oday安全:軟件漏洞分析技術第三章例子_jmp esp

原創 拜乔布斯 2020-06-13 10:25

源代碼在前面例子的基礎上做一下修改:

1、buffer大小改爲4字節(節省空間)

2、讀取文件內容放棄fscanf( )函數,使用fread( )代替

代碼如下:

#include <stdio.h>
#include <Windows.h>

#define PASSWORD "123456"

int verify_password(char * password)
{
	int authenticated;
	char buffer[4];
	authenticated=strcmp(password,PASSWORD);
	strcpy(buffer,password);
	return authenticated;
}
int main()
{
	int valid_flag=0;
	int size=0;
	char password[1024];

	LoadLibraryA("user32.dll");
	FILE * fp=NULL;
	if( !(fp=fopen("D:\\password.txt","rb")) )
	{
		printf("open file fail!\n");
		exit(0);
	}
	// fscanf函數讀取文件全部內容有弊端
	fseek(fp, 0, SEEK_END);
	size=ftell(fp);
	fseek(fp, 0, SEEK_SET);
	fread(password,1,size,fp);
	fclose(fp);
	fp=NULL;

	valid_flag=verify_password(password);
	if(valid_flag)
		printf("incorrect password!\n");
	else
		printf("Congratulation! You have passed the verification!\n");

	system("pause");
	return 0;
}

找到2處地址:

1、進程空間固有指令jmp esp的地址

在user32.dll庫中搜索,運氣好找到了,0x77D29353

在od中確認,該地址下確實有指令jmp esp

2、ExitProcess函數地址:0x7C81D20A

password.txt文件內容修改如下:

1、前12字節0x90用來覆蓋buffer[4]、authenticated、上一個棧的ebp值

2、0x77D29353用來覆蓋返回地址的值(即jmp esp指令地址)

3、0x77D507EA是MessageBoxA函數地址

4、0x7C81D20A是ExitProcess函數地址

一、編譯程序生成pe文件

二、od調試:

1、strcpy執行前棧內容

2、strcpy執行後棧內容

3、ret返回到系統中固有的jmp esp指令

4、執行jmp esp指令,注意esp值

5、跳轉到指定代碼處

 

關於使用fread函數替換fscanf函數,看下面2張圖對比:

1、數據中間出現0x0A,內容沒有被全部讀取

2、0x0A修改成0xAA,內容全部被讀取

結合fscanf(fp,"%s",password)代碼中的%s,大概明白了吧!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

oday安全:軟件漏洞分析技術第十章棧中守護天使

爲了防止緩衝區溢出時覆蓋函數返回地址,編譯器使用了很酷的編譯選項——GS,GS工作原理如下: 1、在進程調用start( )函數時先初始化.data節區一個叫___security_cookie的變量(一個進程只用這一個___securi

拜乔布斯 2020-06-13 10:25:20

oday安全:軟件漏洞分析技術第十一章亡羊補牢:SafeSEH_0

第十一章第1節涉及到很多PE結構的概念順便複習一下: 1、SEH表:編譯器在編譯程序的時候把異常處理函數的地址提取出來,編入一張安全SEH表中,把這張表放到.rdata節區;VS2003以後版本的編譯器默認開啓該選項;可以通過VS自帶的V

拜乔布斯 2020-06-13 10:25:20

Windows堆結構學習_堆塊

測試環境: xp sp3、vs2010、windbg 代碼如下: #include <stdio.h> #include <Windows.h> int main() { HANDLE hp=NULL; _asm { jm

拜乔布斯 2020-06-13 10:25:20

如何禁止編譯器內聯函數

在寫一些demo時總髮現strcpy()、strcat()函數或者我們自定義的小函數被編譯器會處理爲內聯函數,不仔細看彙編代碼還識別不出來,那麼怎樣一下就從彙編代碼識別出來呢? 禁止編譯器內聯唄 比如下面代碼: #include <st

拜乔布斯 2020-06-13 10:25:20

oday安全:軟件漏洞分析技術第五章例子_0

拜乔布斯 2020-05-21 21:53:04

Windows堆結構學習_快表

拜乔布斯 2020-05-13 01:07:38

Windows堆結構學習_空表

拜乔布斯 2020-05-11 21:23:48

oday安全:軟件漏洞分析技術第十章例子_0

拜乔布斯 2020-04-02 17:40:43

WIndows堆結構學習

拜乔布斯 2020-03-12 15:38:51

oday安全:軟件漏洞分析技術第二章例子_jmp esp

拜乔布斯 2020-03-01 20:02:54

oday安全:軟件漏洞分析技術第二章例子_1

拜乔布斯 2020-03-01 08:17:52

oday安全:軟件漏洞分析技術第二章例子_0

拜乔布斯 2020-02-29 14:19:50

oday安全:軟件漏洞分析技術第十章棧中守護天使

爲了防止緩衝區溢出時覆蓋函數返回地址,編譯器使用了很酷的編譯選項——GS,GS工作原理如下: 1、在進程調用start( )函數時先初始化.data節區一個叫___security_cookie的變量(一個進程只用這一個___securi

拜乔布斯 2020-06-13 10:25:20

oday安全:軟件漏洞分析技術第十一章亡羊補牢:SafeSEH_0

第十一章第1節涉及到很多PE結構的概念順便複習一下: 1、SEH表:編譯器在編譯程序的時候把異常處理函數的地址提取出來,編入一張安全SEH表中,把這張表放到.rdata節區;VS2003以後版本的編譯器默認開啓該選項;可以通過VS自帶的V

拜乔布斯 2020-06-13 10:25:20

Windows堆結構學習_堆塊

測試環境: xp sp3、vs2010、windbg 代碼如下: #include <stdio.h> #include <Windows.h> int main() { HANDLE hp=NULL; _asm { jm

拜乔布斯 2020-06-13 10:25:20