一個(gè)小小的溢出試驗(yàn)

　　今天在學(xué)習(xí)溢出時(shí)寫(xiě)了個(gè)簡(jiǎn)單程序，源代碼如下。

　　打算通過(guò)foo_normal中的memcpy函數(shù)覆蓋棧中的EIP，改為調(diào)用foo_abnormal處的語(yǔ)句，來(lái)達(dá)到溢出攻擊的目的。按照正常情況看，在foo_normal中，棧里有4字節(jié)的CS和4字節(jié)的EIP，然后是5字節(jié)的字符串?dāng)?shù)組——對(duì)齊后是8字節(jié)，還有4字節(jié)的EBP。所以當(dāng)往buffer中復(fù)制12字節(jié)數(shù)據(jù)就可以覆蓋掉EIP而達(dá)到溢出的目的。但實(shí)際上使用32字節(jié)的數(shù)據(jù)覆蓋buffer及其后的數(shù)據(jù)，才把EIP給照顧到。使用OllyDBG跟了一下：

　　發(fā)現(xiàn)在進(jìn)入函數(shù)的時(shí)候申請(qǐng)了28個(gè)字節(jié)的空間——除去12字節(jié)給memcpy的參數(shù)，比預(yù)想的多了6字節(jié)?？磥?lái)使用的3.3.1版本的gcc是16字節(jié)對(duì)齊的。

　　……讓我抓狂了一個(gè)小時(shí)。

posted on 2008-12-11 22:55 patz 閱讀(222) 評(píng)論(0)  編輯 收藏 引用