A1Pass的风清月朗居

追随技术的巅峰，突破欲望的枷锁！我，是技术与精神的享乐者！

日志

关于我

A1Pass

不让生活磨灭我的个性！

文章分类

一个利用缓冲区溢出修改程序流程的小例子

2009-07-21 23:19:31| 分类：思绪燃星火——技 | 标签： |举报 |字号大中小订阅

下载LOFTER 我的照片书 |

题记：扎实的基础永远都是王道。

最近一直在闭关修炼，填补不足，砸实基础，因此已经有近两个月没有发表技术方面的文章，深感愧疚。

今天我为大家带来的是一个利用缓冲区溢出原理修改程序流程的密码验证程序，此程序利用数组越界造成溢出，淹没返回地址，跳转到一个我们事先精心准备好的函数当中，在此函数当中判断密码，并返回成功/出错信息。

即兴练手而写，很简单的代码，废话不多说，直接看代码：

/**************************************************************************
名字：密码验证程序
------
特点：
------
1、利用缓冲区溢出隐式修改程序执行流程，使得静态逆向跟踪更加困难。
2、采用靶子函数，伪造验证流程，误导破解者。
3、密码采用二维数组保存，插入了大量的垃圾信息保证安全性。
4、比对前释放假密码，迷惑破解者。
5、验证成功与失败关键字均加密保存，应用时动态解密，为爆破设置障碍。

------
原理：
------
利用缓冲区溢出更改程序流程，将原有程序所调用的靶子函数
PassCmpFun(void)流程转移到PassCmp(void)里，并由PassCmp(void)判定
真正的密码。

------
信息：
------
正确密码:521technic

      函数名    调用地址    函数地址    返回地址
   PassCmpFun 0x0041386E 0x004111EF 0x00413873
      PassCmp 0x00413879 0x004111F4 0x0041387E

日期：2009-07-20 作者：A1Pass
**************************************************************************/

#include <stdio.h>
#include <stdlib.h>

int iRight[10]={0xf0, 0xef, 0xf1, 0xd8, 0xe6, 0xce, 0xfb, 0x84, 0x90, 0x92}; //加密后的验证成功字串
int iError[12]={0xf0, 0xef, 0xf1, 0xd8, 0x87, 0xde, 0xfd, 0xc0, 0x90, 0x92}; //加密后的验证失败字串

char cRight[12]={0};
char cError[15]={0};

//真实判定函数
int PassCmp(void)
{
int iNum[2]={8,9},iTag=0,i,j; //忽悠人……
iNum[1]=7; //为溢出留位置，在此函数里无用

    char szInPass[12]={0};
    char szPass[10][5]={{"5432"},{"2345"},{"1234"},{"tagy"},{"ef11"},\
    {"cijh"},{"hijk"},{"nopq"},{"ijhu"},{"cdef"}}; //只取每个数组的第一位

    for (i=0;i<2;i++)
    {
        int iTag=1;
        printf("请输入密码(6-10位)：");
        scanf("%10s",szInPass);
        fflush(stdin);
        for (j=0;j<10;j++)
        {
            if(szInPass[j]==szPass[j][0])
            {
                iTag++;
            }
        }

char cNoPass[11]="51asm51asm"; //干扰内存定位

        if (iTag>=10)
        {
            //加密字串解密---------------
            for (i=0;i<10;i++)
            {
                cRight[i]=iRight[i]^51;
            }//--------------------------
            printf("%s",cRight);
            return 1;
        }
        else if(i>=1)
        {
            //加密字串解密---------------
            for (i=0;i<10;i++)
            {
                cError[i]=iError[i]^51;
            }//--------------------------
            printf("%s",cError);
        }
    }
    return 0;
}

//靶子函数，数据结构与真正函数PassCmp()一样，增加迷惑性
int PassCmpFun(void)
{
    int iNum[2]={8,9},iTag=0,i,j;
    iNum[5]=0x00413879; //覆盖PassCmpFun()函数返回地址到PassCmp()开始处,此地址不固定。
    char szInPass[12]={0};
    char szPass[10][5]={{"2345"},{"5432"},{"4321"},{"tagy"},{"ef22"},\
                       {"cijh"},{"hijk"},{"nopq"},{"ijhu"},{"cdef"}};
    char cNoPass[11]="51asm51asm";
    for (i=0;i<1;i++)
    {
        int iTag=1;
        printf("请输入密码(6-10位)：");
        scanf("%10s",szInPass);
        fflush(stdin);
        for (j=0;j<10;j++)
        {
            if(szInPass[j]==szPass[j][0])
            {
                iTag++;
            }
        }

char cNoPass[11]="51asm51asm"; //干扰内存定位

        if (iTag==20)
        {
            printf("密码正确！");
            return 1;
        }
        else if(i>=2)
        {
            printf("密码错误！\r\n");
        }
    }
    return 0;
}

