我有一个小程序,用C语言编写,echo():
/* Read input line and write it back */
void echo() {
char buf[8]; /* Way too small! */
gets(buf);
puts(buf);
}
相应的汇编代码:
1 echo:
2 pushl %ebp //Save %ebp on stack
3 movl %esp, %ebp
4 pushl %ebx //Save %ebx
5 subl $20, %esp //Allocate 20 bytes on stack
6 leal -12(%ebp), %ebx //Compute buf as %ebp-12
7 movl %ebx, (%esp) //Store buf at top of stack
8 call gets //Call gets
9 movl %ebx, (%esp) //Store buf at top of stack
10 call puts //Call puts
11 addl $20, %esp //Deallocate stack space
12 popl %ebx //Restore %ebx
13 popl %ebp //Restore %ebp
14 ret //Return
我有几个问题。
为什么%esp会分配20个字节? buf是8个字节,为什么额外的12?
返回地址就在我们推动%ebp正确的位置上方吗? (假设我们将堆栈颠倒,它向下增长)旧%ebp的目的是什么(当前%ebp指向的是第3行的结果)?
如果我想更改返回地址(通过输入超过12个字节的内容),它将改变echo()返回的位置。更改旧的%ebp(返回地址前的4个字节)的后果是什么?是否有可能通过更改旧的%ebp来更改返回地址或echo返回的位置?
%ebp的目的是什么?我知道它的帧指针,但那是什么?
编译器是否有可能将缓冲区放在旧%ebp存储位置旁边的某个位置?就像我们声明buf [8]但它在第6行将它存储在-16(%ebp)而不是-12(%ebp)一样?
**使用gets()因为缓冲区溢出
答案 0 :(得分:6)
分配20个字节的原因是为了堆栈对齐。 GCC 4.5+生成的代码可确保被调用者的本地堆栈空间与16字节边界对齐,以确保已编译的代码可以以明确定义的方式对堆栈执行对齐的SSE加载和存储。因此,在这种情况下,编译器需要丢弃一些堆栈空间,以确保gets / puts获得正确对齐的帧。
本质上,这就是堆栈的外观,其中每一行是一个4字节的字,除了表示16字节地址边界的---行:
...
Saved EIP from caller
Saved EBP
---
Saved EBX # This is where echo's frame starts
buf
buf
Unused
---
Unused
Parameter to gets/puts
Saved EIP
Saved EBP
---
... # This is where gets'/puts' frame starts
正如您可以从我精彩的ASCII图形中看到的那样,如果不是“未使用”部分,gets / puts会得到一个未对齐的帧。但请注意,未使用12个字节;其中4个是为参数保留的。
编译器是否有可能将缓冲区放在不存储旧%ebp的位置?就像我们声明buf [8]但它在第6行将它存储在-16(%ebp)而不是-12(%ebp)一样?
当然可以。编译器可以自由组织堆栈,但感觉就像。为了可预测地执行缓冲区溢出,您必须查看程序的特定编译二进制文件。
至于EBP的目的是什么(以及回答你的问题2,3和5),请参阅任何有关如何组织调用堆栈的介绍性文本,例如the Wikipedia article。