经典缓冲区溢出小例子

经典缓冲区溢出小例子

---

0.说明

​ 两个小程序，C语言编写，VC++6.0编译

​ 调试用的OD。

​ 小程序来源：“滴水逆向”的视频。

1.基于缓冲区溢出的HelloWord

#include

void HelloWord()
{
	printf("Hello World");

	getchar();
}

void Fun()
{
	int arr[5] = {1,2,3,4,5};
	arr[6] = (int) HelloWord;
}



int main()
{

	Fun();
	return 0;
}

程序展示：

为什么会输出“Hello Word”??

调试过程：

	int arr[5] = {1,2,3,4,5};

​ 注意到汇编语言中，一个数组声明时，arr[0]到arr[4]在堆栈中的位置分别是[EBP-0x14]到[EBP-0x4]，也就是先声明4*5（字节）的堆栈空间，在从低位向高位存储。

​ 注意下断点那一行代码，等价于C源码中 arr[6] = (int) HelloWord

0041097B MOV DWORD PTR SS:[EBP+0x4],cccchhhh.0040>

​ 将子函数HelloWord的函数地址MOV到[EBP+0x4],而这个地址用来存放上一个函数的返回地址，等执行到下面RETN语句是，本该是pop到eip里的函数返回地址变为了HelloWord的地址，函数继续运行，输出“Hello Word”。

2.永不停止的HelloWord

#include
void Fun()
{
	int i;
	int arr[5] = {0};
	
	for( i=0 ; i<=5 ;i++)
	{
		arr[i]=0;
		printf("Hello Word\n");
	}
}

int main()
{
	Fun();
	return 0;	
}

​ 注意for循环i<=5,意思是要循环6次，但是只声明arr[5]，也就是arr[0]到arr[4]

​ 当循环到第六次时，会有arr[5] = 0,这就会发生溢出。

程序展示：

调试过程：

注意在汇编中，arr[0]到arr[4]的堆栈地址依次是[EBP-0x18]到[EBP-0x8]。

注意[EBP-0x4]是子函数的第一个局部变量，也就是C源码对应for循环中的变量i。

而第六次循环( 此时i=5 )时出现的语句：arr[5] = 0 , 数组arr发生缓冲区溢出，按照数组在堆栈中的存储顺序，arr[5]=0会存储在[EBP-0x4],而这个地址正是变量i的堆栈地址。

相当于数组arr发生缓冲区溢出覆盖了变量i，将变量i置为0，使for循环不停止，i又继续从0自增到5，又被缓冲区溢出的数据置为0，反复循环，致使“Hello Word”永不停止。