//主函数
int main()
{
int iTest = 1; //忽悠人用的……

iTest--; //使下面的IF语句始终为假

PassCmpFun(); //调用靶子函数

    if (iTest)
    {
        int iTag;
        iTag=PassCmp(); //真实判定函数入口
        if (iTag==1)
        {
            printf("精彩！");
        }
    }

    printf("\r\n\r\n");
    system("pause");
    return 0;
}

评论这张

转发至微博

阅读(1791)| 评论(9)

历史上的今天

this.p={  m:2,
              b:2,
              loftPermalink:'',
              id:'fks_082070087083089066080080083095086095086066087081085065',
              blogTitle:'一个利用缓冲区溢出修改程序流程的小例子',
              blogAbstract:'题记：扎实的基础永远都是王道。',
              blogTag:'',
              blogUrl:'blog/static/297137322009621111931745',
              isPublished:1,
              istop:false,
              type:1,
              modifyTime:1252864019310,
              publishTime:1248189571745,
              permalink:'blog/static/297137322009621111931745',
              commentCount:9,
              mainCommentCount:6,
              recommendCount:0,
              bsrk:-100,
              publisherId:0,
              recomBlogHome:false,
              currentRecomBlog:false,
              attachmentsFileIds:[],
              vote:{},
              groupInfo:{},
              friendstatus:'none',
              followstatus:'unFollow',
              pubSucc:'',
              visitorProvince:'',
              visitorCity:'',
              visitorNewUser:false,
              postAddInfo:{},
              mset:'000',
              mcon:'',
              srk:-100,
              remindgoodnightblog:false,
              isBlackVisitor:false,
              isShowYodaoAd:false,
              hostIntro:'不让生活磨灭我的个性！',
              hmcon:'1',
              selfRecomBlogCount:'0',
              lofter_single:'<iframe width="140" height="560" style="overflow:hidden;" src="http://www.lofter.com/mailEntry.do?blogad=1&blog" frameBorder="0"></iframe>'
            }

{list a as x}
    {if !!x}
    <div class="iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
      {if x.visitorName==visitor.userName}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        {if x.moveFrom=='wap'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/wapblog.html?frompersonalbloghome"><span title="来自网易手机博客" class="iblock wapIcon"> </span></a>
        {elseif x.moveFrom=='iphone'}
          <a class="noul pnt" target="_blank"><span title="来自iPhone客户端" class="iblock iphoneIcon"> </span></a>
        {elseif x.moveFrom=='android'}
          <a class="noul pnt" target="_blank"><span title="来自Android客户端" class="iblock androidIcon"> </span></a>
        {elseif x.moveFrom=='mobile'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/emsblog.html?frompersonalbloghome"><span title="来自网易短信写博" class="iblock wapIcon"> </span></a>
        {/if}
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
          ${fn(x.visitorNickname,8)|escape}
        </a>
      </div>
    </div>
    {/if}
    {/list}

<#--最新日志，群博日志--> <#--推荐日志-->

<p class="fc06">推荐过这篇日志的人：</p>
    <div>
      {list a as x}
      {if !!x}
      <div class="iblock nbw-fce nbw-f40">
        <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
        <img alt="${x.recommenderNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.recommenderName)}"/>
        </a>
        <div class="cwd thide">
          <a class="fc03 m2a" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
            ${fn(x.recommenderNickname,6)|escape}
          </a>
        </div>
      </div>
      {/if}
      {/list}
    </div>
    {if !!b&&b.length>0}
    <p  class="fc06">他们还推荐了：</p>
    <ul>
    {list b as y}
      {if !!y}
        <li class="rrb"><span class="iblock">·</span><a class="fc03 m2a" target="_blank" href="http://blog.163.com/${y.recommendBlogPermalink}/?from=blog/static/297137322009621111931745">${y.recommendBlogTitle|escape}</a></li>
      {/if}
    {/list}
    </ul>
    {/if}

<#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇，下一篇--> <#-- 热度 -->

{list a as x}
    {if !!x}
    <div class="hotItem iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
      {if x.publisherUsername==visitor.userName}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
          ${fn(x.publisherNickname,8)|escape}
        </a>
      </div>
      <a class="f-myLikeIcons hottype {if x.type==1} js-liketype{elseif x.type==2} js-reblogtype{elseif x.type==3} js-sharetype{else}{/if}" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/"> </a>
    </div>
    {/if}
    {/list}

<#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->

页脚

我的照片书 - 手机博客 - 下载LOFTER APP - 订阅此博客

A1Pass的风清月朗居

导航

日志

一个利用缓冲区溢出修改程序流程的小例子

历史上的今天

最近读者

热度

评论

页脚