[原创]简单的栈溢出学习-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]简单的栈溢出学习

2019-9-21 11:33 7032

[原创]简单的栈溢出学习

jieSh

2019-9-21 11:33

7032

先上示例代码

#define _CRT_SECURE_NO_DEPRECATE
#include<stdio.h>
#include<string.h>
#include<stdlib.h>
const char PASSWORD[] = "15pb";
int main()
{
	int nFlag = 0;
	char szBuffer[8] = { 0 };
	char szPassWord[12] = { 0 };
	while (true) {
		printf("Please input password:");
		scanf("%s", szPassWord);
		nFlag = strcmp(PASSWORD, szPassWord);
		strcpy(szBuffer, szPassWord);
		if (!nFlag) {
			printf("Hello 15pb(Flag = %d)\n", nFlag);
			system("pause");
		}
	}
	return 0;
}

该代码正确的密码是 “15pb”，若输入成功，会输出 "Hello 15pb(Flag = 0)" ，否则需要重新输入

首先随意输入一个错误密码1234567890，单步调试，观察内存，可以看到字符数组 szPassWord 和 szBuffer，以及标识符 nFlag 的存储位置。

其中 szPassWord 占用12个字节，szBuffer 占用8个字节，但使用 strcpy 函数之后将 szPassWord 数组里的11个字节复制到 szBuffer 里，造成栈溢出。若输入的密码足够长，最终将 nFlag 的第一个字节修改为 00，则也会输出 "Hello 15pb(Flag = 0)" ，达到目的。

但要注意的是，根据 strcmp 函数，输入的密码的 ASCLL 码值要小于 "15pb"，这样 nFlag 值是1，只要输入16个字符，其最后的字符串结束符0就能修改1为0

输入密码1515151515151515，查看内存，发现 nFlag 被修改为0，能够输出

若输入密码1616161616161616，其 ASCLL 码值大于原密码的 ASCLL 码，nFlag 为-1，在内存中是 ff ff ff ff，复制之后0修改第一位 ff 后变为 00 ff ff ff，就无法输出

