1
反汇编
调试
将call的地址改为跳转到get的
2
注入测试一下
看到几位占用了返回地址单元
把注入数据的位改成要跳转的地址注入
3
代码反汇编成注入数据
地址位乱填
调试
找出注入代码开始的地址
在ret定义断点得到返回地址代码
找地址附近的值
对比注入代码
偏移四个字节得出返回地址填为查询的地址加4
更改注入代码的地址位进入程序
全部完成
漏洞是什么:
漏洞是指一个系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。
这些缺陷、错误或不合理之处可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息系统被攻击或控制,重要资料被窃取,用户数据被篡改,系统被作为入侵其他主机系统的跳板。从目前发现的漏洞来看,应用软件中的漏洞远远多于操作系统中的漏洞,特别是WEB应用系统中的漏洞更是占信息系统漏洞中的绝大多数。