求高手代码分析一段堆栈溢出代码

okyzx

最简单的堆栈溢出demo
参考了Nish Bhalla的堆栈溢出教程。要看到效果必须把VC编译选项 /GZ去掉。
－－－－－－－－－
以下代码请高手详细解答一下，为什么会溢出？还有那句printf，为什么会在copy函数执行后才调用的呢？

1. 
   
2. #include "stdafx.h"
   
3. #include <string.h>
   
4. #include <stdlib.h>
   
5. 
   
6. int copy(char* input)
   
7. {
   
8.     char var[20];
   
9.     strcpy (var, input);
   
10.     return 0;
    
11. }
    
12. int hacked(void)
    
13. {
    
14.     printf("这里是堆栈溢出程序.看到我了吧.\n");
    
15.     exit(0);
    
16. }
    
17. int main(int argc, char* argv[])
    
18. {
    
19.     char hackstr[] = "AAAABBBBCCCCDDDDEEEEFFFFGGGG";
    
20.     int *eip = (int*)&hackstr[24];        //20->23是EBP
    
21.     *eip = (int)hacked;
    
22. 
    
23.     copy(hackstr);
    
24.     return 0;
    
25. }
    

复制代码

flw2

你把你认为说出来，并给个理由、

okyzx

我认为hackstr[24] － [27]原来的GGGG被替换成hacked的地址值而已。其它很正常。
菜鸟见解还是flw2解答。谢谢

MMMIX

堆栈堆栈，在进程中堆和栈是不一样的。

flw2

溢出是溢出 main的栈，main返回的时候才会返回到你的地址

epegasus

高这些有个什么用？你出去工作后就知道这些屁都不是一个。
还不就是利用了strcpy不检查数组的长度，首先你栈里面是main的返回地址
然后是 char var[20];
strcpy (var, input);的时候超出了var[20];超出的部分正好是hacked的地址
一返回就执行了hacked了
建议别搞这些把数学和数据结构学好是真的

okyzx

to flw2：堆和栈的是有区别的，这我知道。但这段程序我依然没看懂。

溢出是溢出 main的栈，main返回的时候才会返回到你的地址

您能详细解析下么，那句代码溢出了？谢谢

flw2

你的问题是什么？准确点说。然后从上面的帖子找答案吧
int *eip = (int*)&hackstr[24];      
这个是什么用的？

zx_wing

原帖由 okyzx 于 2007-4-21 12:10 发表
最简单的堆栈溢出demo
参考了Nish Bhalla的堆栈溢出教程。要看到效果必须把VC编译选项 /GZ去掉。
－－－－－－－－－
以下代码请高手详细解答一下，为什么会溢出？还有那句printf，为什么会在copy函数执行后才 ...

我很疑惑你的代码是否能达到你要求的效果。

我给一个栈的示意图你就知道为什么了。

1. 
   
2. _______________
   
3. |   arg n       |
   
4. ---------------
   
5. |               |
   
6. |...............|
   
7. ---------------
   
8. |   arg 2       |
   
9. ---------------
   
10. |   arg 1       |
    
11. ---------------
    
12. |   return addr |
    
13. ---------------  <----- above is caller's stack frame, below is callee's stack frame
    
14. |   %ebp        |
    
15. ---------------
    
16. |  callee data  |
    
17. |               |
    
18. |               |
    
19. ---------------
    
20. |   %esp        |
    
21. _______________
    

复制代码

这段代码的本意是var[20]的地址加8个字节就是copy函数的返回地址（参考上图）。strcpy由于不会检查长度，所以如果input指向的数组超过了var的长度，是有可能覆盖到copy函数的返回地址的。这个时候copy函数就会返回被覆盖的地址，就是程序中hacked函数的起始地址。

但基于2个理由我认为你的代码不能工作
1.现在编译分配栈的时候，会预留空间，所以从&var[20] 到函数的返回地址之间会有一段空隙，你用28个字节的数组（数组hackstr后跟了一个4字节用于覆盖的地址）不一定能覆盖到返回地址。
2.strcpy函数以'\0'作为结束拷贝的判断条件。你这里在hackstr数组后面加上了4个字节的返回地址，却没有多加一个'\0'作为结束符，很有可能strcpy发生segmentation fault（当然，这个不一定）。应该再加一句hackstr[28] = '\0'

[ 本帖最后由 zx_wing 于 2007-4-21 14:09 编辑 ]

flw2

原帖由 epegasus 于 2007-4-21 13:30 发表
高这些有个什么用？你出去工作后就知道这些屁都不是一个。
还不就是利用了strcpy不检查数组的长度，首先你栈里面是main的返回地址
然后是 char var[20];
strcpy (var, input);的时候超出了var[20];超出的部分正 ...

这些还是有点用的，性质不一样。
如果这些没有用，那么就是纯理论有用了，学习c语言就没有什么用，学习linux也没有用，更不用说学习怎么使用vi了。