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

收藏・8

点赞・1

打赏

最新回复 (18)
pureGavin 雪币： 12120 活跃值： (15555) 能力值： ( LV12，RANK：240 ) 在线值：发帖 66 回帖 1343 粉丝 203 关注私信	pureGavin 2 2019-9-21 15:24 2 楼 0 如果是栈溢出的话，需要楼主证明能通过漏洞直接得到shell，但是楼主好像没做下去啊。。。
jieSh 雪币： 4501 活跃值： (755) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jieSh 2019-9-21 18:27 3 楼 0 pureGavin 如果是栈溢出的话，需要楼主证明能通过漏洞直接得到shell，但是楼主好像没做下去啊。。。初学软件安全，只能做到这一步
pureGavin 雪币： 12120 活跃值： (15555) 能力值： ( LV12，RANK：240 ) 在线值：发帖 66 回帖 1343 粉丝 203 关注私信	pureGavin 2 2019-9-21 18:49 4 楼 1 jieSh 初学软件安全，只能做到这一步 Explanation: 6a 0b push 0xb 58 pop eax 99 cdq 68 2f 73 68 00 push 0x68732f 68 2f 62 69 6e push 0x6e69622f 89 e3 mov ebx,esp 31 c9 xor ecx,ecx cd 80 int 0x80 这是我在用的shellcode，目前是我能找到的最短的版本了（大神勿喷），楼主可以拿去学习
jieSh 雪币： 4501 活跃值： (755) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jieSh 2019-9-21 19:19 5 楼 0 pureGavin Explanation: 6a 0b       &a ... 谢谢大佬
pureGavin 雪币： 12120 活跃值： (15555) 能力值： ( LV12，RANK：240 ) 在线值：发帖 66 回帖 1343 粉丝 203 关注私信	pureGavin 2 2019-9-21 21:15 6 楼 0 jieSh 谢谢大佬有不懂的就问我，我尽量帮你
kanxueqwe 雪币： 432 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	kanxueqwe 2019-9-26 11:50 7 楼 0 大佬，请问一下，上面截图中用的软件是什么调试软件
任蝶飞雪币： 4735 活跃值： (2941) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 249 粉丝 0 关注私信	任蝶飞 2019-9-26 15:58 8 楼 0 kanxueqwe 大佬，请问一下，上面截图中用的软件是什么调试软件就是VS。。。
有毒雪币： 12715 活跃值： (16347) 能力值： (RANK：730 ) 在线值：发帖 53 回帖 480 粉丝 310 关注私信	有毒 10 2019-9-27 09:51 9 楼 0 15派？
jieSh 雪币： 4501 活跃值： (755) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jieSh 2019-9-27 10:16 10 楼 0 有毒 15派？是的
zmrbak 雪币： 768 活跃值： (226) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 17 粉丝 29 关注私信	zmrbak 2019-9-27 10:31 11 楼 0 #define _CRT_SECURE_NO_DEPRECATE 这个堆栈溢出，完全是程序员故意搞的（或者是演示性质的）。去掉上面的define，在VS中不能编译通过。
jieSh 雪币： 4501 活跃值： (755) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jieSh 2019-9-27 10:58 12 楼 0 zmrbak #define _CRT_SECURE_NO_DEPRECATE 这个堆栈溢出，完全是程序员故意搞的（或者是演示性质的）。去掉上面的define，在VS中不能编译通过。就是教学演示
gaoliangk 雪币： 720 活跃值： (343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 1 关注私信	gaoliangk 2019-10-1 13:46 13 楼 0 培训班的图文并茂，确实不错
kanxueqwe 雪币： 432 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	kanxueqwe 2019-10-14 18:53 14 楼 0 请问，为什么对于基于seh的漏洞在英文系统中测试shell code成功，在英文系统就不行啊
kanxueqwe 雪币： 432 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	kanxueqwe 2019-11-20 14:55 15 楼 0 大佬，请问为什么使用OD调试时候，对于中文系统nseh = "\xeb\x06\x90\x90" 装入内存时候\xeb\x06会变成一个字节\3F,从而不能出发漏洞
jieSh 雪币： 4501 活跃值： (755) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jieSh 2019-11-23 08:09 16 楼 0 kanxueqwe 大佬，请问为什么使用OD调试时候，对于中文系统nseh = "\xeb\x06\x90\x90" 装入内存时候\xeb\x06会变成一个字节\3F,从而不能出发漏洞，我只是初学者，不是大佬，您的问题我也不会
kanxueqwe 雪币： 432 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	kanxueqwe 2019-11-23 12:19 17 楼 0 jieSh [em_85]，我只是初学者，不是大佬，您的问题我也不会还是谢谢你最后于 2019-11-23 12:19 被kanxueqwe编辑，原因：
ooOOOoomxw 雪币： 38 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 2 关注私信	ooOOOoomxw 2019-11-24 16:51 18 楼 0 kanxueqwe 大佬，请问为什么使用OD调试时候，对于中文系统nseh = "\xeb\x06\x90\x90" 装入内存时候\xeb\x06会变成一个字节\3F,从而不能出发漏洞 1. 什么api读入的用户数据 2. debug 自查吧
kanxueqwe 雪币： 432 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	kanxueqwe 2019-11-26 09:42 19 楼 0 ooOOOoomxw 1. 什么api读入的用户数据 2. debug 自查吧好的，多谢
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

