使用堆栈粉碎删除指令

时间:2012-11-11 09:48:16

标签: c stack buffer-overflow stack-smash

我一直试图通过堆栈粉碎更改返回地址来跳过指令。以下代码跳过main中的++并输出" 1 3"的输出。我已经在32位英特尔机器上执行了这段代码。 

#include<stdio.h>
void fun(int a,int b) {
    // buffer
    char buf[8];
    char *p;
    p = (char *)buf+24;
    *p=*p+5;
    return;
}

int main() {
    int a=1,b=2;
    fun(a,b);
    a++;
    b++;
    printf("%d %d",a,b);
 }

我无法理解为什么返回地址存储在距buf起始地址24个字节的位移处。我尝试在不同的32位英特尔机器上执行相同的代码,我不得不使用20字节而不是24字节的位移。我已将我的理解放在下图中。我不确定是什么填补了&#34;?&#34;在图中。 gcc是否存在任何金丝雀价值,或者我错过了什么?

链接到图:http://www.cse.iitb.ac.in/~shashankr/stack.png

Smashing the stack example3.c confusion提出同样的问题,但无法解释一般的流离失所的原因。

下图给出了通过在函数中放置断点获得的堆栈的视图。

stack content http://www.cse.iitb.ac.in/~shashankr/stack4.png

以下是main和fun的汇编代码:

 Dump of assembler (fun):
 0x08048434 <+0>:   push   %ebp
 0x08048435 <+1>:   mov    %esp,%ebp
 0x08048437 <+3>:   sub    $0x18,%esp
 0x0804843a <+6>:   mov    %gs:0x14,%eax
 0x08048440 <+12>:  mov    %eax,-0xc(%ebp)
 0x08048443 <+15>:  xor    %eax,%eax
 0x08048445 <+17>:  lea    -0x14(%ebp),%eax
 0x08048448 <+20>:  add    $0x18,%eax
 0x0804844b <+23>:  mov    %eax,-0x18(%ebp)
 0x0804844e <+26>:  mov    -0x18(%ebp),%eax
 0x08048451 <+29>:  movzbl (%eax),%eax
 0x08048454 <+32>:  add    $0x5,%eax
 0x08048457 <+35>:  mov    %eax,%edx
 0x08048459 <+37>:  mov    -0x18(%ebp),%eax
 0x0804845c <+40>:  mov    %dl,(%eax)
 0x0804845e <+42>:  mov    -0xc(%ebp),%eax
 0x08048461 <+45>:  xor    %gs:0x14,%eax
 0x08048468 <+52>:  je     0x804846f <fun+59>
 0x0804846a <+54>:  call   0x8048350 <__stack_chk_fail@plt>
 0x0804846f <+59>:  leave  
 0x08048470 <+60>:  ret    


 Dump of assembler (main)
 0x08048471 <+0>:   push   %ebp
 0x08048472 <+1>:   mov    %esp,%ebp
 0x08048474 <+3>:   and    $0xfffffff0,%esp
 0x08048477 <+6>:   sub    $0x20,%esp
 0x0804847a <+9>:   movl   $0x1,0x18(%esp)
 0x08048482 <+17>:  movl   $0x2,0x1c(%esp)
 0x0804848a <+25>:  mov    0x1c(%esp),%eax
 0x0804848e <+29>:  mov    %eax,0x4(%esp)
 0x08048492 <+33>:  mov    0x18(%esp),%eax
 0x08048496 <+37>:  mov    %eax,(%esp)
 0x08048499 <+40>:  call   0x8048434 <fun>
 0x0804849e <+45>:  addl   $0x1,0x18(%esp)
 0x080484a3 <+50>:  addl   $0x1,0x1c(%esp)
 0x080484a8 <+55>:  mov    $0x80485a0,%eax
 0x080484ad <+60>:  mov    0x1c(%esp),%edx
 0x080484b1 <+64>:  mov    %edx,0x8(%esp)
 0x080484b5 <+68>:  mov    0x18(%esp),%edx
 0x080484b9 <+72>:  mov    %edx,0x4(%esp)
 0x080484bd <+76>:  mov    %eax,(%esp)
 0x080484c0 <+79>:  call   0x8048340 <printf@plt>
 0x080484c5 <+84>:  leave  
 0x080484c6 <+85>:  ret

1 个答案:

答案 0 :(得分:2)

我相信答案一无所获。你有不同的gcc版本吗?无论如何,允许编译器分配比所需更多的堆栈。也许这是基于变量数量的初始“猜测”,但不会被优化阶段减少,优化阶段允许将任何变量移动到寄存器。或者,如果子程序需要,可以保存ecx,ebp或其他寄存器。

无论如何,有一个固定的地址变量可以解决这个问题: a 。 返回地址=&amp; a [-1]。

相关问题
最新问题