栈溢出

不久前醒哥发给我一些代码,说是讲栈溢出的危害,代码如下:

[code]
#include <stdio.h>

int cp (char *p)
{
int a;
char b[8];
a=strcmp(p,"1234567");
strcpy(b,p);
return a;
}

int main()
{
int v=0;
char p[1024];
while(1)
{
printf("please input password: ");
scanf("%s",p);
v = cp(p);
if(v)
{
printf("incorrect password!\n\n");
}
else
{
printf("Congralations \n\n");
break;
}
}
return 0;
}

[/code]

在vs2008下面建个工程,我输入“1234567”的时候输出是“Congralations ”,系统是正确的,但是当我输入是“12345678”的时候,崩溃了,于是我把GS关了,结果输出竟然也是“Congralations ”。我开始的时候很奇怪,于是我再试了下还是输出“Congralations ”。于是用OD调试了下····

首先输入是“1234567”的时候:

可能有点看不清楚,这个是子函数cp ()里面的反汇编,程序停在了strcpy之后,这时候EAX(函数执行完的返回值)是0,下面的图是堆栈的情况,字符1对应的16进制是31,由于我是intel的cpu,所以是小端模式(高字节存在地位,低字节存在高位),[EBP-12]到[EBP-4]是数组b[8]的内存地址,从低到高依次存放了“1234567”和'\0',而[EBP-4]存的是a的值,作为返回值,如果是0那么就代表密码输入正确,否则就失败。输入是“1234567”的情况下,结果子函数返回的是0,输出结果也是正确的。

然后我输入“12345678”的情况:

这下就奇怪了,我们看寄存器EAX的值,竟然也是0!真是奇怪了,“12345678”明明比“1234567”大啊,strcmp返回的结果肯定是要比0大的额,再看看[EBP-4]的值也是0额(是它赋值给EAX的),这就意味着返回值a是0啊,按照正常结果返回值应该是大于0的数啊,奇怪了!我们再看看堆栈情况(下图),[EBP-12]到[EBP-4]是数组b[8]的内存地址,从低到高依次存放了“12345678”,那么‘\0’呢?这里已经是栈溢出了,b[8]只有八个字节,只能存取7个字符+'\0',现在存取了八个字节+'\0',肯定溢出了。cpu存取的时候是从低地址到高地址的,也就是说[EBP-4]这个字节里面存的应该是'\0',但是[EBP-4]本来存的是strcmp的返回值啊,原本是大于0 的数,这下被strcpy执行的时候的'\0'覆盖了,所以[EBP-4]这个字节就变成了0。自然程序输出就有问题了。

最后是输入"123456789"的时候:

按照上面的推论,输入"123456789"的时候,在子函数里,[EBP-12]到[EBP-4]是数组b[8]的内存地址,从低到高依次存放了“12345678”,而[EBP-4]字节里面存的应该是'9'的十六进制39,[EBP-3]存取的是'\0'的十六进制0,再后面两个字节也是0。那么CPU读取的时候从高到底低读取,读出来的结果就是00000039,也就是39,那么返回值也就是39。下面实际的结果:

呵呵,果然如此!这下就搞明白了~~~

上面的程序也只是一个例子来演示栈溢出的结果,实际上,在溢出的时候甚至可以覆盖你的EIP,然后马上HOOK到自己的恶意程序,所以一定要小心栈溢出!

标签:C/C++, Assemble