ollydbg实践菜鸟级数组溢出

本例来自于《0day安全，软件漏洞分析技术》，但是由于ollydbg使用功底太差，而且这东西的调试远没有vs等工具智能，因而最初使用上出现了一些问题，记录一下，为后面的学习打点基础。

第一步，先用vc 6.0写一个验证密码的小程序，代码如下：

// crack.cpp : Defines the entry point for the console application.

//

#include "stdafx.h"

#define PASSWORD "1234567"

int verify_password(char *password)

{

int authenticated;

char buffer[8];

authenticated=strcmp(password,PASSWORD);

strcpy(buffer,password);      //纯粹为了缔造越界

return authenticated;

}

int main()

{

int vaild_flag=0;

char password[1024];

while(1)

{

printf("input password:   ");

scanf("%s",password);

vaild_flag=verify_password(password);

if(vaild_flag)

{

printf("incorrect!\n");

}

else

{

printf("right!\n");

break;

}

}

return 0;

}

中间有注释的一行，纯粹为了制造一个数组越界，没有任何实际意义，只是为了通过strcpy的越界，抹杀比这个数组先入栈的的整型变量authenticated的值，而这个值，又在主函数调用里面起到了输入判定的作用，当它为1时，提示password输入验证不通过，为0时通过。

调试后，debug里面生成crack.exe，能正常实现密码验证功能.

第二步，把这个crack.exe在ollydbg里面打开，开始调试，先按F9，再按F8,到达输入的起始点停住，程序运行界面如下：

此时为了让程序在后面调试中停住继而观察内存的值，需要设置断点，按ctrl+F,输入CALL crack.strcpy来寻找这行指令，（此处crack是程序名字）

找到之后，点击F2设置断点，然后在程序运行界面输入qqqqqqq并点击回车

程序没有继续向下执行，没有给出incorrect或者是right的提示，证明停在了断点处，此时回到ollydbg界面，点击F8单步执行一条指令，然后看右下角的堆栈窗口，会发现如下情景：

可以看到，刚才输入的qqqqqqq已经读入，而且此时程序已经执行过authenticated=strcmp(password,PASSWORD)这句话，就说明变量authenticated的值肯定为1，而且依据变量的入栈顺序，authenticated的位置正是上图中下面的00000001的位置，为了验证这个事情，可以重新执行上面的步骤，只不过输入值改为1111111，这时，authenticated应该为-1，果不其然，得到了下面的状态，authenticated成了FFFFFFFF：

因此，下面需要做的就是通过输入，和数组的赋值，通过溢出抹杀掉authenticated的值，让他成为0，就能够实现绕过密码。

由于从上图和上上图中发现，当authenticated判定为1而非-1的时候，只需要使得1的那2位变为0x00，那么就可以让下面成为00000000，于是可以想到输入qqqqqqqq，它如果赋值给buffer[8],可以造就一个刚好处于authenticated位置的\0,也就是0x00,试验一下，刚好是如下图所示状况：

这样，就轻松搞定了authenticated的值，继而绕过密码，点击F9继续执行，如图：

此时，1234567的密码已经没什么意义。