先来一个链接,讲gdb调试讲的很好~ https://deepzz.com/post/gdb-debug.html
这个是接上一篇讲shellcode的,我觉得得先理解了函数调用时栈的变化,才能对其进行进一步的漏洞利用。所以我们废话不多说,开始吧。
首先需要明确两个重要的寄存器:%rsp %rbp
%rsp:指的是当前栈桢的顶部(他可是个调皮的人,总是在变化位置)
%rbp:指的是栈桢的开始
这两个寄存器我们可以这么理解,%rbp相当于我们通过段加基址
访问内存时候的的基地址
,永远指向一个栈的开始,当我们想要往栈里压数据的时候,%rsp先给咱腾地方,然后咱们通过%rbp找到咱们存放的位置。
我们通过自己写一个简单的例子,放到gdb中调试,来正确的认识一下
代码如下:
1.c
#include
void call(int a,int b)
{
printf("%d\n",a+b);
}
int main()
{
call(10,20);
int a = 0;
printf("%d\n",a);
}
我们要放到gdb中调试的话,一定要在gcc编译的时候,加上-g选项,所以,我们接着输入
gcc -g 1.c
生成一个a.out可执行文件。
我们通过gdb ./a.out
来进行调试(这里我用了peda插件,下载方法:
git clone https://github.com/longld/peda.git ~/peda
echo “source ~/peda/peda.py” >> ~/.gdbinit )
输入start
,程序自动跳转到main函数里的第一条指令
咱们这就来好好分析code那一段到底是怎么回事
0x555555554676 : push rbp
0x555555554677 : mov rbp,rsp
0x55555555467a : sub rsp,0x10
先明确一下,这里的汇编使用x86书写方式来写的,不是Intel的AT&T写法。这里先将rbp寄存器的值压入栈中,然后将rbp寄存器里的值赋给rsp,然后rsp这个小浪漂就开始自己嗨皮的移动了。这里rsp向下开辟了0x10,这么大内存的栈桢。
我们应该都知道,main函数并不是程序执行时的第一个函数,它是通过_start函数来调用的(详情可见这个链接),所以main函数作为一个调用函数,也给我们展示了调用的过程,我们这里先得出一个小小的结论,然后再到下一个函数调用中,我们来进行验证。
也就是说在函数调用的时候,会开辟一个新的栈桢,在这个栈桢上,我们首先会保存上一栈桢的rbp内的值,然后将rbp栈桢指向这个新栈,并将rbp的地址赋值给rsp,此时rbp桢指针和rsp桢指针同时都指向新的栈桢的起始位置。然后通过rsp的变化来进行保存或弹出一些临时变量。
为什么这里还要保存旧的栈桢?明明函数在返回时,已经早就先压入了调用函数中被调函数下一条指令的地址啊?
这个图是整体的函数调用的一个栈桢的图。我们不难发现,这其实就是在一个栈上,我的意思也就是,这里不管是父函数的桢还是子函数的桢,总共也就只有一个rsp和rbp栈桢。
于是,当我们函数在返回的时候,我们不仅要得到函数的返回值(保存在 %rax 中),还需要将栈的结构恢复到函数调用之前的状态,也就是rbp和rsp也要恢复到之前的状态。由于你的rbp在新的栈桢中发生了变化,你如果不保存旧的rbp栈桢的地址的话,你就无法恢复到图中所显示的父函数桢的那个状态。
????????????????????????????
一道诱人的分割线~我们好像扯远了,然我们接着回到gdb中来调试吧~
我们在上面程序停到了main函数入口的第一行代码,我们再把那个图贴出来
我们注意,这里我特意没有去定义一个变量,而是直接传值,我们发现code中有这样的几行代码
0x55555555467e : mov esi,0x14
0x555555554683 : mov edi,0xa
0x555555554688 : call 0x55555555464a
我们知道0x14是20的十六进制表示,0xa是10的十六进制表示。我们不难发现,在进入函数调用之前,我们保存了函数调用的参数,并且参数的保存是按照从右到左的顺序的。
我们来看这条汇编指令
0x555555554688
call + 标号的形式,意味着先将call + 标号的下一条语句的IP放入栈中,然后使当前的IP+16位位移
所以这里我们就明白其在压入被调函数参数后,紧接着压入了返回地址
好,下面我们要进入我们的call函数里了,同样和main一样是被调用的函数,我们来验证一下之前我们的结论对不对。
在gdb中单步调试我们用n
(next的缩写),但是这个并不进入到函数里面去,为了进入到函数里面去,我们用s
来进行单步调试。
细心的童鞋会发现,这时在code中,左边的已经悄悄地由main 变成了call哦
呀,我们想来验证,却发现它自动为我们跳过去了,不行,我一定要来验证一下
通过上一章图的推算,我们可以推算出栈底在0x55555555464a处,所以我们就用disassemble 指定起始地址来查看一下。
?哈哈,果不其然,开头是我们熟悉的
push rbp
mov rbp,rsp
证明我们所推断的一切都是对滴~猴嗨森~
到这里,我们就清楚了,在函数调用过程中栈的变化:
参考资料:
https://akaedu.github.io/book/ch10s01.html 这是一个很好的gdb调试c程序的例子,里面也揭示来一些细节问题,值得一看
https://blog.csdn.net/china_video_expert/article/details/7212481 linux下gdb单步调试的方法
https://zhuanlan.zhihu.com/p/27339191 函数调用时栈变化讲得很好的文章