栈溢出怎么解决，栈溢出详解

经典溢出案例

这种可能存在溢出风险的危险函数在当下的编译器中会产生编号为4996的警告(Warning)。

针对这种程序，我们可以通过IDA逆向分析或者通过cyclic这种工具生成大量的数据去触发程序崩溃并定位崩溃点计算多少个字节导致程序崩溃的并进行shellcode的构造，例如上图这个程序我们只需要输入208个字节即可将返回地址覆盖掉，这208个字节是：200字节msg+4字节ebp+4字节返回地址，可以确定覆盖到204字节的时候就是返回地址部分了，这个时候我们可以将返回地址这部分填写为我们的恶意函数的地址，这样该函数调用完毕后从栈上拿到返回地址跳转回去的时候就会去执行我们的恶意函数，这也就导致程序的执行流程被劫持控制。

栈溢出手段

第1种覆盖(下图左边部分)

硬编码shellcode地址，重启程序，可能会变，其实就是将Shellcode放在这个函数中缓冲区部分(局部变量区)中，然后将返回地址直接指向这个局部变量区，就可以导致程序跳转指向Shellcode。

缺点：Shellcode地址写死了，程序每次重启地址可能发生变化，所以可能导致Shellcode执行失败情况。

第2种覆盖(下图中间部分)

容易破坏上层栈的数据，通修改返回地址为程序中找到的jmp esp这种指令(gadget)跳转到我们的Shellcode上执行，至于Shellcode则只需要存放在返回地址后面这块内存空间上即可（也就是调用该函数传递的参数部分），因为执行完毕返回地址这条指令时候esp已经发生了变化，移动到了返回地址+4的地方，也就是参数部分。

函数执行完毕执行到ret的时候的操作是：

如果我们把返回地址修改为了jmp esp指令地址,则是

缺点：会破坏栈，更严重可能导致该函数的调用者栈空间被破坏(因为这一小部分空间有限)。

第3种方法(下图右边部分)

这种攻击方法较好利用了自己栈空间，是前面第二种方法的改良版，我们先在局部变量区写上Shellcode，然后在溢出点覆盖返回地址为jmp esp指令这种gadget，在返回地址后面写上jmp esp-0XXX指令，至于后面这个减去的值则需要我们自己计算，计算方法：shellcode

首地址-返回地址处地址+8(返回地址+当前jmp指令)，这样，我们就可以通过这种相对偏移手法实现准确定位到Shellcode上面。

上述方法来自于0day安全_软件漏洞分析技术(第二版)。

在当下常规的手法：ret2text、retshellcode、ret2libc、stack pivoting、ret2csu、ret2syscall等等。