開場白

各位朋友們，當(dāng)你們看到網(wǎng)上傳播關(guān)于微軟windows、IE對黑客利用“緩沖區(qū)溢出”、0day漏洞攻擊的新聞，是否有過自己也想試試身手，可惜無從下手的感慨？本文將完全使用C#語言，探索那些不為人知的秘密。

1.本文講述在C#中利用堆棧緩沖區(qū)溢出動態(tài)修改內(nèi)存，達(dá)到改變應(yīng)用程序執(zhí)行流程的目的。

2.如果你是高手，請指出本文的不足。

3.為了讓本文通俗易懂，代碼將極盡精簡。

現(xiàn)在開始

我們知道，當(dāng)數(shù)組下標(biāo)越界時，.NET會自動拋出StackOverflowException，這樣便讓我們可以安全的讀寫內(nèi)存，那么我們有沒有逾越這個自動檢測的屏障，達(dá)到我們非常操作的目的呢？答案是有的，而且我們可以修改一些關(guān)鍵變量如if、switch的判斷值，for循環(huán)變量i值,甚至方法返回值，當(dāng)然理論上還可以注入代碼、轉(zhuǎn)移代碼執(zhí)行區(qū)塊，前提是必須在unsafe代碼里。

方法在被調(diào)用時，系統(tǒng)會進(jìn)行以下幾項操作：將該方法入棧、參數(shù)入棧、返回地址入棧、控制代碼區(qū)入棧（EIP入棧）。我們想要訪問方法的棧內(nèi)地址，常規(guī)的托管代碼是不行的，只能使用unsafe代碼，但也并不是說你非要精通C/C++語言和指針操作，本文的例子都非常簡單，完全可以將指針就認(rèn)為是簡版C#數(shù)組。

改變臨時變量的值

先給出一段代碼，然后再詳細(xì)解釋原理。

static  unsafe void Main(string[] args)  
        {  
            //在棧上申請一個只能保存一個int32的內(nèi)存段  
            int* p = stackalloc int[1];  
 
            for (var i = 0; i < 30; i++)  
            {  
                System.Threading.Thread.Sleep(200);  
 
                Console.WriteLine("{0}\n", i);  
                p[i] = 0;  
            }  
              
            Console.ReadLine();  
        } 

這是一個既簡單，但是對于從沒有嘗試這樣寫過代碼的開發(fā)者來說，又頗耐人尋味，C#（包括C/C++）不會去檢查指針p的偏移量是否越界，那么這段代碼將會順利編譯并運行，那么for循環(huán)會順利執(zhí)行30次嗎？還是......

呵呵..大家稍等...

結(jié)論是，這將是一個死循環(huán)，因為p不斷的遞增1偏移，并將附近的內(nèi)存的值全改為0，而局部變量i是靠p最近的變量，所有當(dāng)p[i]的偏移地址等于i的地址時，代碼p[i]=0就等價于i=0，實際上我在測試中i=6的時候i的值就被覆蓋為0了，我在代碼中添加了Thread.Sleep(200)和Console.WriteLine("{0}\n", i)就是讓大家能更直觀的看到程序的執(zhí)行過程，當(dāng)然這里也可以改為p[i]=1，p[i]=2等數(shù)字

搜索內(nèi)存值并修改

還是先給出代碼

static  unsafe void Main(string[] args)  
        {  
            Console.WriteLine(Change_Result());  
            Console.ReadLine();  
        }  
 
        static unsafe int Change_Result()  
        {  
              
            int i = 0;  
            //變量result,默認(rèn)的返回值  
            int result = 123;   
            //申請一段棧內(nèi)存，大小可隨意設(shè)置  
            int* p = stackalloc int[1];  
//從當(dāng)前棧地址開始向下查找與函數(shù)返回值相匹配的地址，一旦匹配則修改為10000  
            while (true)  
            {  
                if (p[++i] == 123)  
                {  
                    p[i] = 10000;  
                    break;  
                }  
            };  
            return result;  
        } 

變量result作為方法的返回值默認(rèn)為123，并且沒有任何顯式修改其值的代碼，關(guān)鍵在這里

while (true)  
 
            {  
                if (p[++i] == 123)  
                {  
                    p[i] = 10000;  
                    break;  
                }  
            } 

這段代碼找到值為123的內(nèi)存地址（也就可能是變量result的地址），然后將其值修改為10000，當(dāng)然，函數(shù)返回值就肯定不會再是原先的123咯

這就是經(jīng)典的StackOverFlow的兩個例子，希望通俗易懂能讓大家所接受，另外緩沖區(qū)溢出并不只是改變內(nèi)存的值，在高手的手里，他還可以執(zhí)行任意代碼，因為方法執(zhí)行的時候總會有一個指針指向方法即將執(zhí)行的下一條指令，如果控制了這個指針，就控制了進(jìn)程。 

原文鏈接：http://www.cnblogs.com/bidaas2002/archive/2010/12/27/1917562.html

【編輯推薦】

1. C#取整函數(shù)實例應(yīng)用詳解
2. C#單元測試的一個小故事
3. C#單元測試概念及作用的淺析
4. C#單元測試使用的必要性的淺析
5. C#單元測試的運行淺析