一個小小的溢出試驗

　　今天在學(xué)習(xí)溢出時寫了個簡單程序，源代碼如下。

　　打算通過foo_normal中的memcpy函數(shù)覆蓋棧中的EIP，改為調(diào)用foo_abnormal處的語句，來達(dá)到溢出攻擊的目的。按照正常情況看，在foo_normal中，棧里有4字節(jié)的CS和4字節(jié)的EIP，然后是5字節(jié)的字符串?dāng)?shù)組——對齊后是8字節(jié)，還有4字節(jié)的EBP。所以當(dāng)往buffer中復(fù)制12字節(jié)數(shù)據(jù)就可以覆蓋掉EIP而達(dá)到溢出的目的。但實際上使用32字節(jié)的數(shù)據(jù)覆蓋buffer及其后的數(shù)據(jù)，才把EIP給照顧到。使用OllyDBG跟了一下：

　　發(fā)現(xiàn)在進(jìn)入函數(shù)的時候申請了28個字節(jié)的空間——除去12字節(jié)給memcpy的參數(shù)，比預(yù)想的多了6字節(jié)?？磥硎褂玫?.3.1版本的gcc是16字節(jié)對齊的。

　　……讓我抓狂了一個小時。

posted on 2008-12-11 22:55 patz 閱讀(215) 評論(0)  編輯 收藏 引用