win10+vs2015缓冲区溢出实验

首先参考: http://blog.csdn.net/jiangwei0512/article/details/50856834 搭建vs2015的汇编环境

然后关闭aslr (附上一个aslr 的介绍:http://blog.csdn.net/better0332/article/details/5262990)

首先右键项目-》属性-》配置属性-》链接器-》高级

把随机基址选否,固定基址选是,数据执行保护选否

win10+vs2015缓冲区溢出实验_第1张图片


然后新建一个asm文件,代码:

.386
.model flat,stdcall
option casemap:none
include windows.inc
include user32.inc
includelib user32.lib
include kernel32.inc
includelib kernel32.lib

.data 
szText db 'hellowordpe',0 
szText2 db 'Touch Me!',0
szShellCode dd 0ffffffh,0

.code
_memCopy proc _lpSrc
	local @buf[4]:byte
	pushad
	mov al,1
	mov esi,_lpSrc
	lea edi,@buf
	mov al,byte ptr[esi]
	.while al!=0
		mov byte ptr [edi],al
		mov al,byte  ptr [esi]
		inc esi
		inc edi
	.endw
	popad
	ret
_memCopy endp
start:
invoke _memCopy,addr szShellCode
invoke MessageBox,NULL,offset szText,NULL,MB_OK
invoke MessageBox,NULL,offset szText2,NULL,MB_OK
invoke ExitProcess,NULL
end start

这样运行之后会弹出依次弹出hellowordpe和Touch Me! 这两个对话框

但是当szShellCode加长,改成szShellCode dd 0ffffffffh,0ddddddddh,0ddddddddh,0的话就会崩溃

用od单步调试查看栈的情况

发现:eip变成了DDDDDDDD

win10+vs2015缓冲区溢出实验_第2张图片

重新来,调试到崩溃前的状态

发现szShellCode输入的数据覆盖到了函数的返回地址

win10+vs2015缓冲区溢出实验_第3张图片


可以看到右下角那个框显示就是栈的情况,这里可以发现,函数的返回地址本来在0019ff7c这个位置,但是这里被szShellCode过量的数据所覆盖,所以eip会执行DDDDDDDD位置的代码,但是DDDDDDDD没有合法代码可被执行,所以,程序就崩溃了

假如szShellCode是可以被用户随意控制的话,就可以控制eip的指向来执行任意代码了

我下面的小实验的目的就是通过改变szShellCode来跳过第一个对话框的来执行第二个对话框

首先来确定第二个对话框的进入地址:

win10+vs2015缓冲区溢出实验_第4张图片


可以看到的是在00402068

下面我们的目标是将通过溢出将eip的值指向00402068

我们可以把szShellCode改成

szShellCode dd 0ffffffffh,68345678h,04020h,0

仔细观察数据进入栈的次序就可以看懂我改成这样的原理了

然后重新生成一下,运行一下,发现可以只弹出Touch Me这个对话框了

载入到od中查看栈的情况

win10+vs2015缓冲区溢出实验_第5张图片


可以看到右下角那个栈的框的0019ff7c这个地址被改成00402068,正好是Touch Me对话框函数的入口


win10+vs2015缓冲区溢出实验_第6张图片

可以看到eip执行到了00402068这个位置了

继续走,最后发现只弹出了Touch Me这个对话框,说明我们成功了


你可能感兴趣的:(安全)