今天老師給了一到程序，讓我們分析分析原理，關于strcpy緩存溢出原理的，反匯編一遍遍調(diào)試，終于看明白了，記錄一下
C程序：

#include "string.h" #include "stdio.h" char *shellcode="\x64\x65\x66\x67\x68\x69\x70\x71\x05\x10\x40\x00"; void fun1(int a, int b) {printf("fun1 run!para a=%d,b=%d\n",a,b); } void fun2(int a) {printf("fun2 run! para a=%d\n",a); } void fun3(int a,int b,int c) {printf("fun3 run! para a=%d,b=%d,c=%d\n",a,b,c); } int main(int argc, char* argv[]) {printf("begin\n");char a[4]={0};strcpy(a,shellcode);fun1(2,3);fun2(4);fun3(4,5,6);return 0; }

運行結果：

可以看出，按照正常的C的話，fun2函數(shù)應該只會執(zhí)行一次，但執(zhí)行了兩次，事出反常必有妖，讓我們來分析一下，反匯編：

當程序執(zhí)行strcpy前，a的值是0x0019ff2c，這個是地址，存放的是0000000，在這里我們要特別注意0019ff30和0019ff34地址里面的值，后面執(zhí)行fun2會用到

執(zhí)行完strcpy后，a內(nèi)容是地址為0x0019ff2c存放的值，我們可以看到0019ff30和0019ff34地址存放的內(nèi)容發(fā)生了改變，這個時候我們再看C程序中shellcode數(shù)組的值：

char *shellcode="\x64\x65\x66\x67\x68\x69\x70\x71\x05\x10\x40\x00";

發(fā)現(xiàn)0x0019ff2c到0019ff34存放的數(shù)據(jù)就是這些值，而且0019ff30和0019ff34存放的數(shù)據(jù)被這些覆蓋了。a數(shù)組大小為4，shellcode是12，a的數(shù)組存放不了shellcode的值，而strcpy函數(shù)不會檢查要復制的內(nèi)容的大小，只管把要復制的內(nèi)容復制過來，內(nèi)存不夠，覆蓋內(nèi)存中其他數(shù)據(jù)。

當執(zhí)行完fun3是，按說應該程序結束，來讓我們看看，為什么fun2還會執(zhí)行

當執(zhí)行到pop ebp是，當前esp的值為0019ff30，內(nèi)容為68697071，執(zhí)行完后ebp的值就是68697071，ebp的值原本不是這個，因為使用strcpy把原本的內(nèi)容覆蓋了

當執(zhí)行到ret時，這個時候我們就要注意了，因為執(zhí)行完這條語句就會去執(zhí)行fun2函數(shù)，ret指令相當于執(zhí)行：

pop eip

這個時候esp的值為0019ff34，內(nèi)容為00401005，執(zhí)行ret后eip=00401005

我們來看看fun2函數(shù)地址，是00401005，這就是為什么執(zhí)行完fun3回去執(zhí)行fun2

總結：

strcpy 函數(shù)不對數(shù)組邊界進行檢查，只管把要復制的內(nèi)容復制過來，內(nèi)存不夠，覆蓋內(nèi)存中其他數(shù)據(jù)，很容易造成緩沖區(qū)溢出的漏洞

shellcode數(shù)組里的值一共12位，最后ret語句會把最后4位賦值給eip，我們可以利用這個跳轉到我們想要執(zhí)行的代碼處

向緩沖區(qū)內(nèi)填充數(shù)據(jù)，如果數(shù)據(jù)的長度很長，超過了緩沖區(qū)本身的容量，那么數(shù)據(jù)就會溢出存儲空間，而這些溢出的數(shù)據(jù)還會覆蓋在合法的數(shù)據(jù)上，這就是緩沖區(qū)和緩沖區(qū)溢出的道理。

參考

https://blog.csdn.net/yahohi/article/details/7724669
https://blog.csdn.net/xiaoyuai1234/article/details/52121588

總結

以上是生活随笔為你收集整理的C和混编混合编程----strcpy缓存溢出原理的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。