栈溢出漏洞分析

xiaoxiaoY520

最近在上班摸鱼的时候看了钱林松老师的一家之言视频，其中推荐了一本书——0day安全：软件漏洞分析技术。就长这个样子：


浅读了一下开篇部分，觉得讲的非常透彻，但是停于理论上的理解总没有实践理解的透彻，决定自己动手调试一下，于是有了这篇帖子。

程序长这样：
#include <stdio.h>
#include <string.h>

void vulnerableFunction() {
    char buffer[8] = "aliceyu"; // 栈上的缓冲区，大小为8字节
    printf("%s\n", buffer);
    printf("输入数据：");
    gets(buffer); // 不安全的输入函数，没有进行边界检查

    printf("输入的数据：%s\n", buffer);
}

int main() {
    vulnerableFunction(); // 调用有漏洞的函数

    return 0;
}

使用32位debug模式，并且关掉优化：



编译完成后可以利用cff工具关掉随机地址，便于调试：


拖进od中，运行起来后停在输入那里：


在这里打断点（我不会告诉你为什么要在这里打断点，因为写帖子的时候我也忘了为什么。。。）后输入内容按回车：


可以使用od的查找二进制字符串功能找到栈区刚输入的字符串在18FE18处，注意该处两个字节后的数据：



当输入超过7个字符时，上面所说两个字节后的数据就被覆盖了：


当输入20个字符a时，可以发现栈中已经有函数地址被改了，弹出的地址从4118A6变成了411800，该处如果是我们注入的shellcode，执行流就转到了shellcode执行：


自己画了个简易的图，可能理解有误，不太清楚push ebp后ebp的值与书中提到的函数返回地址（函数调用完后弹出到ip寄存器的值）的位置，暂且就这么理解了。有大佬了解的还望指点一下，我也会作修改，防止误导后来人。

xiaoxiaoY520

liangjinwuxin 发表于 2023-7-30 16:42
请问，在vs studio中关掉优化的作用是什么呀

大概是因为我比较菜，新手刚入门，不优化的代码就已经调的很费劲了，优化过后可能导致根本看不懂，代码优化掉后可能会导致代码流程跟你想的不太一样。就类似从北京到上海，你的想法是做地铁转火车转公交，最后到了上海；但是编译器直接给你优化成飞机直达。都能达到同样的结果，但是当你来调试时，你按你的思维来找地铁哪到哪，火车哪到哪，你根本找不到，因为已经从飞机直达了。当然，debug模式默认就是关闭优化的，我只是怕有的跟我一样的新手朋友想复现的时候用了release，并且代码优化过了，跟我截图不一样，所以提了一下。

bjjette

这个只能说越界后是未可知，不同的编译器和操作系统行为都不尽相同。但是安全编程必须使用越界判断，因为C和C++自身都不是安全语言，无法自己保证。很多越界遗留到很久执行后才爆发，无从知道真正是怎么发生的。

tohyueyun

感谢分享

Copycodeman

感谢分享

99dog99

好厉害，谢谢分享。

天枰

感谢分享

tp206555

感谢分享  学习学习

xchappy

感谢分享

feng710

感谢分享

gzl5755

感谢分享！

hdydy

好厉害，谢谢分享