7

我查看了缓冲区溢出漏洞的基础知识,并试图了解堆栈是如何工作的。为此,我想编写一个简单的程序,将返回地址的地址更改为某个值。任何人都可以帮我弄清楚基指针的大小以从第一个参数中获取偏移量吗?

void foo(void)
{
    char ret;
    char *ptr;

    ptr = &ret; //add some offset value here 
    *ptr = 0x00;
}

int main(int argc, char **argv)
{
    foo();

    return 1;
}

生成的汇编代码如下所示:

    .file   "test.c"
    .text
    .globl  foo 
    .type   foo, @function
foo:
.LFB0:
    .cfi_startproc
    pushq   %rbp
    .cfi_def_cfa_offset 16
    .cfi_offset 6, -16 
    movq    %rsp, %rbp
    .cfi_def_cfa_register 6
    leaq    -9(%rbp), %rax
    movq    %rax, -8(%rbp)
    movq    -8(%rbp), %rax
    movb    $0, (%rax)
    popq    %rbp
    .cfi_def_cfa 7, 8
    ret 
    .cfi_endproc
.LFE0:
    .size   foo, .-foo
    .globl  main
    .type   main, @function
main:
.LFB1:
    .cfi_startproc
    pushq   %rbp
    .cfi_def_cfa_offset 16
    .cfi_offset 6, -16 
    movq    %rsp, %rbp
    .cfi_def_cfa_register 6
    subq    $16, %rsp
    movl    %edi, -4(%rbp)
    movq    %rsi, -16(%rbp)
    call    foo 
    movl    $1, %eax
    leave
    .cfi_def_cfa 7, 8
    ret 
    .cfi_endproc
.LFE1:
    .size   main, .-main
    .ident  "GCC: (GNU) 4.7.1 20120721 (prerelease)"
    .section    .note.GNU-stack,"",@progbits

foo 帧段的相关部分应如下所示:

[char ret] [基指针] [返回地址]

我有第一个的位置,它的大小只有 1 个字节。它是否仅比基本指针更远 1 个字节或http://insecure.org/stf/smashstack.html中提到的单词大小?我如何知道基指针的大小?

4

3 回答 3

1

您将无法在 vanilla C 中执行此操作,您无法控制编译器如何布置堆栈帧。

在 x86-64 中,返回地址应为%rbp + 8. 您可以使用一些内联程序集来获得它(gcc 语法):

uint64_t returnaddr;
asm("mov 8(%%rbp),%0" : "=r"(returnaddr) : : );

同样设置它。

即使这样也有点粗略,因为您不知道编译器是否会设置%rbp。YMMV。

于 2012-09-27T21:47:05.377 回答
1

您的基指针很可能只是一个指针,因此它的大小为 sizeof(int*)。ret但是在您的变量和基指针之间还有另一个值。我会假设它的值是一个寄存器(eax?)。如果您想要一个无限循环,这将导致类似以下内容:

void foo(void)
{
    char ret;
    char *ptr;

    ptr = (char*)(&ret) + (sizeof(ret)  + 2*sizeof(int*)) ;
    *(int*)ptr -= 0x0c;
}

假设它具有指针的大小(对于其他指令集可能不同)而修改的返回目标。通过递减它,返回目标被设置为调用点之前的一个点foo

于 2012-09-27T22:43:42.267 回答
0

看来您使用的是 64 位架构,因为 RBP 和 RSP 寄存器是 64 位长的。如果您声明ptrchar*,则必须将其递增 8 次才能在堆栈中移动。相反,您可以将其声明为uint64_t *. 这种数据类型通常在<stdint.h>.

但是,堆栈帧定义取决于目标体系结构,甚至取决于编译器行为和优化。不过,如果您正在尝试,那很好。

于 2012-09-27T21:45:31.090 回答