我试图使缓冲区利用示例（example3.c fromhttp://insecure.org/stf/smashstack.html）在Debian Lenny 2.6版本上工作。我知道gcc版本和OS版本与Aleph one使用的版本不同。我已经使用-fno stack protector和sysctl-w kernel禁用了任何堆栈保护机制。随机化空间=0个参数。为了解释我的设置和Aleph One的不同，我引入了两个参数：offset1->从buffer1变量到返回地址的偏移量和offset2->跳过一个语句要跳多少字节。我试图通过分析程序集代码找出这些参数，但没有成功。所以，我编写了一个shell脚本，它基本上运行了缓冲区溢出程序，同时具有来自（1-60）的offset1和offset2的值。但令我惊讶的是，我还是没能打破这个计划。如果有人也能指导我，那就太好了。我已附上代码和程序集输出以供考虑。很抱歉这么长的帖子：）
谢谢。

// Modified example3.c from Aleph One paper - Smashing the stack
void function(int a, int b, int c, int offset1, int offset2) {
   char buffer1[5];
   char buffer2[10];
   int *ret;

   ret = (int *)buffer1 + offset1;// how far is return address from buffer ?
   (*ret) += offset2; // modify the value of return address
}

int main(int argc, char* argv[]) {
  int x;
  x = 0;
  int offset1 = atoi(argv[1]);
  int offset2 = atoi(argv[2]);
  function(1,2,3, offset1, offset2);
  x = 1; // Goal is to skip this statement using buffer overflow
  printf("X : %d\n",x);
  return 0;
}

-----------------
// Execute the buffer overflow program with varying offsets
#!/bin/bash
for ((i=1; i<=60; i++))
do
   for ((j=1; j<=60; j++))
   do
    echo "`./test $i $j`"
   done
done

-- Assembler output
(gdb) disassemble main
Dump of assembler code for function main:
0x080483c2 <main+0>:    lea    0x4(%esp),%ecx
0x080483c6 <main+4>:    and    $0xfffffff0,%esp
0x080483c9 <main+7>:    pushl  -0x4(%ecx)
0x080483cc <main+10>:   push   %ebp
0x080483cd <main+11>:   mov    %esp,%ebp
0x080483cf <main+13>:   push   %ecx
0x080483d0 <main+14>:   sub    $0x24,%esp
0x080483d3 <main+17>:   movl   $0x0,-0x8(%ebp)
0x080483da <main+24>:   movl   $0x3,0x8(%esp)
0x080483e2 <main+32>:   movl   $0x2,0x4(%esp)
0x080483ea <main+40>:   movl   $0x1,(%esp)
0x080483f1 <main+47>:   call   0x80483a4 <function>
0x080483f6 <main+52>:   movl   $0x1,-0x8(%ebp)
0x080483fd <main+59>:   mov    -0x8(%ebp),%eax
0x08048400 <main+62>:   mov    %eax,0x4(%esp)
0x08048404 <main+66>:   movl   $0x80484e0,(%esp)
0x0804840b <main+73>:   call   0x80482d8 <printf@plt>
0x08048410 <main+78>:   mov    $0x0,%eax
0x08048415 <main+83>:   add    $0x24,%esp
0x08048418 <main+86>:   pop    %ecx
0x08048419 <main+87>:   pop    %ebp
0x0804841a <main+88>:   lea    -0x4(%ecx),%esp
0x0804841d <main+91>:   ret
End of assembler dump.

(gdb) disassemble function
Dump of assembler code for function function:
0x080483a4 <function+0>:    push   %ebp
0x080483a5 <function+1>:    mov    %esp,%ebp
0x080483a7 <function+3>:    sub    $0x20,%esp
0x080483aa <function+6>:    lea    -0x9(%ebp),%eax
0x080483ad <function+9>:    add    $0x30,%eax
0x080483b0 <function+12>:   mov    %eax,-0x4(%ebp)
0x080483b3 <function+15>:   mov    -0x4(%ebp),%eax
0x080483b6 <function+18>:   mov    (%eax),%eax
0x080483b8 <function+20>:   lea    0x7(%eax),%edx
0x080483bb <function+23>:   mov    -0x4(%ebp),%eax
0x080483be <function+26>:   mov    %edx,(%eax)
0x080483c0 <function+28>:   leave
0x080483c1 <function+29>:   ret
End of assembler dump.

您提供的function的反汇编似乎使用了offset1和offset2的硬编码值，这与您的C代码相反。
ret的地址应该使用字节/字符偏移量计算：ret = (int *)(buffer1 + offset1)，否则您将被pointer math击中（特别是在这种情况下，当您的buffer1与返回地址的偏移量不是很好地对齐时）。
offset1应等于0x9 + 0x4（用于lea的push %ebp+4字节中的偏移量）。但是，每次编译时都会发生不可预知的变化——堆栈布局可能不同，编译器可能会创建一些额外的堆栈对齐方式，等等。
offset2应该等于7（您试图跳过的指令的长度）。
注意，这里您有点幸运，function使用了cdecl调用约定，这意味着调用方负责在从函数返回后从堆栈中移除参数，通常如下所示：

push arg3
push arg2
push arg1
call func
add esp, 0Ch ; remove as many bytes as were used by the pushed arguments