下面是一个有问题的internet服务程序：

/****************************************************************************/

/* server.cpp By Ipxodi

*/

#include

#include

char Buff[1024];

void overflow(char * s,int size)

{

char s1[50];

printf("receive %d bytes",size);

s[size]=0;

strcpy(s1,s);

}

int main()

{

WSADATA wsa;

SOCKET listenFD;

int ret;

char asd[2048];

WSAStartup(MAKEWORD(2,2),&wsa);

listenFD = socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);

struct sockaddr_in server;

server.sin_family = AF_INET;

server.sin_port = htons(3764);

server.sin_addr.s_addr=ADDR_ANY;

ret=bind(listenFD,(sockaddr *)&server,sizeof(server));

ret=listen(listenFD,2);

int iAddrSize = sizeof(server);

SOCKET clientFD=accept(listenFD,(sockaddr *)&server,&iAddrSize);

unsigned long lBytesRead;

while(1) {

lBytesRead=recv(clientFD,Buff,1024,0);

if(lBytesRead<=0) break;

overflow(Buff,lBytesRead);

ret=send(clientFD,Buff,lBytesRead,0);

if(ret<=0) break;

}

WSACleanup();

return 0;

}

/****************************************************************************/

函数Overflow有问题，看到了吗?

好，现在我们来写溢出攻击程序：

1)先算一下溢出(返回)地址应该在哪里?

(：啊?算出?你上次不是用程序试吗?我好不容易才看懂你的算法，这次怎么不用了?

：唉，老兄，上次是没有敌人的原代码，懒得看汇编，才会试，现在原代码就放在你眼前，你自己算一下不就出来了?)

下面是时刻堆栈布局：

内存底部 内存顶部

buffer EBP ret

<------ [NNNNNNNNNNN][N ] [A ]SSSS

^&buffer

堆栈顶部 堆栈底部

可以看到，buffer我们开的是50，32位系统针对数组进行四位对齐，所以实际缓冲区是

52,加上EBP占去4个字节，就是52+4=56,那么，ret就是第56字节了。

2)再看看server里面LoadLibrary和GetProcAddress的地址是什么?

启动wdasm32,加载server.exe

[1] [2] [3] 下一页