通过一个栈溢出hacker程序简单分析栈变化

      要通过栈溢出做一个这样的hanker程序,在foo程序执行完后无声息的goto到hacker程序中,并且在hanker执行完后,准确的返回到调foo的地方。

      首先,有以下几点需要明确下。

      1、一个函数(main除外)开头和结尾通常有如下代码:

pushl %ebp movl %esp, %ebp subl $xx, %esp ... leave ret

      2、foo call bar的时候,首先会将eip压栈,再将参数压栈(如果有的话),然后再跳到bar的开始的代码部分;

      3、bar会首先将ebp压栈,再将esp的值赋给ebp,即生成新的栈帧;然后将esp的值减去某个值xx,给临时变量分配栈空间;之后运行自己的代码;

      4、在bar的最后都会有两个指令:leave、ret。leave是清除当前栈帧,相当于MOV ESP,EBP 然后 POP EBP;ret指令是清楚参数,然后POP EIP

      下面是实现开始时提出的问题的代码:

/* $hongwu, 10/01/17.$ */ #include <stdio.h> int eip4returnMain = 0; int ebp4returnMain = 0; void changeHackerEbp() { int d = 0; int * addr4ebp = &d + 1; *addr4ebp = *addr4ebp - 4; } void hacker() { int c = 0; printf("/n --- hack succeed!/n"); //do anything you want here ^6^ // //put main's stack frame back, then it will come back to main after "ret" int * addr4eip = &c + 1; *addr4eip = eip4returnMain; *(addr4eip - 1) = ebp4returnMain; //subtract 4 from hacker's ebp, because the eip wasn't pushed into stack when go in hacker changeHackerEbp(); } void foo() { int b = 0; int * addr4eip = &b + 2; /* | eip | | ebp | | b | */ printf("/n ---- foo!/n"); //remember the eip&ebp of main's stack frame eip4returnMain = *addr4eip; ebp4returnMain = *(addr4eip - 1); //change the eip of main's stack frame, then hacker will be call silently *addr4eip = (int)hacker; } int main() { foo(); printf("/n ---- return to main succeed!/n"); return 0; }

 

      从foo中偷渡到hacker中很easy,从hacker再返回main,花费了好几个小时,再高贱人的提示下,终于明白了。开始是不清楚call前后的栈变化情况,教科书上的那些东东说的太教科书了^6^,之后是拿栈中少个eip没办法,本以为通过内嵌汇编将esp值减去4,但这个栈是自动的,你将栈搞大一个四,他返回时会相应的缩回去一个四,不过最后,想明白后,搞定就是那么一时半会的事了。

      编译器用的gcc 4.3。

你可能感兴趣的:(c,汇编,gcc,Go,编译器)