-
-
[原创]简单的栈溢出学习
-
发表于: 2019-9-21 11:33
-
先上示例代码
#define _CRT_SECURE_NO_DEPRECATE
#include<stdio.h>
#include<string.h>
#include<stdlib.h>
const char PASSWORD[] = "15pb";
int main()
{
int nFlag = 0;
char szBuffer[8] = { 0 };
char szPassWord[12] = { 0 };
while (true) {
printf("Please input password:");
scanf("%s", szPassWord);
nFlag = strcmp(PASSWORD, szPassWord);
strcpy(szBuffer, szPassWord);
if (!nFlag) {
printf("Hello 15pb(Flag = %d)\n", nFlag);
system("pause");
}
}
return 0;
}该代码正确的密码是 “15pb”,若输入成功,会输出 "Hello 15pb(Flag = 0)" ,否则需要重新输入
首先随意输入一个错误密码1234567890,单步调试,观察内存,可以看到字符数组 szPassWord 和 szBuffer,以及标识符 nFlag 的存储位置。
其中 szPassWord
占用12个字节,szBuffer 占用8个字节,但使用 strcpy 函数之后将
szPassWord 数组里的11个字节复制到 szBuffer 里,造成栈溢出。若输入的密码足够长,最终将 nFlag 的第一个字节修改为 00,则也会输出
"Hello 15pb(Flag = 0)"
,达到目的。
但要注意的是,根据 strcmp 函数,输入的密码的
ASCLL 码值要小于 "15pb",这样 nFlag 值是1,只要输入16个字符,其最后的字符串结束符0就能修改1为0
输入密码1515151515151515,查看内存,
发现 nFlag 被修改为0,能够输出
若输入密码1616161616161616,
其
ASCLL 码值大于原密码的
ASCLL 码,nFlag 为-1,在内存中是 ff ff ff ff,复制之后0修改第一位 ff 后变为 00 ff ff ff,就无法输出
#define _CRT_SECURE_NO_DEPRECATE
#include<stdio.h>
#include<string.h>
#include<stdlib.h>
const char PASSWORD[] = "15pb";
int main()
{
int nFlag = 0;
char szBuffer[8] = { 0 };
char szPassWord[12] = { 0 };
while (true) {
printf("Please input password:");
scanf("%s", szPassWord);
nFlag = strcmp(PASSWORD, szPassWord);
strcpy(szBuffer, szPassWord);
if (!nFlag) {
printf("Hello 15pb(Flag = %d)\n", nFlag);
system("pause");
}
}
return 0;
}该代码正确的密码是 “15pb”,若输入成功,会输出 "Hello 15pb(Flag = 0)" ,否则需要重新输入
首先随意输入一个错误密码1234567890,单步调试,观察内存,可以看到字符数组 szPassWord 和 szBuffer,以及标识符 nFlag 的存储位置。
其中 szPassWord
占用12个字节,szBuffer 占用8个字节,但使用 strcpy 函数之后将
szPassWord 数组里的11个字节复制到 szBuffer 里,造成栈溢出。若输入的密码足够长,最终将 nFlag 的第一个字节修改为 00,则也会输出
"Hello 15pb(Flag = 0)"
,达到目的。
但要注意的是,根据 strcmp 函数,输入的密码的
ASCLL 码值要小于 "15pb",这样 nFlag 值是1,只要输入16个字符,其最后的字符串结束符0就能修改1为0
输入密码1515151515151515,查看内存,
发现 nFlag 被修改为0,能够输出
若输入密码1616161616161616,
其
ASCLL 码值大于原密码的
ASCLL 码,nFlag 为-1,在内存中是 ff ff ff ff,复制之后0修改第一位 ff 后变为 00 ff ff ff,就无法输出
该代码正确的密码是 “15pb”,若输入成功,会输出 "Hello 15pb(Flag = 0)" ,否则需要重新输入
首先随意输入一个错误密码1234567890,单步调试,观察内存,可以看到字符数组 szPassWord 和 szBuffer,以及标识符 nFlag 的存储位置。
其中 szPassWord
占用12个字节,szBuffer 占用8个字节,但使用 strcpy 函数之后将
szPassWord 数组里的11个字节复制到 szBuffer 里,造成栈溢出。若输入的密码足够长,最终将 nFlag 的第一个字节修改为 00,则也会输出
"Hello 15pb(Flag = 0)"
,达到目的。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
初学软件安全,只能做到这一步 |
|
|
Explanation: 6a 0b push 0xb 58 pop eax 99 cdq 68 2f 73 68 00 push 0x68732f 68 2f 62 69 6e push 0x6e69622f 89 e3 mov ebx,esp 31 c9 xor ecx,ecx cd 80 int 0x80 这是我在用的shellcode,目前是我能找到的最短的版本了(大神勿喷),楼主可以拿去学习
|
|
|
谢谢大佬 |
|
|
有不懂的就问我,我尽量帮你 |
|
|
|
|
|
就是VS。。。 |
|
|
|
|
|
是的 |
|
|
|
|
|
就是教学演示 |
|
|
培训班的图文并茂,确实不错
|
|
|
|
|
|
|
|
|
 ,我只是初学者,不是大佬,您的问题我也不会
|
|
|
还是谢谢你
最后于 2019-11-23 12:19
被kanxueqwe编辑
,原因:
|
|
|
1. 什么api读入的用户数据 2. debug 自查吧 |
|
|
好的,多谢 |
jieSh
有毒
