新的一年想把0day漏洞安全这本书读完，会一步一步踏踏实实的学完，和大家共享笔记。
环境我想用vs2019运行，老的编译器很多人不用了，渐渐的会被淘汰。用新的编译器可以锻炼下编译选项的功底。
我的笔记是配合书写的，理论部分会少用笔墨，着重在实验上。

这一部分书上讲解的足够了，如果暂时看不懂，多看看就好。功夫不负有心人，迟早学会的事情。

这一部分书上讲解的足够了，如果暂时看不懂，多看看就好。功夫不负有心人，迟早学会的事情。

VS2019 X86 Debug

属性->c/c++->常规->sdl检查关闭
属性->c/c++->代码运行->基本运行时检查->关闭【堆栈帧 (/RTCs)】
然后运行代码，输入qqqqqqqq即，可完成简单的溢出覆盖。

###

SDL关闭和头文件的增加为了让程序代码跑起来。
堆栈帧 (/RTCs)的关闭，则是为了让程序不在运行时检查程序。
如果不关闭堆栈帧 (/RTCs)，原本buffer[8]会因为检查多出8字节。然后程序报错，我原本以为时字符对齐的问题，检查后发现不是。是运行时检查的问题。


​

关闭堆栈帧 (/RTCs)的汇编代码：

开启堆栈帧 (/RTCs)的汇编代码：

通过代码的比较，我们可以发现，函数使用@_RTC_CheckStackVars@8进行检测，跟进去发现该函数容纳了两个_RTC_CheckStackVars，当检测不是0CCCCCCCCh的时候，会报错，并进入_RTC_StackFailure函数。

属性->c/c++->常规->sdl检查关闭
属性->c/c++->代码运行->基本运行时检查->关闭【堆栈帧 (/RTCs)】
​

修改上述配置后，发现无法正常运行，单步调试发现fopen断点出现问题。搜索查询后发现有些编译器不支持rw+的格式。这里我们将rw+修改为r+即可正确运行。r和r+的区别是r+拥有写权限。我大胆猜测，rw+不支持的原因是功能设计上的重复。

在这里我们运行还会遇到一个问题

我们需要把栈保护天使GS关闭。
属性->c/c++->代码运行->安全检查->关闭【禁用安全检查 (/GS-)】
这个时候代码就会报书上期望我们出现的错误，返回值出现错误。理论方面书上说的已经很全面，这里就简单画个图。

最终结果如下图，符合书上预期：

属性->c/c++->常规->sdl检查关闭
属性->c/c++->代码运行->基本运行时检查->关闭【堆栈帧 (/RTCs)】
属性->c/c++->代码运行->安全检查->关闭【禁用安全检查 (/GS-)】

创建一个文件，password.txt，构造shellcode。这里按照书上就好，然后看下面的步骤。

配置需要进行修改，因为要静态获取buffer地址，aslr随机基址要关闭，因为要在数据区执行代码，数据执行保护（DEP）也要关闭。
属性->链接器->高级->随机基址->否
属性->链接器->高级->数据执行保护（DEP）->否
​

password.txt，有两个地方需要修改，根据书中描述。
一个是Messagebox的地址，在下图中会讲解如何寻找。
一个是buffer的地址，下文中也会详细介绍细节。

我们在程序中添加messagebox，这样我们的代码就会调用User32.dll，我们使用dependency可以获取该模块函数地址。

根据书中方法，计算正确值

但是可以看到，程序并不能正确运行，这问题常出在现在的windows操作系统里，优先基址常常不是实际加载地址，在PE格式中DLL会给出一个优先加载地址，当程序并未占用该地址时，优先按照该基址进行计算。占用的话，会重新申请空间。
问题发生了，如何解决，这里使用Ollydbg查看模块地址。

下面是Ollydbg的正确解决方案
步骤1：点击E字母

步骤2：找到User32，此时使用该模块地址计算，可以获得正确地址，成功弹出messagebox
如果不想算，就按一下User32，快捷键ctrl+n，找到messageboxA一样可以。

注：
不知不觉三阶段快毕业了，非常感谢科锐的指导，科锐的耐心指导，才能够让我的基础越加雄厚。
非常感谢钱老师、张老师、王老师、田老师、唐老师、江老师。
尤其王老师，陪伴我们走了最长的路，还记得科锐学习的时候经常学崩溃，因为任务量多，对新手难。
有一次哭着和王老师聊天，王老师帮我排解压力、还把笔记借给我学习，非常感谢。
这是估计是我在科锐期间最后一次发帖了，在此纪念一年的学习时光。
祝科锐越来越好，也祝自己越来越好。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！