2

我在这里写了一个 C 函数(它确实存在缓冲区溢出漏洞)

void func(char *str)
{
   char buffer[12];
   int a=9;
   strcpy(buffer,str);
}

它在 gdb 中的汇编转换为

|0x4005b4 <func>         push   %rbp
|0x4005b5 <func+1>       mov    %rsp,%rbp
|0x4005b8 <func+4>       sub    $0x40,%rsp
|0x4005bc <func+8>       mov    %rdi,-0x38(%rbp)
|0x4005c0 <func+12>      mov    %fs:0x28,%rax
|0x4005c9 <func+21>      mov    %rax,-0x8(%rbp)
|0x4005cd <func+25>      xor    %eax,%eax
|0x4005cf <func+27>      movl   $0x9,-0x24(%rbp)
|0x4005d6 <func+34>      mov    -0x38(%rbp),%rdx
|0x4005da <func+38>      lea    -0x20(%rbp),%rax
|0x4005de <func+42>      mov    %rdx,%rsi
|0x4005e1 <func+45>      mov    %rax,%rdi
|0x4005e4 <func+48>      callq  0x400490 <strcpy@plt>
|0x4005e9 <func+53>      mov    -0x8(%rbp),%rax
|0x4005ed <func+57>      xor    %fs:0x28,%rax
|0x4005f6 <func+66>      je     0x4005fd <func+73>
|0x4005f8 <func+68>      callq  0x4004a0 <__stack_chk_fail@plt>
|0x4005fd <func+73>      leaveq
|0x4005fe <func+74>      retq

rdi包含传递给函数的原始字符数组的地址。

1.In func+8,是将这个 rdi 值移动到 -0x38(rbp) 以将值保存在函数的局部变量 str 中还是有其他含义?

2. 指令在func+8完成什么?无论如何在 gdb 或 linux 中查看内容fs segment

3.指示func+12func+25什么?

编辑:我在 gcc 4.6.3 中用 -O0 编译了这个

4

3 回答 3

2

您关于 fs 段的问题的答案似乎是堆栈金丝雀。我发现一个似乎解释得很好的博客以及它的评论:

http://xorl.wordpress.com/2010/10/14/linux-glibc-stack-canary-values/

于 2013-09-23T19:40:52.637 回答
2

func+8将参数值存储在临时变量中,因为%rdi将在func+45. 编译器可能会以不同的方式处理它,但我想这就是它为这种情况选择的。

我不记得如何检查fs段的内容,但我怀疑它正在读取一些已知的金丝雀值以放入堆栈。我不太确定,但func+12看起来func+25它正在设置一些堆栈保护,因为稍后会检查该值,并且如果它不一样,则会调用错误处理程序:

|0x4005e9 <func+53>      mov    -0x8(%rbp),%rax  <-- loads the value on the stack
|0x4005ed <func+57>      xor    %fs:0x28,%rax    <-- compare with original
|0x4005f6 <func+66>      je     0x4005fd <func+73>     <-- if they are different
|0x4005f8 <func+68>      callq  0x4004a0 <__stack_chk_fail@plt> <-- call this
于 2013-09-23T18:03:48.293 回答
1

这只是回答了上面问题#3的一小部分,但xor %eax %eax清除了eax。

我对 x86 做的不多,所以我不能确切地告诉你序言在那里做了什么,但 objdump 通常比 gdb 提供更好的反汇编:

 $ objdump -dS func.o

Disassembly of section .text:

0000000000000000 <func>:
#include <string.h>

void func(char *str)
{
   0:   55                      push   %rbp
   1:   48 89 e5                mov    %rsp,%rbp
   4:   48 83 ec 20             sub    $0x20,%rsp
   8:   48 89 7d e8             mov    %rdi,-0x18(%rbp)
    char buffer[12];
    int a=9;
   c:   c7 45 fc 09 00 00 00    movl   $0x9,-0x4(%rbp)
    strcpy(buffer, str);
  13:   48 8b 55 e8             mov    -0x18(%rbp),%rdx
  17:   48 8d 45 f0             lea    -0x10(%rbp),%rax
  1b:   48 89 d6                mov    %rdx,%rsi
  1e:   48 89 c7                mov    %rax,%rdi
  21:   e8 00 00 00 00          callq  26 <func+0x26>
}
  26:   c9                      leaveq 
  27:   c3                      retq

这至少应该告诉你编译器认为它在做什么。

于 2013-09-23T17:51:07.730 回答