4初级栈溢出C.docVIP

第4讲 初级栈溢出C To be the apostrophe which changed “Impossible” into “I’m possible” —— failwest 没有星星的夜里，我用知识吸引你 上节课没有操练滴东西，不少蠢蠢欲动的同学肯定已经坐不住了。悟空，不要猴急，下面的两堂课都是实践课，用来在实践中深入体会上节课中的知识，并且很有趣味性哦 信息安全技术是一个对技术性要求极高的领域，除了扎实的计算机理论基础外、更重要的是优秀的动手实践能力。在我看来，不懂二进制就无从谈起安全技术。 缓冲区溢出的概念我若干年前已经了然于胸，不就是淹个返回地址把CPU指到缓冲区的shellcode去么。然而当我开始动手实践的时候，才发现实际中的情况远远比原理复杂。 国内近年来对网络安全的重视程度正在逐渐增加，许多高校相继成立了“信息安全学院”或者设立“网络安全专业”。科班出身的学生往往具有扎实的理论基础，他们通晓密码学知识、知道PKI体系架构，但要谈到如何真刀实枪的分析病毒样本、如何拿掉PE上复杂的保护壳、如何在二进制文件中定位漏洞、如何对软件实施有效的攻击测试……能够做到的人并不多。 虽然每年有大量的网络安全技术人才从高校涌入人力市场，真正能够满足用人单位需求的却聊聊无几。捧着书本去做应急响应和风险评估是滥竽充数的作法，社会需要的是能够为客户切实解决安全风险的技术精英，而不是满腹教条的阔论者。 我所知道的很多资深安全专家都并非科班出身，他们有的学医、有的学文、有的根本没有学历和文凭，但他们却技术精湛，充满自信。 这个行业属于有兴趣、够执着的人，属于为了梦想能够不懈努力的意志坚定者。如果你是这样的人，请跟着我把这个系列的所有实验全部完成，之后你会发现眼中的软件，程序，语言，计算机都与以前看到的有所不同——因为以前使用肉眼来看问题，我会教你用心和调试器以及手指来重新体验它们。 首先简单复习上节课的内容： 高级语言经过编译后，最终函数调用通过为其开辟栈帧来实现 开辟栈帧的动作是编译器加进去的，高级语言程序员不用在意 函数栈帧中首先是函数的局部变量，局部变量后面存放着函数返回地址 当前被调用的子函数返回时，会从它的栈帧底部取出返回地址，并跳转到那个位置（母函数中）继续执行母函数 我们这节课的思路是，让溢出数组的数据跃过authenticated，一直淹没到返回地址，把这个地址从main函数中分支判断的地方直接改到密码验证通过的分支！ 这样当verify_password函数返回时，就会返回到错误的指令区去执行（密码验证通过的地方） 由于用键盘输入字符的ASCII表示范围有限，很多值如0x11，0x12等符号无法直接用键盘输入，所以我们把用于实验的代码在第二讲的基础上稍加改动，将程序的输入由键盘改为从文件中读取字符串。 #include stdio.h #define PASSWORD 1234567 int verify_password (char *password) { int authenticated; char buffer[8]; authenticated=strcmp(password,PASSWORD); strcpy(buffer,password);//over flowed here! return authenticated; } main() { int valid_flag=0; char password[1024]; FILE * fp; if(!(fp=fopen(password.txt,rw+))) { exit(0); } fscanf(fp,%s,password); valid_flag = verify_password(password); if(valid_flag) { printf(incorrect password!\n); } else { printf(Congratulation! You have passed the verification!\n); } fclose(fp); } 程序的基本逻辑和第二讲中的代码大体相同，只是现在将从同目录下的password.txt文件中读取字符串而不是用键盘输入。我们可以用十六进制的编辑器把我们想写入的但不能直接键入的ASCII字符写进这个password.txt文件。 用VC6.0将上述代码编译链接。我这里使用默认编译选项，BUILD成debug版本。鉴于有些同学反映自己的用的是VS2003和