[技术专题]软件漏洞分析入门_4_初级栈溢出C_修改程序流程-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[技术专题]软件漏洞分析入门_4_初级栈溢出C_修改程序流程

2007-12-15 01:01 34981

[技术专题]软件漏洞分析入门_4_初级栈溢出C_修改程序流程

failwest

2007-12-15 01:01

34981

查看主题内容

收藏・21

点赞・7

打赏

最新回复 (90) ◀ 1 2 3 4 ▶
书生lee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	书生lee 2007-12-28 20:03 51 楼 0 将password.txt保存后，用OllyDbg加载程序并调试，可以看到最终的栈状态如下表所示：这是啥意思啊?怎么加载? 我很菜...不号意思...
书生lee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	书生lee 2007-12-29 00:32 52 楼 0 又研究一晚上,..还是不明白..我已经填好PASSWORA把程序将跳转到验证通过的分支位置搞好了,但是如何....加载?
尼摩nemo 雪币： 200 能力值： (RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	尼摩nemo 2007-12-29 14:44 53 楼 0 [QUOTE=failwest;392030] 局部变量名内存地址偏移3处的值偏移2处的值偏移1处的值偏移0处的值 buffer[0~3] 0x0012FB14 0x31 (‘1’) 0x32 (‘2’) 0x33 (‘3’) 0x34 (‘4’) buffer[4~7] 0x0012FB18 0x31 (‘1’) 0x32 (‘2’) 0x33 (‘3’) 0x34 (‘4’)[/QUOTE] 本来以为内存字节顺序写反了，仔细一看，原来是偏移大的在前面，哈哈…… 讲得很透彻，辛苦了
tjszlqq 雪币： 776 活跃值： (1526) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 867 粉丝 1 关注私信	tjszlqq 1 2008-1-2 12:33 54 楼 0 真正的高人啊！
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 230 粉丝 0 关注私信	zhtjia 2008-1-2 13:50 55 楼 0 真的牛人,顶...
ljseven 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	ljseven 2008-1-2 20:14 56 楼 0 学习，感谢！
shinechou 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	shinechou 2008-1-10 17:43 57 楼 0 大侠辛苦了，太棒了，希望能继续啊！
eanson 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	eanson 1 2008-1-17 12:14 58 楼 0 [QUOTE=黑色猎鹰;392577]明天等着做沙发？？顺便问下，为什么：仍然出于字节对齐、容易辨认的目的，我们将“4321”作为一个输入单元。 buffer[8]共需要2个这样的单元第3个输入单元将authenticated覆盖第4个输入单元将前栈帧EBP值覆盖第5个输入单元将返回地址覆盖这个是怎么得到的啊？？？是根据程序默认的处理还是用OD调试的好象本文没说怎么个"通过动态调试，发现栈帧中的变量分布情况基本没变。这样我们就可以按照如下方法构造password.txt中的数据："...[/QUOTE] 同问楼主，如何通过动态调试，弄清楚栈帧中的变量分布情况？感觉这是关键。谢谢楼主的好文！
bruclan 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	bruclan 2008-1-18 23:11 59 楼 0 哈哈，成功，真的感觉受益匪浅，谢谢楼主无私奉献的国际共产主义精神，我会继续努力学校去的
Macinsh 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	Macinsh 2008-1-19 15:12 60 楼 0 好帖,学习!
xujiejun 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	xujiejun 2008-1-21 23:13 61 楼 0 受益匪浅啊
sdmhfeng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	sdmhfeng 2008-1-24 18:47 62 楼 0 太好了，正在学习。
俊虎雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	俊虎 2008-1-24 21:18 63 楼 0 根据指导，自己动手丰衣足食
