通过一个栈溢出hacker程序简单分析栈变化

      要通过栈溢出做一个这样的hanker程序，在foo程序执行完后无声息的goto到hacker程序中，并且在hanker执行完后，准确的返回到调foo的地方。

      首先，有以下几点需要明确下。

      1、一个函数(main除外)开头和结尾通常有如下代码：

pushl %ebp movl %esp, %ebp subl $xx, %esp ... leave ret

      2、foo call bar的时候，首先会将eip压栈，再将参数压栈(如果有的话)，然后再跳到bar的开始的代码部分；

      3、bar会首先将ebp压栈，再将esp的值赋给ebp，即生成新的栈帧；然后将esp的值减去某个值xx，给临时变量分配栈空间；之后运行自己的代码；

      4、在bar的最后都会有两个指令：leave、ret。leave是清除当前栈帧，相当于MOV ESP,EBP 然后 POP EBP；ret指令是清楚参数，然后POP EIP。

      下面是实现开始时提出的问题的代码：

/* $hongwu, 10/01/17.$ */ #include <stdio.h> int eip4returnMain = 0; int ebp4returnMain = 0; void changeHackerEbp() { int d = 0; int * addr4ebp = &d + 1; *addr4ebp = *addr4ebp - 4; } void hacker() { int c = 0; printf("/n --- hack succeed!/n"); //do anything you want here ^6^ // //put main's stack frame back, then it will come back to main after "ret" int * addr4eip = &c + 1; *addr4eip = eip4returnMain; *(addr4eip - 1) = ebp4returnMain; //subtract 4 from hacker's ebp, because the eip wasn't pushed into stack when go in hacker changeHackerEbp(); } void foo() { int b = 0; int * addr4eip = &b + 2; /* | eip | | ebp | | b | */ printf("/n ---- foo!/n"); //remember the eip&ebp of main's stack frame eip4returnMain = *addr4eip; ebp4returnMain = *(addr4eip - 1); //change the eip of main's stack frame, then hacker will be call silently *addr4eip = (int)hacker; } int main() { foo(); printf("/n ---- return to main succeed!/n"); return 0; }

 

      从foo中偷渡到hacker中很easy，从hacker再返回main，花费了好几个小时，再高贱人的提示下，终于明白了。开始是不清楚call前后的栈变化情况，教科书上的那些东东说的太教科书了^6^，之后是拿栈中少个eip没办法，本以为通过内嵌汇编将esp值减去4，但这个栈是自动的，你将栈搞大一个四，他返回时会相应的缩回去一个四，不过最后，想明白后，搞定就是那么一时半会的事了。

      编译器用的gcc 4.3。