一个小��的溢出试验

patz — Thu, 11 Dec 2008 14:55:00 GMT

　　今天在学习溢出时写了个简单程序，源代码如下�?br>

1#include <stdio.h>
2#include <stdlib.h>
3
4int foo_normal(char*);
5int foo_abnormal(char*);
6
7int main()
8{
9    int i;
10    char szTmp[] = {
11        0x31, 0x31, 0x31, 0x31,
12        0x32, 0x32, 0x32, 0x32,
13        0x33, 0x33, 0x33, 0x33,
14        0x00, 0x40, 0x13, 0x45,
15
16        0x31, 0x31, 0x31, 0x31,
17        0x32, 0x32, 0x32, 0x32,
18        0x33, 0x33, 0x33, 0x33,
19        0x4e, 0x13, 0x40, 0x00
20        };
21
22    i = 0;
23
24    if (i == 0)
25        foo_normal(szTmp);
26    else
27        foo_abnormal(szTmp);
28
29    return(0);
30}
31
32
33int foo_normal(char* _sz)
34{
35    char buffer[5];
36    memcpy(buffer, _sz, sizeof(char)*32);
37    printf("Application terminates normally.\n");
38    return(0);
39}
40int foo_abnormal(char* _sz)
41{
42    char buffer[5];
43    memcpy(buffer, _sz, sizeof(char)*3);
44    printf("You should have never seen this.\n");
45    return (0);
46}

　　打算通过foo_normal中的memcpy函数覆盖栈中的EIP�Q�改��用foo_abnormal处的语句�Q�来辑ֈ�溢出��d��的目的。按照正常情�늜��Q�在foo_normal中，栈里�?字节的CS�?字节的EIP�Q�然后是5字节的字�W�串数组——对齐后�?字节�Q�还�?字节的EBP。所以当往buffer中复�?2字节数据��可以覆盖掉EIP而达到溢出的目的。但实际上��?2字节的数据覆盖buffer及其后的数据�Q�才把EIP�l�照��ֈ�。��用OllyDBG跟了一下：

1 004013F2  /$  55            push    ebp
2 004013F3  |.  89E5          mov     ebp, esp
3 004013F5  |.  83EC 28       sub     esp, 28
4 004013F8  |.  C74424 08 050>mov     dword ptr [esp+8], 5             ; ||
5 00401400  |.  8B45 08       mov     eax, dword ptr [ebp+8]           ; ||
6 00401403  |.  894424 04     mov     dword ptr [esp+4], eax           ; ||
7 00401407  |.  8D45 E8       lea     eax, dword ptr [ebp-18]          ; ||
8 0040140A  |.  890424        mov     dword ptr [esp], eax             ; ||
9 0040140D  |.  E8 FE050000   call    <jmp.&msvcrt.memcpy>             ; |\memcpy
10 00401412  |.  C70424 D01340>mov     dword ptr [esp], 004013D0        ; |ASCII "Application terminates normally.",LF
11 00401419  |.  E8 EA050000   call    <jmp.&msvcrt.printf>             ; \printf
12 0040141E  |.  B8 00000000   mov     eax, 0
13 00401423  |.  C9            leave
14 00401424  \.  C3            retn

　　发现在进入函数的时候申请了28个字节的�I�间——除�?2字节�l�memcpy的参敎ͼ�比预想的多了6字节。看来��用的3.3.1版本的gcc�?6字节寚w��的�?br>
　　……让我抓狂了一个小时�?

patz 2008-12-11 22:55 发表评论

patz — Tue, 09 Sep 2008 15:53:00 GMT

写命令行下的�E�序�Ӟ��总需要一�ơ读入一行输入后再做处理。如果用getline()的话�Q�缓冲区char*的大��是事先定好的。虽然把�~�冲��大点也能完成��d��Q�不�q�总让��得不舒服。最��单的办法是用cin.get()�Q�自动读刎ͼ�但不包括�Q?\n'。再要读接下来一整行时加上一个cin.ignore()把未��d��?\n'�l�忽略就行了�?/p>

cin.get()详细说明�?a target=_blank>�q�里�Q�其原型如下�Q?/p>

1int get();
2istream& get ( char& c );
3istream& get ( char* s, streamsize n );
4istream& get ( char* s, streamsize n, char delim );
5istream& get ( streambuf& sb);
6istream& get ( streambuf& sb, char delim );

patz 2008-09-09 23:53 发表评论

岛国搬运www久久,久久精品国产亚洲Aⅴ香蕉,香蕉aa三级久久毛片

一个小���的溢出试验

一个小��的溢出试验