问题描述：

在Linux系统中对以下代码进行控制劫持流攻击，即执行win函数 

#include<stdlib.h>
#include<unistd.h>
#include<stdio.h>
#include<string.h>

void win()
{
	printf("code flow successfully changed\n");
}
int main()
{
	volatile int (*fp)();
	char buffer[64];
	fp=0;
	gets(buffer);
	if(fp)
	{
		printf("calling function pointer,jumping to 0x%08x\n",fp);
		fp();
	}
}

分析步骤

（1）由于在本程序中存在gets函数，而gets函数是一个不安全的函数，它是从缓冲区中读取字符串并且直到文件尾标识符或是换行符才结束，所以只要使得缓冲区的字符数大于原有变量的规定数字那么通过构造特定的字符就可以实现覆盖原有程序中的信息，比如变量值。

（2）在本程序中还存在volatile，该保留字是关于编译器优化的，由于在编译器中有一项技术是数据流分析，用于分析程序中变量在哪里赋值或是在哪里使用等，其结果通常用于常量合并或常量传播，但有时这些优化并不是程序所需要的，于是就用volatile来禁止这些优化，使得程序总能从内存中读取变量。

（3）在Linux系统中编写此程序，如下图所示。

（4）编写好之后编译程序，如下图所示。

其中参数-g是为了使用gdb调试，而参数-fno-stack-protector是为了禁止编译器自动的识别栈溢出的危险操作。

（5）使用gdb调试此程序，在main函数处设置断点，如下图所示。

在上图中用list来显示源程序的行数，用来查看main函数的行数。

（6）设置gdb的反汇编环境为intel模式，并且反汇编main函数来查看各个变量的地址。如下图所示。

在上图中，第一个圈住的位置就是fp=0的汇编代码，第二个圈住的就是调用fp函数的代码。

（7）使用print win命令来查看win函数的地址，用于构造栈溢出的地址。如下图所示。

（8）在得知win函数的地址后，开始构造栈溢出的字符串，注意在内存中低位字节是在前的。如下图所示。

在上图中，使用echo命令来使用python打印字符串，在字符串中除了64个A占满buffer的原始空间大小后，还在其尾部增加了win函数的地址，最后再用Linux的管道符号将其加载到待调试程序中，得到了正确结果。

参考资料：

http://4ch12dy.site/2017/04/13/Protostar-%E6%A0%88%E6%BA%A2%E5%87%BA%E7%B3%BB%E5%88%97%E5%AD%A6%E4%B9%A0-Stack%201/Protostar-%E6%A0%88%E6%BA%A2%E5%87%BA%E7%B3%BB%E5%88%97%E5%AD%A6%E4%B9%A0-Stack%201/

http://www.atomsec.org/%E6%B8%B8%E6%88%8F/protostar-stack-0-7-write-up/

https://www.giantbranch.cn/2017/08/03/Exploit%20Exercises%20Protostar%20Stack%20Part%200-7/

https://blog.csdn.net/SCNU_Jiechao/article/details/78461609