我們來看一下以前比較精典的一個溢出實例ms04011溢出：

Microsoft Windows XP [版本 5.1.2600] 

(C) 版權所有 1985-2001 Microsoft Corp. 

C:\windows\system32\cd\ 

C:\>

C:\>getos 2**.159.31.96   （判斷操作系統）

---------------------------- 

THCsmbgetOS v0.1 - gets gro 

by Johnny Cyberpunk ( 

---------------------------- 

(C) 版權所有 1985-2001 Microsoft Corp. 

D:\WINDOWS\system32> (得到目標機shell)

D:\WINDOWS\system32>net user test  test /add 

net user test test /add 

命令成功完成。   (建立用戶)

上面只是簡單演示了一下溢出過程， 上例是正向溢出， 只是直接溢出后用nc進行連接， 還可以反向溢出， 反向溢出一般用來突破防火墻， 先用nc在本機監聽一個端口， 等待反向溢出的服務器連接過來從而得到一個system權限的shell。 對于溢出還有很多， 如iis、mso4045、ms04049、ms05039、ms05051、ms06061等還有一些精典的應用程序遠程溢出， 如未打sp3的mssql遠程溢出可以直接得到系統權限。 還有imail服務也一樣可以通過遠程溢出獲得系統權限。 還有很多病毒如沖擊波、震蕩波等病毒都是利用的rpc和lsass溢出漏洞， 在感染一臺機器后又不斷的以此機器為節點掃描網絡中的其它存在漏洞的機器進行溢出植入病毒程序， 這樣不斷的繁殖下去。

不過在windiws2003下溢出就無用武之地了， 因為在2003的保護機制里面還有一個技術是可控的SEH處理函數指針， 2003中結構化異常處理例程注冊后， 它的函數指針會保存在模塊中的一個叫Load Configuration Directory的地址列表中， 如果函數返回時系統發現堆棧中的Cookie發生了改變， 視為溢出， 系統就會查看當前線程相關的SEH中是否有相應的處 理函數指針， 有的話， 系統將該指針與已經注冊過函數的地址列表進行對照， 如果沒有發現匹配的， 而且處理函數指針在堆棧中， 異常處理函數就不運行。 如果該處 理函數指針位于已加載的各個DLL模塊地址范圍只外， 或堆中， 處理函數會被執行， 這種可控制的異常處理技術就會使傳統的覆蓋SEH指針的方法失敗。 雖然可以用已經加載模塊以外的地址來覆蓋SHE但在遠程溢出中仍顯得無力。

我們再來看看本地溢出， 本地溢出主要用來進行權限提升， 前面的serv-u的本地溢出已經注入中講解了， 我們現在再來看一下本地的一個特權提升漏洞

通過執行本地溢出直接從user用戶提升到系統權限。

對溢出攻擊的安全防范：

關閉139端口， 停掉icp/ip netbios服務。

在本地連接的屬性窗口中tcp/ip協議中的高級選項里“禁用tcp/ip上的netbios(s)”因為很多溢出都是利用的這個通道。

安裝防火墻是必要的。

打上重要漏洞的補丁（如沖擊波補丁、震蕩波補丁）， 并開啟系統的自動更新功能。

服務器使用windows2003系統。