修改返回函数 return 0
下面的程序的运行流程为main()函数调用了Magic()函数,通常执行完Magic()函数后会调用return 0 的地址,
但是在执行Magic()函数中时,数组下标指向了Printf()函数的内存地址,然后数组下标越界在内存中修改了retrun 0 的地址。就输出了Printf()函数中("Hello World
");
#include "stdafx.h"
#include <windows.h>
void Printf()
{
printf("Hello World
");
system("pause");
}
void Magic()
{
int nNum[5] = { 0 };
nNum[8] = (int)Printf;
}
int main()
{
Magic();
return 0;
}
运行结果:
Hello World
请按任意键继续. . .
绕过密码-strcpy覆盖周边内存地址
下面的程序是一个简单的密码判断程序,程序运行的流程为将输入的密码字符串输入到char型的szPassWord[12]数组中。
然后使用strcmp()函数对比szBuffer与szPassWord的值,比对宏定义PASSWORD字符串是否跟szPassWord的值是不是相等,如果是不相等返回值在内存中显示为01,如果相等返回值为00。
再将strcmp函数的值赋值给nFlag,如果nFlag是0,在if里取反执行,显示出下面的内容。
Hello world(Flg=0)
在流程上,这样是没有问题的。所以为了演示strcpy()造成的安全性问题。系统内置函数strcmp()函数赋值给nFlag后,使用strcpy()函数将szPassWord[12]的内容拷贝到char型szBuffer[8]中,而此时szBuffer数组在内存中的地址距离nFlag变量开辟的int型4个内存空间非常近。
当szPassWord[12]的值使用strcpy()拷贝到szBuffer[8]后产生溢出,
szBuffer[8]所开辟的内存空间不足,strcpy()函数会改变szBuffer[8]内存周边的值。
只要控制输入的密码为16位,那么在strcpy()将szPassWord[12]拷贝给将szBuffer[8],将szBuffer[]的值后面的'�'结束符控制在修改nFlag的内存空间第一个字节内(int型占用4个内存空间),就可以实现将strcmp()函数将szBuffer[]与szPassWord[]对比结果的返回值无论是否是00时,都用char型字符串后面'�'覆盖到nFlag的值中,实现绕过密码的目的;
#include "stdafx.h"
#include <windows.h>
#define PASSWORD "15pb"
int _tmain(int argc, _TCHAR* argv[])
{
int nFlag = 0;
char szBuffer[8] = { 0 };
char szPassWord[12] = { 0 };
while (true)
{
printf(" please input PassWord:");
scanf("%s",szPassWord);
//如果szPassWord数组中的值与字符串对比
nFlag = strcmp(PASSWORD, szPassWord);
//将strcpy将szPassWord拷贝到szBuffer数组中;
//在应用层看起来没有什么问题,但是在内存中nFlag的四个字节地址离szBuffer非常的接近,输入了17个字符后,strcpy后面的'�'更改了nflag的值;
strcpy(szBuffer, szPassWord);
if (!nFlag)
{
printf("Hello world(Flg=%d)",nFlag);
system("pause"); exit(0);
}
}
return 0;
}
运行结果:
please input PassWord:0000000000
please input PassWord:000000000000000000
please input PassWord:000000000000000000
please input PassWord:00000000000000000
please input PassWord:0000000000000000
Hello world(Flg=0)