参考书目：0day安全：软件漏洞分析技术
相关工具使用：OD，IDA Pro，VC++6.0，UltraEdit

最近需要做课堂演习，就选了缓冲区溢出的实践。主要参考0day安全这本书，一面一句话很经典：
To be the apostrophe which changed Impossible into I’m possible!

直接步入正题：

1. 反汇编修改程序

在实现缓冲区溢出之前，简单熟悉一下反汇编重用的两个软件，OD和IDA，用OD修改程序代码实例。

#include <stdio.h>
#define PASSWORD "1234567"
int verify(char *password)
{
int auth;
    auth = strcmp(password, PASSWORD);
return auth;
}

int main(void){
int flag = 0;
char pass[1024];
while(1){
printf("enter the password:\t");
scanf("%s", pass);
        flag = verify(pass);
if(flag)
printf("password incorrect!\n");
else{
printf("congratulation!\n");
break;
        }
    }
}

代码就是简单验证输入密码是否正确，首先用IDA打开编译生成的应用程序。看到这样一个图（好像每次打开生成的东西都不太一样~）

如果看不到地址可以在Options->General在Line prefixes前打钩以及将Number of opcode bytes设置为6就可以了。这样就可以找到代码中相应的跳转部分，然后用OD打开对应的EXE文件，看到下图：

找到004010D5这条命令就是对应的判断地方了，对应的汇编命令为:

JE X1.004010E6

于是将JE改成JNE，再运行程序，这时发现原来正确的密码不正确，原来错误密码都可以通过！用OD还可以对程序保存，一个简单的破解就完成了。（OD保存软件不会的话可以网上搜一下，我当时没搞懂还是请教的大神）

2. 缓冲区溢出漏洞修改邻接变量

还是刚刚的类似程序，假如程序员一不小心或者因为要在其他地方使用字符串，加了个strcpy函数，验证函数如下所示：

int verify(char *password)
{
int auth;
char buffer[8];
    auth = strcmp(password, PASSWORD);
strcpy(buffer, password);
return auth;
}

看似还是正常的一个程序却会发生不可思议的事情，不信运行程序输入qqqqqqqq试试，发现没，通过验证了！这是为什么呢？来看看栈里面数据的存放：

啊，原来是这样啊，输入qqqqqqqq，或者输入其他8位也行（11111111不行，自己探索吧）在strcmp的时候auth确实是1，但是在进行strcpy之后，buffer里面的数据太长了，占了auth的位置，将auth从1改成了0。
看来下次写程序要注意点了！

3. 修改程序执行流程

是看了上面的原理图，是不是懂了点什么！EBP和返回地址是啥？不禁心生恶意，我要是再长点，是不是把返回地址给换了？？？还有那个EBP啥东西？？？

事实上，EBP是PE文件执行时候在函数调用时函数调用前栈底指针，在函数调用时会重新生成一个比较小的栈，此新栈为调用的函数所用，因此需要将之前栈的栈底入栈。在调用新的子程序的时候，也需要将子函数的返回地址入栈，不然子函数执行完了，计算机就不知道下一步执行什么了~

搞懂了这点知识，我们就可以利用这个来修改程序的执行流程了，具体实验可以自己做。

4 代码植入

之前例子的缓冲区较小，正常的函数中如果使用的话，缓冲区可能是比较大的，下面用新的例子来测试缓冲区溢出中的代码植入，完整的代码见上传的文件。

int verify(char *password)
{
int auth;
char buffer[44];
    auth = strcmp(password, PASSWORD);
strcpy(buffer, password);
return auth;
}

此次的实验中由于控制台输入的限制性，将输入流改为文本。实验的目的是利用缓冲区溢出漏洞植入代码，代码内容为弹出一个新的窗口。

int MessageBox(
  HWND hWnd,          // handle of owner window
  LPCTSTR lpText,     // address of text in message box
  LPCTSTR lpCaption,  // address of title of message box
  UINT uType          // style of message box
);

上面是MessageBox的四个参数，如果弹出标题和内容都是hellobug的串，四个参数分别为：
NULL, “hellobug”, “hellobug”, NULL
根据MessageBox得到应该执行的汇编代码

Xor ebx, ebx
Push    ebx
Push    68656C6Ch
Push    6F627567h
Mov eax, esp
Push    ebx
Push    eax
Push    eax
Push    ebx
MOV EAX, ADDRESS
CALL EAX

最后的Address是MessageBoxA地址，对应的机器码如下：

33 DB
53
68 6C 6C 65 68        //hell
68 67 75 62 6F        //obug
8B C4
53
50
50
53
B8 ADDRESS
FF D0

因为缓冲区有44个字节，而四个字节一组，因此有11组，加上原来的auth,EBP和返回地址，一共14组，每组4个字节。新建一个这样的文件。

我在执行的过程中最后部分0018FD44就是Buff的起始地址。

接下来的问题就是buff的起始地址以及MessageBox的入口地址怎么找到呢？

首先是buff的起始地址，这个比较简单，将该文件写为14组1234，然后在OD里面跑一遍之后可以看到内存里面的数据，这个数据区的起始地址就是就是buff的起始地址。

然后是MessageBox的入口地址，在0Day安全这本书中有计算过程，我按照这个过程没有实现，因此我自己找了一个方法，有兴趣的同学可以按照书上的计算一下~

我的试验工程就是新建一个工程，只允许Messagebox然后通过OD查看其入口地址

#include <stdio.h>
#include <windows.h>

int main(void)
{

    LoadLibrary("user32.dll");
    MessageBoxA(NULL, "abc", "def", NULL);
return 0;
}

写这样一个简单的程序用OD打开以下就好啦

找到MessageBox回车之后就进入了，从这个图可以看出入口地址是768EFD1E
然后整个文件就制作完成了，运行一下看看吧

以上就是一个简单的缓冲区溢出的实例了，不过在植入代码这个过程中电机确定之后~~就挂了，因为一些参数没有设置好，慢慢再深入研究吧。