对于溢出破解，我们常常要通过布局栈空间，来改变程序的运行，因而我们常需要填充大量的垃圾数据来达到目的。

例如通过溢出攻击，改变原本的返回地址，使程序运行我们想要它运行的。

那么这个填充是多少字就是本文要解决的。

一，程序源码及编译

1，源码

文件名：StackOF.c

#include <stdio.h>
#include <string.h>

void vul(char *msg)
{
    char buffer[64];
    strcpy(buffer,msg);
    return;
}

int main()
{
    puts("So plz give me your shellcode:");
    char buffer[256];
    memset(buffer,0,256);
    read(0,buffer,256);
    vul(buffer);
    return 0;
}
    

可以看到，其是将main函数里的buffer作为msg传入vul函数里，然后拷贝到vul中的buffer,但是main函数中buffer大小为256，而vul函数中buffer的大小为64,这就是溢出点。

2，编译

什么保护都不开启
gcc编译：gcc -m32 -no-pie -fno-stack-protector -z execstack -o pwnme StackOF.c

-m32：生成32位的可执行文件
-no-pie：关闭程序ASLR/PIE（程序随机化保护）
-fno-stack-protector：关闭Stack Protector/Canary（栈保护）
-z execstack：关闭DEP/NX（堆栈不可执行）
-o：输出
pwnme：编译生成文件的文件名
StackOF.c:编译前的源文件

二，调试

gdb运行pwnme

在vul函数下断点:breakpoint vul 或 b vul

进入汇编窗口:layout asm

运行：r 或 run

单步步过到strcpy附近：ni
不用连续输入，输入一次后，回车默认ni

在call上面我们发现存在一个push %edx,我们知道32位平台上，参数的保存是放在栈空间上的，而且c语言的参数是从右向左压栈，结合源码strcpy(buffer,msg),那么可想而知，这个push %edx就是保存的buffer的起始地址，我们查看下edx寄存器里的值：i r edx

得到buffer的起始地址 = 0xffffd110

然后我们步过到函数返回的位置

因为这时esp指向的是栈空间的栈顶，是buffer的终止地址，我们查看下esp的值

buffer的终止地址 = 0xffffd15c

三，结果

这时，我们已经得到：
1.buffer的起始地址 = 0xffffd110
2.buffer的终止地址 = 0xffffd15c

只要两者相减得到的就是应当填充的字节：填充数据 = 0xffffd15c - 0xffffd110 = 0x4c = 76字