我查看了缓冲区溢出漏洞的基础知识,并尝试了解堆栈的工作原理。为此,我想编写一个简单的程序,将返回地址的地址更改为某个值。任何人都可以帮我弄清楚基本指针的大小以获得第一个参数的偏移量吗?
void foo(void)
{
char ret;
char *ptr;
ptr = &ret; //add some offset value here
*ptr = 0x00;
}
int main(int argc, char **argv)
{
foo();
return 1;
}
生成的汇编程序代码如下所示:
.file "test.c"
.text
.globl foo
.type foo, @function
foo:
.LFB0:
.cfi_startproc
pushq %rbp
.cfi_def_cfa_offset 16
.cfi_offset 6, -16
movq %rsp, %rbp
.cfi_def_cfa_register 6
leaq -9(%rbp), %rax
movq %rax, -8(%rbp)
movq -8(%rbp), %rax
movb $0, (%rax)
popq %rbp
.cfi_def_cfa 7, 8
ret
.cfi_endproc
.LFE0:
.size foo, .-foo
.globl main
.type main, @function
main:
.LFB1:
.cfi_startproc
pushq %rbp
.cfi_def_cfa_offset 16
.cfi_offset 6, -16
movq %rsp, %rbp
.cfi_def_cfa_register 6
subq $16, %rsp
movl %edi, -4(%rbp)
movq %rsi, -16(%rbp)
call foo
movl $1, %eax
leave
.cfi_def_cfa 7, 8
ret
.cfi_endproc
.LFE1:
.size main, .-main
.ident "GCC: (GNU) 4.7.1 20120721 (prerelease)"
.section .note.GNU-stack,"",@progbits
foo框架段的相关部分应如下所示:
[char ret] [基本指针] [返回地址]
我的第一个位置只有1个字节。是{1}}中提到的基本指针或单词大小只有1个字节吗?我如何知道基指针的大小?
答案 0 :(得分:1)
您无法在vanilla C中执行此操作,您无法控制编译器如何布置堆栈帧。
在x86-64中,返回地址应为%rbp + 8。您可以使用一些内联汇编来获取它(gcc语法):
uint64_t returnaddr;
asm("mov 8(%%rbp),%0" : "=r"(returnaddr) : : );
同样适用于设置。
即使这有点粗略,因为您不知道编译器是否要设置%rbp。 YMMV。
答案 1 :(得分:1)
你的basepointer很可能只是一个指针,所以它的大小是sizeof(int *)。
但是变量ret和基指针之间还有另一个值。
我会假设它的寄存器值(eax?)。如果你想要一个无限循环,这将导致如下所示:
void foo(void)
{
char ret;
char *ptr;
ptr = (char*)(&ret) + (sizeof(ret) + 2*sizeof(int*)) ;
*(int*)ptr -= 0x0c;
}
返回目标,假设它具有指针的大小而被修改(对于其他指令集可能不同)。通过递减它,返回目标被设置为调用点foo之前的点。
答案 2 :(得分:0)
似乎您使用的是64位架构,因为RBP和RSP寄存器的长度为64位。如果您将ptr声明为char*,则必须将其递增8次才能在堆栈中移动。
相反,您可以将其声明为uint64_t *。此数据类型通常在<stdint.h>中提供。
但是,堆栈帧定义因目标体系结构甚至编译器行为和优化而异。不过,如果你正在尝试,那就好了。