win10+vs2015缓冲区溢出实验

首先参考： http://blog.csdn.net/jiangwei0512/article/details/50856834 搭建vs2015的汇编环境

然后关闭aslr （附上一个aslr 的介绍：http://blog.csdn.net/better0332/article/details/5262990）

首先右键项目-》属性-》配置属性-》链接器-》高级

把随机基址选否，固定基址选是，数据执行保护选否

然后新建一个asm文件，代码：

.386.model flat,stdcalloption casemap:noneinclude windows.incinclude user32.incincludelib user32.libinclude kernel32.incincludelib kernel32.lib.data szText db 'hellowordpe',0 szText2 db 'Touch Me!',0szShellCode dd 0ffffffh,0.code_memCopy proc _lpSrclocal @buf[4]:bytepushadmov al,1mov esi,_lpSrclea edi,@bufmov al,byte ptr[esi].while al!=0mov byte ptr [edi],almov al,byte  ptr [esi]inc esiinc edi.endwpopadret_memCopy endpstart:invoke _memCopy,addr szShellCodeinvoke MessageBox,NULL,offset szText,NULL,MB_OKinvoke MessageBox,NULL,offset szText2,NULL,MB_OKinvoke ExitProcess,NULLend start

这样运行之后会弹出依次弹出hellowordpe和Touch Me! 这两个对话框

但是当szShellCode加长，改成szShellCode dd 0ffffffffh,0ddddddddh,0ddddddddh,0的话就会崩溃

用od单步调试查看栈的情况

发现：eip变成了DDDDDDDD

重新来，调试到崩溃前的状态

发现szShellCode输入的数据覆盖到了函数的返回地址

可以看到右下角那个框显示就是栈的情况，这里可以发现，函数的返回地址本来在0019ff7c这个位置，但是这里被szShellCode过量的数据所覆盖，所以eip会执行DDDDDDDD位置的代码，但是DDDDDDDD没有合法代码可被执行，所以，程序就崩溃了

假如szShellCode是可以被用户随意控制的话，就可以控制eip的指向来执行任意代码了

我下面的小实验的目的就是通过改变szShellCode来跳过第一个对话框的来执行第二个对话框

首先来确定第二个对话框的进入地址：

可以看到的是在00402068

下面我们的目标是将通过溢出将eip的值指向00402068

我们可以把szShellCode改成

szShellCode dd 0ffffffffh,68345678h,04020h,0

仔细观察数据进入栈的次序就可以看懂我改成这样的原理了

然后重新生成一下，运行一下，发现可以只弹出Touch Me这个对话框了

载入到od中查看栈的情况

可以看到右下角那个栈的框的0019ff7c这个地址被改成00402068，正好是Touch Me对话框函数的入口

可以看到eip执行到了00402068这个位置了

继续走，最后发现只弹出了Touch Me这个对话框，说明我们成功了