对象存放在常量池中。)3. 堆(heap):存放所有new出来的对象。4. 静态域:存放静态成员(static定义的)5. 常量池:存放字符串常量和...
(基础分析
LateNight_LL的博客
10-10 96
的介绍 ·是一个先入后出的有序序列 ·是 限制线性表中元素的插入和删除只能在线性表的一端进行的 一种特殊线性表 ·根据的定义可知,最先放进中的元素在底,最后放入的元素在顶,而删除元素刚好相反,最后放入的元素最先删除,最先放入的元素最后删除 的应用场景 ·子程序的调用:在跳往程序前,会先将下个指令的地址存到堆中,直到子程序执行完后再将地址取出,以回到原来的程序中。 ...
分析轨迹
博客
10-30 640
调试应用通常需要使用堆轨迹。每当您的应用因为错误或异常而崩溃时,都会生成堆轨迹。您还可以使用Thread.dumpStack()等方法输出应用代码中任意位置的堆轨迹。 在连接的设备上,当您的应用在调试模式下运行时,Android Studio 会在logcat视图中输出并突出显示堆轨迹,如图 1 所示。 图 1.Logcat 中的堆轨迹。 堆轨迹会显示导致抛出异常的...
c语言--帧结构分析
Devil_Net的博客
04-02 1659
这是一篇在自己写了很久的文章了,因为要清理电脑,放在博客上当备份。写在前边:帧结构对于初学C语言着,可能有些陌生。但是不能否认的是帧在C语言中扮演着很重要的角色,下边就分析下内存。如果真对C语言感兴趣的请耐心的看下边的叙述。帧说的简单点就是调用函数的过程中,为这个函数开辟一个空间,用来保存这个函数中的临时变量。而这个存储函数临时变量的空间就被称为空间。而这个空间就被称为帧。***...
函数调用分析
qq_43142509的博客
09-06 2374
操作系统把磁盘上可执行文件加载到内存运行之前, 需要做很多工作, 其中很重要的一件事就是把可执行文件中的代码, 数据存放到内存 中合适的位置, 并分配和初始化程序运行过程中必须的堆, 所有准备工作完成之后操作系统才会调度程序起来运行.进程在内存中布局主要分为4个区域: 代码区, 数据区, heap和stack.
多线程中CString内存泄漏的解决方法。
weixin_34297704的博客
12-02 629
‍多线程导致的内存泄漏DWORD WINAPI ConnectionWorkerProc(LPVOID pObject){CString strPath;CString strFileName;CString currentStr;TCHAR currentPath[512] = _T("");TCHAR sendPfilePath[256] = _T("");GetCurrentDirecto...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值