高亮雪币： 171 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	高亮 2008-1-25 17:55 64 楼 0 晕，一直以为int是16位的，原来是32,自己的基础不牢哦~ 遇到这样的帖子就要狂顶！又学习了 ps: 啊哈哈哈，我做最后一排;(
creatorwm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	creatorwm 2008-1-27 16:02 65 楼 0 谢谢楼主分享了说的很详细啊偶学习了
svszmh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	svszmh 2008-1-27 16:12 66 楼 0 厉害,真厉害
Fido 雪币： 107 活跃值： (311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1024 粉丝 1 关注私信	Fido 2008-2-4 17:15 67 楼 0 楼主的代码风格我是不敢苟同的。。。也许你在编译选项里面已经加了STDLIB.H 但是我们确实如果VC6.0来编译的话，缺少stdlib.h头，报错为exit函数未定义不喜欢你MAIN函数前不加VOID，，，不喜欢你MAIN函数里不加RETRUN。。。技术水平我倒是膜拜了！
流水寒雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	流水寒 2008-2-4 22:46 68 楼 0 慢慢的学习中谢谢了
task 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 43 粉丝 0 关注私信	task 2008-2-25 15:59 69 楼 0 怎么不行啊?在DOS下搞出这个E:\sun\a>cl a2.cpp Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 12.00.8168 for 80x86 Copyright (C) Microsoft Corp 1984-1998. All rights reserved. a2.cpp a2.cpp(7) : error C2065: 'strcmp' : undeclared identifier a2.cpp(8) : error C2065: 'strcpy' : undeclared identifier a2.cpp(18) : error C2065: 'exit' : undeclared identifier a2.cpp(31) : warning C4508: 'main' : function should return a value; 'void' retu rn type assumed
三根火柴雪币： 268 活跃值： (10) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 2008-3-3 17:49 70 楼 0 学到第三节了，吱一声
ziffer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	ziffer 2008-3-7 18:00 71 楼 0 我想问一下：OllyDbg 的调用堆栈窗口怎样才能总是前端显示呢，现在只要一点其它地方或步进窗口就跑到后面去了，好麻烦啊望同志们指点一下阿
wsyzyddd 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 123 粉丝 0 关注私信	wsyzyddd 1 2008-3-18 00:45 72 楼 0 赞一个先! 附上我的解决方案(MS已经落伍了..) Mr.failwest的exploit1=1152921504606846977D(2进制1000000000000000000000000000000000000000000000000000000000001B) Mr.failwest的exploit2= 60 33 DB 53 68 67 6E 61 6C 68 6F 61 69 78 8b c4 53 50 50 53 B8 8A 05 D5 77 FF D0 61 FF 25 18 11 40 90 90 90 90 90 90 90 90 90 90 90 90 90 6C 10 40 90 90 90 90 f0 fa 12 00 (最后一位,- -，郁闷死) PS:MessageBoxA=77d5058a
cyndyli 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 64 粉丝 0 关注私信	cyndyli 2008-3-28 14:40 73 楼 0 成功，辛苦failwest
ZSYL 雪币： 16 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 2008-5-23 03:24 74 楼 0 听君一席话，胜读十年书
ZSYL 雪币： 16 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 2008-5-23 03:25 75 楼 0 听君一席话，胜读十年书
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