jieSh

发帖

回帖

RANK

关注

私信

他的文章

[原创]自己编写的小程序实现简单的加壳脱壳

[原创]简单的栈溢出学习

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
pureGavin 雪币： 12120 活跃值： (15555) 能力值： ( LV12，RANK：240 ) 在线值：发帖 66 回帖 1343 粉丝 203 关注私信	pureGavin 2 2019-9-21 15:24 2 楼 0 如果是栈溢出的话，需要楼主证明能通过漏洞直接得到shell，但是楼主好像没做下去啊。。。
jieSh 雪币： 4501 活跃值： (755) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jieSh 2019-9-21 18:27 3 楼 0 pureGavin 如果是栈溢出的话，需要楼主证明能通过漏洞直接得到shell，但是楼主好像没做下去啊。。。初学软件安全，只能做到这一步
pureGavin 雪币： 12120 活跃值： (15555) 能力值： ( LV12，RANK：240 ) 在线值：发帖 66 回帖 1343 粉丝 203 关注私信	pureGavin 2 2019-9-21 18:49 4 楼 1 jieSh 初学软件安全，只能做到这一步 Explanation: 6a 0b push 0xb 58 pop eax 99 cdq 68 2f 73 68 00 push 0x68732f 68 2f 62 69 6e push 0x6e69622f 89 e3 mov ebx,esp 31 c9 xor ecx,ecx cd 80 int 0x80 这是我在用的shellcode，目前是我能找到的最短的版本了（大神勿喷），楼主可以拿去学习
jieSh 雪币： 4501 活跃值： (755) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jieSh 2019-9-21 19:19 5 楼 0 pureGavin Explanation: 6a 0b       &a ... 谢谢大佬
pureGavin 雪币： 12120 活跃值： (15555) 能力值： ( LV12，RANK：240 ) 在线值：发帖 66 回帖 1343 粉丝 203 关注私信	pureGavin 2 2019-9-21 21:15 6 楼 0 jieSh 谢谢大佬有不懂的就问我，我尽量帮你
kanxueqwe 雪币： 432 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	kanxueqwe 2019-9-26 11:50 7 楼 0 大佬，请问一下，上面截图中用的软件是什么调试软件
任蝶飞雪币： 4735 活跃值： (2941) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 249 粉丝 0 关注私信	任蝶飞 2019-9-26 15:58 8 楼 0 kanxueqwe 大佬，请问一下，上面截图中用的软件是什么调试软件就是VS。。。
有毒雪币： 12715 活跃值： (16347) 能力值： (RANK：730 ) 在线值：发帖 53 回帖 480 粉丝 310 关注私信	有毒 10 2019-9-27 09:51 9 楼 0 15派？
jieSh 雪币： 4501 活跃值： (755) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jieSh 2019-9-27 10:16 10 楼 0 有毒 15派？是的
zmrbak 雪币： 768 活跃值： (226) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 17 粉丝 29 关注私信	zmrbak 2019-9-27 10:31 11 楼 0 #define _CRT_SECURE_NO_DEPRECATE 这个堆栈溢出，完全是程序员故意搞的（或者是演示性质的）。去掉上面的define，在VS中不能编译通过。
jieSh 雪币： 4501 活跃值： (755) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jieSh 2019-9-27 10:58 12 楼 0 zmrbak #define _CRT_SECURE_NO_DEPRECATE 这个堆栈溢出，完全是程序员故意搞的（或者是演示性质的）。去掉上面的define，在VS中不能编译通过。就是教学演示
gaoliangk 雪币： 720 活跃值： (343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 1 关注私信	gaoliangk 2019-10-1 13:46 13 楼 0 培训班的图文并茂，确实不错
kanxueqwe 雪币： 432 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	kanxueqwe 2019-10-14 18:53 14 楼 0 请问，为什么对于基于seh的漏洞在英文系统中测试shell code成功，在英文系统就不行啊
kanxueqwe 雪币： 432 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	kanxueqwe 2019-11-20 14:55 15 楼 0 大佬，请问为什么使用OD调试时候，对于中文系统nseh = "\xeb\x06\x90\x90" 装入内存时候\xeb\x06会变成一个字节\3F,从而不能出发漏洞
jieSh 雪币： 4501 活跃值： (755) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jieSh 2019-11-23 08:09 16 楼 0 kanxueqwe 大佬，请问为什么使用OD调试时候，对于中文系统nseh = "\xeb\x06\x90\x90" 装入内存时候\xeb\x06会变成一个字节\3F,从而不能出发漏洞，我只是初学者，不是大佬，您的问题我也不会
kanxueqwe 雪币： 432 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	kanxueqwe 2019-11-23 12:19 17 楼 0 jieSh [em_85]，我只是初学者，不是大佬，您的问题我也不会还是谢谢你最后于 2019-11-23 12:19 被kanxueqwe编辑，原因：
ooOOOoomxw 雪币： 38 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 2 关注私信	ooOOOoomxw 2019-11-24 16:51 18 楼 0 kanxueqwe 大佬，请问为什么使用OD调试时候，对于中文系统nseh = "\xeb\x06\x90\x90" 装入内存时候\xeb\x06会变成一个字节\3F,从而不能出发漏洞 1. 什么api读入的用户数据 2. debug 自查吧
kanxueqwe 雪币： 432 活跃值： (141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	kanxueqwe 2019-11-26 09:42 19 楼 0 ooOOOoomxw 1. 什么api读入的用户数据 2. debug 自查吧好的，多谢
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复