• 在深入探讨技术之前, 让我们先了解一下缓冲区溢出的实际内容.想象一个非常简单的程序, 要求你输入你的用户名, 然后返回到它在做什么.从视觉上看, 如下所示

• 注意到括号之间嘚空格是输入用户名的预期空间.那个空间是我们的缓冲.处理用户名后, 返回地址将告知程序需要执行的下一个指令.现在, 如果我们不仅输入用戶名, 而且添加其他数据以溢出此缓冲区空间, 会发生什么情况?

• 由于C语言标准库的 gets() 函数并未限制输入数据长度的漏洞, 从而可以实现了栈溢出, 而其参数s距离EBP的偏移地址为14h
  • 点击查看我们需要溢出至调用的目标函数pwn()记下它的地址0x0804843B
  • 找到调用gets后的地址为0x8048466, 在此处打断点, 查看调用gets后的状况

总體而言主要分为两个步骤, 先是找到危险函数确定存在栈溢出漏洞, 然后就是通过调试分析计算出栈溢出攻击利用需要溢出的偏移量, 最后就通過覆盖地址的方法来直接或者间接地控制程序执行流程

通过寻找危险函数，我们快速确定程序是否可能有栈溢出以及有的话，栈溢出的位置在哪里常见的危险函数如下

• gets，直接读取一行忽略x00

• strcpy，字符串复制遇到x00停止
• strcat，字符串拼接遇到x00停止

计算我们所要操作的地址与我們所要覆盖的地址的距离。常见的操作方法就是打开 IDA根据其给定的地址计算偏移

• 一般变量会有以下几种索引模式

1. 相对于栈基地址的的索引, 可以直接通过查看 EBP 相对偏移获得

2. 相对应栈顶指针的索引, 一般需要进行调试, 之后还是会转换到第一种类型

3. 直接地址索引, 就相当于直接给定叻地址

• 一般来说，我们会有如下的覆盖需求

1. 覆盖函数返回地址这时候就是直接看 EBP即可

2. 覆盖栈上某个变量的内容，这时候就需要更加精细嘚计算了

3. 覆盖 bss 段某个变量的内容

4. 根据现实执行情况覆盖特定的变量或地址的内容

• 理解字节序 - 阮一峰的网络日志
• 手把手教你栈溢出从入门箌放弃（上）