failwest

发帖

回帖

330

RANK

关注

私信

他的文章

[注意]0day第二版补充资料及勘误整理

[下载]《0day安全第二版》随书电子资料发布

关于我们

联系我们

企业服务

看雪公众号

最新回复 (90) ◀ 1 2 3 4 ▶
书生lee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	书生lee 2007-12-28 20:03 51 楼 0 将password.txt保存后，用OllyDbg加载程序并调试，可以看到最终的栈状态如下表所示：这是啥意思啊?怎么加载? 我很菜...不号意思...
书生lee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	书生lee 2007-12-29 00:32 52 楼 0 又研究一晚上,..还是不明白..我已经填好PASSWORA把程序将跳转到验证通过的分支位置搞好了,但是如何....加载?
尼摩nemo 雪币： 200 能力值： (RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	尼摩nemo 2007-12-29 14:44 53 楼 0 [QUOTE=failwest;392030] 局部变量名内存地址偏移3处的值偏移2处的值偏移1处的值偏移0处的值 buffer[0~3] 0x0012FB14 0x31 (‘1’) 0x32 (‘2’) 0x33 (‘3’) 0x34 (‘4’) buffer[4~7] 0x0012FB18 0x31 (‘1’) 0x32 (‘2’) 0x33 (‘3’) 0x34 (‘4’)[/QUOTE] 本来以为内存字节顺序写反了，仔细一看，原来是偏移大的在前面，哈哈…… 讲得很透彻，辛苦了
tjszlqq 雪币： 776 活跃值： (1526) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 867 粉丝 1 关注私信	tjszlqq 1 2008-1-2 12:33 54 楼 0 真正的高人啊！
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 230 粉丝 0 关注私信	zhtjia 2008-1-2 13:50 55 楼 0 真的牛人,顶...
ljseven 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	ljseven 2008-1-2 20:14 56 楼 0 学习，感谢！
shinechou 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	shinechou 2008-1-10 17:43 57 楼 0 大侠辛苦了，太棒了，希望能继续啊！
eanson 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	eanson 1 2008-1-17 12:14 58 楼 0 [QUOTE=黑色猎鹰;392577]明天等着做沙发？？顺便问下，为什么：仍然出于字节对齐、容易辨认的目的，我们将“4321”作为一个输入单元。 buffer[8]共需要2个这样的单元第3个输入单元将authenticated覆盖第4个输入单元将前栈帧EBP值覆盖第5个输入单元将返回地址覆盖这个是怎么得到的啊？？？是根据程序默认的处理还是用OD调试的好象本文没说怎么个"通过动态调试，发现栈帧中的变量分布情况基本没变。这样我们就可以按照如下方法构造password.txt中的数据："...[/QUOTE] 同问楼主，如何通过动态调试，弄清楚栈帧中的变量分布情况？感觉这是关键。谢谢楼主的好文！
bruclan 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	bruclan 2008-1-18 23:11 59 楼 0 哈哈，成功，真的感觉受益匪浅，谢谢楼主无私奉献的国际共产主义精神，我会继续努力学校去的
Macinsh 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	Macinsh 2008-1-19 15:12 60 楼 0 好帖,学习!
xujiejun 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	xujiejun 2008-1-21 23:13 61 楼 0 受益匪浅啊
sdmhfeng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	sdmhfeng 2008-1-24 18:47 62 楼 0 太好了，正在学习。
俊虎雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	俊虎 2008-1-24 21:18 63 楼 0 根据指导，自己动手丰衣足食
高亮雪币： 171 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	高亮 2008-1-25 17:55 64 楼 0 晕，一直以为int是16位的，原来是32,自己的基础不牢哦~ 遇到这样的帖子就要狂顶！又学习了 ps: 啊哈哈哈，我做最后一排;(
creatorwm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	creatorwm 2008-1-27 16:02 65 楼 0 谢谢楼主分享了说的很详细啊偶学习了
svszmh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	svszmh 2008-1-27 16:12 66 楼 0 厉害,真厉害
Fido 雪币： 107 活跃值： (311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1024 粉丝 1 关注私信	Fido 2008-2-4 17:15 67 楼 0 楼主的代码风格我是不敢苟同的。。。也许你在编译选项里面已经加了STDLIB.H 但是我们确实如果VC6.0来编译的话，缺少stdlib.h头，报错为exit函数未定义不喜欢你MAIN函数前不加VOID，，，不喜欢你MAIN函数里不加RETRUN。。。技术水平我倒是膜拜了！
流水寒雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	流水寒 2008-2-4 22:46 68 楼 0 慢慢的学习中谢谢了
task 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 43 粉丝 0 关注私信	task 2008-2-25 15:59 69 楼 0 怎么不行啊?在DOS下搞出这个E:\sun\a>cl a2.cpp Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 12.00.8168 for 80x86 Copyright (C) Microsoft Corp 1984-1998. All rights reserved. a2.cpp a2.cpp(7) : error C2065: 'strcmp' : undeclared identifier a2.cpp(8) : error C2065: 'strcpy' : undeclared identifier a2.cpp(18) : error C2065: 'exit' : undeclared identifier a2.cpp(31) : warning C4508: 'main' : function should return a value; 'void' retu rn type assumed
三根火柴雪币： 268 活跃值： (10) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 2008-3-3 17:49 70 楼 0 学到第三节了，吱一声
ziffer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	ziffer 2008-3-7 18:00 71 楼 0 我想问一下：OllyDbg 的调用堆栈窗口怎样才能总是前端显示呢，现在只要一点其它地方或步进窗口就跑到后面去了，好麻烦啊望同志们指点一下阿
wsyzyddd 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 123 粉丝 0 关注私信	wsyzyddd 1 2008-3-18 00:45 72 楼 0 赞一个先! 附上我的解决方案(MS已经落伍了..) Mr.failwest的exploit1=1152921504606846977D(2进制1000000000000000000000000000000000000000000000000000000000001B) Mr.failwest的exploit2= 60 33 DB 53 68 67 6E 61 6C 68 6F 61 69 78 8b c4 53 50 50 53 B8 8A 05 D5 77 FF D0 61 FF 25 18 11 40 90 90 90 90 90 90 90 90 90 90 90 90 90 6C 10 40 90 90 90 90 f0 fa 12 00 (最后一位,- -，郁闷死) PS:MessageBoxA=77d5058a
cyndyli 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 64 粉丝 0 关注私信	cyndyli 2008-3-28 14:40 73 楼 0 成功，辛苦failwest
ZSYL 雪币： 16 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 2008-5-23 03:24 74 楼 0 听君一席话，胜读十年书
ZSYL 雪币： 16 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 2008-5-23 03:25 75 楼 0 听君一席话，胜读十年书
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复