【漏洞分析】两个例子-数组溢出修改返回函数与strcpy覆盖周边内存地址

修改返回函数 return 0

下面的程序的运行流程为main()函数调用了Magic()函数,通常执行完Magic()函数后会调用return 0 的地址，

但是在执行Magic()函数中时，数组下标指向了Printf()函数的内存地址，然后数组下标越界在内存中修改了retrun 0 的地址。就输出了Printf()函数中("Hello World \n ");

#include "stdafx.h"
#include <windows.h>

void Printf()
{
	printf("Hello World \n ");
	system("pause");
}
void Magic()
{
	int nNum[5] = { 0 };
	nNum[8] = (int)Printf;
}
int main()
{
	Magic();
	return 0;
}

运行结果:

Hello World
 请按任意键继续. . .

绕过密码-strcpy覆盖周边内存地址

下面的程序是一个简单的密码判断程序，程序运行的流程为将输入的密码字符串输入到char型的szPassWord[12]数组中。

然后使用strcmp()函数对比szBuffer与szPassWord的值，比对宏定义PASSWORD字符串是否跟szPassWord的值是不是相等，如果是不相等返回值在内存中显示为01，如果相等返回值为00。

再将strcmp函数的值赋值给nFlag，如果nFlag是0，在if里取反执行，显示出下面的内容。

Hello world(Flg=0)

在流程上，这样是没有问题的。所以为了演示strcpy()造成的安全性问题。系统内置函数strcmp()函数赋值给nFlag后，使用strcpy()函数将szPassWord[12]的内容拷贝到char型szBuffer[8]中，而此时szBuffer数组在内存中的地址距离nFlag变量开辟的int型4个内存空间非常近。

当szPassWord[12]的值使用strcpy()拷贝到szBuffer[8]后产生溢出，

szBuffer[8]所开辟的内存空间不足，strcpy()函数会改变szBuffer[8]内存周边的值。

只要控制输入的密码为16位，那么在strcpy()将szPassWord[12]拷贝给将szBuffer[8],将szBuffer[]的值后面的'\0'结束符控制在修改nFlag的内存空间第一个字节内(int型占用4个内存空间)，就可以实现将strcmp()函数将szBuffer[]与szPassWord[]对比结果的返回值无论是否是00时，都用char型字符串后面'\0'覆盖到nFlag的值中，实现绕过密码的目的；

#include "stdafx.h"
#include <windows.h>

#define  PASSWORD "15pb"

int _tmain(int argc, _TCHAR* argv[])
{

	int nFlag = 0;
	char szBuffer[8] = { 0 };
	char szPassWord[12] = { 0 };
	while (true)
	{
		printf(" please input PassWord:");
		scanf("%s",szPassWord);
		//如果szPassWord数组中的值与字符串对比
		nFlag = strcmp(PASSWORD, szPassWord);
		//将strcpy将szPassWord拷贝到szBuffer数组中；
		//在应用层看起来没有什么问题，但是在内存中nFlag的四个字节地址离szBuffer非常的接近，输入了17个字符后，strcpy后面的'\0'更改了nflag的值；
		strcpy(szBuffer, szPassWord);
		if (!nFlag)
		{
			printf("Hello world(Flg=%d)",nFlag);
			system("pause"); exit(0);
		}
	}

	return 0;
}

运行结果：

please input PassWord:0000000000
 please input PassWord:000000000000000000
 please input PassWord:000000000000000000
 please input PassWord:00000000000000000
 please input PassWord:0000000000000000
Hello world(Flg=0)