win10+vs2015缓冲区溢出实验
首先参考: http://blog.csdn.net/jiangwei0512/article/details/50856834 搭建vs2015的汇编环境
然后关闭aslr (附上一个aslr 的介绍:http://blog.csdn.net/better0332/article/details/5262990)
首先右键项目-》属性-》配置属性-》链接器-》高级
把随机基址选否,固定基址选是,数据执行保护选否
然后新建一个asm文件,代码:
.386
.model flat,stdcall
option casemap:none
include windows.inc
include user32.inc
includelib user32.lib
include kernel32.inc
includelib kernel32.lib
.data
szText db 'hellowordpe',0
szText2 db 'Touch Me!',0
szShellCode dd 0ffffffh,0
.code
_memCopy proc _lpSrc
local @buf[4]:byte
pushad
mov al,1
mov esi,_lpSrc
lea edi,@buf
mov al,byte ptr[esi]
.while al!=0
mov byte ptr [edi],al
mov al,byte ptr [esi]
inc esi
inc edi
.endw
popad
ret
_memCopy endp
start:
invoke _memCopy,addr szShellCode
invoke MessageBox,NULL,offset szText,NULL,MB_OK
invoke MessageBox,NULL,offset szText2,NULL,MB_OK
invoke ExitProcess,NULL
end start
这样运行之后会弹出依次弹出hellowordpe和Touch Me! 这两个对话框
但是当szShellCode加长,改成szShellCode dd 0ffffffffh,0ddddddddh,0ddddddddh,0的话就会崩溃
用od单步调试查看栈的情况
发现:eip变成了DDDDDDDD
重新来,调试到崩溃前的状态
发现szShellCode输入的数据覆盖到了函数的返回地址
可以看到右下角那个框显示就是栈的情况,这里可以发现,函数的返回地址本来在0019ff7c这个位置,但是这里被szShellCode过量的数据所覆盖,所以eip会执行DDDDDDDD位置的代码,但是DDDDDDDD没有合法代码可被执行,所以,程序就崩溃了
假如szShellCode是可以被用户随意控制的话,就可以控制eip的指向来执行任意代码了
我下面的小实验的目的就是通过改变szShellCode来跳过第一个对话框的来执行第二个对话框
首先来确定第二个对话框的进入地址:
可以看到的是在00402068
下面我们的目标是将通过溢出将eip的值指向00402068
我们可以把szShellCode改成
szShellCode dd 0ffffffffh,68345678h,04020h,0
仔细观察数据进入栈的次序就可以看懂我改成这样的原理了
然后重新生成一下,运行一下,发现可以只弹出Touch Me这个对话框了
载入到od中查看栈的情况
可以看到右下角那个栈的框的0019ff7c这个地址被改成00402068,正好是Touch Me对话框函数的入口
可以看到eip执行到了00402068这个位置了
继续走,最后发现只弹出了Touch Me这个对话框,说明我们成功了