#include<stdio.h>
#include<stdlib.h>
void attack(){
while(1){
printf("hello world\n");
}
getchar();
}
int main(int arg1,char* args[]){
int var[5]={0};
var[6]=(int)attack; //这是一个简单的攻击程序,将一个函数名赋值给了一个整形数组的元素
system("pause"); //因为在32位系统中函数名其实就是一个32位的地址,刚好一个整形变量
return 0; //的长度就是就是32位,所以这里赋值是可以的
//
} //这里还要注意一点的是刚好是第一个溢出元素,其实也是一个局部变量,但是由于
//它是数组的溢出元素,由于溢出元素的入栈是继续向栈底入栈,所以会对之前栈中的
//数据造成覆盖,地址其实就是【EBP+4】,这个地址是由于是上一个调用函数返回时的
//返回地址,所以在调用return语句时,就会将这个地址作为返回地址出栈弹出给【EIP】
//所以这个整形的变量就会被当做一个函数地址被调用【attack】
原文:http://www.cnblogs.com/zhuh102/p/5952300.html