• 首先构建一个含有缓冲区溢出的C语言程序。

源码如下：

#include <stdio.h>
#include <windows.h>
#define PASSWORD "1234567"
int verify (char * password)
{
int flag;
char buffer[44];
flag = strcmp(password,PASSWORD);
strcpy(buffer,password);
return flag;
}
void main()
{   
int vaild_flag=0;
char password[1024];
FILE * fp;
LoadLibrary("user32.dll");
if (!(fp=fopen("password.txt","rw+")))
{
    exit(0);        
}
fscanf(fp,"%s",password);
vaild_flag = verify(password);
if (vaild_flag)
{
    printf("Incorrect!!!!!!\n");
}
else
{
    printf("Congratulation!Gay!you have passed!!!!!\n");
}
fclose(fp);
getchar();
} 

因为在程序输入中手动输入shellcode较为困难。所以我们用password.txt作为输入源，shellcode也将写入其中。

• 从程序可知当我们输入错误的密码的时候。
  flag在内存的值为00000001，此时弹出提示信息“Incorrect!!!!!!”。

• 那么有什么方法在不合法的输入前提下可以让flag为00000000呢 ？

• 根据栈的结构函数在栈中的空间分配应该为以下所示：

buffer[0…3]
……
buffer[40…43]
flag
EBP
返回地址

• C语言中有一个字符结束标志'\0'
  我们可以通过填满缓冲区使位于字符末位的0，跨界溢出到flag的1上使flag=00000000。

未受溢出的flag

受溢出影响的flag

用44个字符填充buffer

• 既然已经覆盖了邻接变量flag，那么我们是不是也可以覆盖掉返回地址，使得返回地址指向我们想让执行的地方并在其中放上shellcode。
  当然只需要在password中再写入三个dword，第一个覆盖flag，第二个覆盖EBP，第三个覆盖返回地址。

• 在password.txt中放入shellcode并使返回地址指向buffer的偏移地址0012FAEC（ollydbg中得到）。

  
  
  最后四位是buffer地址（注意顺序）

shellcode成功执行

shellcode的编写

用汇编语言编写之后（可用高级语言通过编译器查看）

用所用机器的CPU指令集，将其写为16进制代码。Shellcode便制作成功了。

此处的shellcode是调用系统的动态链接库中的messageboxA.dll

将地址写入

用APIAdress.exe可以查看API所在的入口地址。