栈溢出实验

---

前言

由于不想做点鼠标的猴子，于是就自己尝试一下利用，结果拐弯就是一坑，这不是在踩坑的路上，就是在坑里摸爬滚打，太艰难了，幸亏有卓佬和晨佬指点，不然还在坑里

栈溢出原理

程序内存栈是从高地址往低地址分配内存的，正因如此，当程序在栈中，某个变量写入的字节超过了这个变量本身所申请的字节数时，会改变其他相邻变量的值，轻则可以使程序崩溃，重则可以使攻击者控制程序执行流程。

利用

代码

下面栈溢出实验的代码

#include <stdio.h>
void success() { printf("You Hava already controlled it."); }
void vulnerable()
{
  int val = 0;
  char s[10];
  gets(s);
  if (val == 1)
    printf("hunzi\n");
}
int main(int argc, char **argv)
{
  vulnerable();
  return 0;
}

编译生成exe后进行计算偏移

od分析

使用od打开该exe文件，下面为主要汇编代码，在主函数打断点后运行

在输入字符串后暂停，可以看到0060FEFC对应的00401400为vulnerable函数结束时跳转的地址。0060FEEC对应的是变量val的值，0060FEF8为vulnerable函数的基地址（EBP），从0060FEE2后存入用户输入的字符串，由于gets没有限制用户输入长度，所以可以构造输入来达到覆盖变量的值和函数返回地址
012345678916进制字符串为30313233 34353637 3839

实验

代码

由于在终端输入,x等字符都会算作一个单独字符，所以我们使用重定向来解决，先用c写一个简单payload程序

#include<stdio.h>
int main()
{
    int index = ; //填充字符
    int i;
    for (i = 0; i < index; ++i)
    {
        printf("A");
    }
    char a[100] = ""; //填充数据
    printf("%s", a);
    return 0;
}

修改变量

由于上面的代码的有一个变量val，我们就修改该变量。通过上面的内存栈图可以看到用户输入的字符串后面就是val变量的值，也就是说，我们需要先填充10个字符后紧跟上我们要改的数值，内存中采用的是小端存储，所以00000001在内存的形式为\x01\x00\x00\x00

修改返回地址

根据上面的计算，到返回地址需要填充26个字符，success函数的地址为004013B0，修改payload代码数据，生成exe

总结

刚开始用vs搞，死活无法成功，后来发现这得用gcc编译器，vs的编译器似乎有某种机制，不按正常套路出牌，把我还搞蒙蔽了，还有一些保护机制也要进行关闭，否则也没有办法成功，建议大家在linux上尝试，还有strcpy、strcmp等函数也存在这样的漏洞

大家可以关注菜鸡的公众号，有什么好想法也可以让我学习一下，有什么问题可以一块解决，由于二维码违规，下面是base64编码的文字

5b6u5L+h5YWs5LyX5Y+34oCc5a6J5YWo5re35a2Q4oCd77yM5Y+v5Lul55So5b6u5L+h5pCc5LiA5pCc77yM5q2j5Zyo5a6M5ZaE5LitLi4uLi4u