这是一个简单的会溢出的程序
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103114381-1891127258.png)
run时返现程序程序终止,并得到以下提示栈溢出而奔溃。eip的值并没有被改变。
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103137100-2091547724.png)
查看寄存器的内容,发现eip的值并没有发生改变,这是因为gcc默认开启堆栈保护,当检测到有栈溢出时就会自动终止。
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103202709-1505244938.png)
如果我们希望修改eip时不退出调试,比如编写shellcode时,我们需要关闭gcc的堆栈保护
gcc -fno-stack-protector overflow.c -o overflow
gdb overflow
run
这里提示试图执行0x41414141的错误指令而奔溃,而不是提示因为栈溢出而奔溃,eip的值被改变了,但是0x41414141是一个错误的机器指令所以执行它时会报错。
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103228162-21160741.png)
这时发现eip的值被改成了0x41414141
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103246662-999965312.png)
sysctl -w kernel.randomize=0关闭ubuntu地址随机化
修改堆栈溢出程序
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103505412-1974103305.png)
gcc -mpreferred-stack-boundary=2 -fno-stack-protector -g meet.c -o meet
-fno-stack-protector关闭gcc堆栈保护
./meet Mr `perl -e 'print "A" x 400'`
./meet Mr `perl -e 'print "A" x 600'`
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103557569-1139768502.png)
栈溢出
gdb meet
list
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103622584-1250663057.png)
b 6
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103709881-985689256.png)
当拷贝的值大小没超过name的范围时
run Mr `perl -e 'print "A" x 400'`
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103831209-1212482939.png)
当拷贝的值大小超过name的范围时
run Mr `perl -e 'print "A" x 600'`
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103843694-1215495128.png)
可以看到函数的参数已经被破坏
两个指针都指向0x41414141,而相应的值是NULL,而print()无法处理NULL,所以就会出现段错误
长度从400增加到408
run Mr `perl -e 'print "A" x 404'`
刚好改变了ebp,但没有改变eip
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103920944-1788912449.png)
run Mr `perl -e 'print "A" x 408'`
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424103942381-484061387.png)
刚好改变了eip的值
![](https://images2015.cnblogs.com/blog/1013528/201704/1013528-20170424104020194-1787928158.png)
这里的数字400~408并不重要,重要的时逐渐增加字符串的长度,直至缓冲区溢出刚好改写了栈中的eip值,而不涉及更多的变动,因为在缓冲区溢出之后,紧接着就是printf调用。