我正在使用此C源代码与gcc(Ubuntu 7.4.0-1ubuntu1〜18.04.1)7.4.0进行编译。
/////////////////////////////////////////////////////////////////////////////////////////////
// Name: megabeets_0x1.c
// Description: Simple crackme intended to teach radare2 framework capabilities.
// Compilation: $ gcc megabeets_0x1.c -o megabeets_0x1 -fno-stack-protector -m32 -z execstac
//
// Author: Itay Cohen (@megabeets)
// Website: https://www.megabeets.net
/////////////////////////////////////////////////////////////////////////////////////////////
#include <stdio.h>
#include <string.h>
void rot13 (char *s) {
if (s == NULL)
return;
int i;
for (i = 0; s[i]; i++) {
if (s[i] >= 'a' && s[i] <= 'm') { s[i] += 13; continue; }
if (s[i] >= 'A' && s[i] <= 'M') { s[i] += 13; continue; }
if (s[i] >= 'n' && s[i] <= 'z') { s[i] -= 13; continue; }
if (s[i] >= 'N' && s[i] <= 'Z') { s[i] -= 13; continue; }
}
}
int beet(char *name)
{
char buf[128];
strcpy(buf, name);
char string[] = "Megabeets";
rot13(string);
return !strcmp(buf, string);
}
int main(int argc, char *argv[])
{
printf("\n .:: Megabeets ::.\n");
printf("Think you can make it?\n");
if (argc >= 2 && beet(argv[1]))
{
printf("Success!\n\n");
}
else
printf("Nop, Wrong argument.\n\n");
return 0;
}
使用了gcc命令
gcc megabeets_0x1.c -o test32 -fno-stack-protector -z execstack -m32 -no-pie -fno-pic
使用objdump生成的功能beet
的反汇编如下所示:
080485a8 <beet>:
80485a8: 55 push ebp
80485a9: 89 e5 mov ebp,esp
80485ab: 81 ec 98 00 00 00 sub esp,0x98
80485b1: 83 ec 08 sub esp,0x8
80485b4: ff 75 08 push DWORD PTR [ebp+0x8]
80485b7: 8d 85 78 ff ff ff lea eax,[ebp-0x88]
80485bd: 50 push eax
80485be: e8 6d fd ff ff call 8048330 <strcpy@plt>
80485c3: 83 c4 10 add esp,0x10
80485c6: c7 85 6e ff ff ff 4d mov DWORD PTR [ebp-0x92],0x6167654d
80485cd: 65 67 61
80485d0: c7 85 72 ff ff ff 62 mov DWORD PTR [ebp-0x8e],0x74656562
80485d7: 65 65 74
80485da: 66 c7 85 76 ff ff ff mov WORD PTR [ebp-0x8a],0x73
80485e1: 73 00
80485e3: 83 ec 0c sub esp,0xc
80485e6: 8d 85 6e ff ff ff lea eax,[ebp-0x92]
80485ec: 50 push eax
80485ed: e8 94 fe ff ff call 8048486 <rot13>
80485f2: 83 c4 10 add esp,0x10
80485f5: 83 ec 08 sub esp,0x8
80485f8: 8d 85 6e ff ff ff lea eax,[ebp-0x92]
80485fe: 50 push eax
80485ff: 8d 85 78 ff ff ff lea eax,[ebp-0x88]
8048605: 50 push eax
8048606: e8 15 fd ff ff call 8048320 <strcmp@plt>
804860b: 83 c4 10 add esp,0x10
804860e: 85 c0 test eax,eax
8048610: 0f 94 c0 sete al
8048613: 0f b6 c0 movzx eax,al
8048616: c9 leave
8048617: c3 ret
我对此拆卸几乎没有疑问,
ebp
并将esp
移至ebp
之后,堆栈指针第一次减小0x98
,然后减小0x8
,总计为{{1 }}导致堆栈帧对齐为16个字节。为什么编译器没有从esp直接减去0xA0
而不是随后的2个减法?0xA0
是128个字节。但是在此反汇编中,buf
指向buf
,这意味着有136个字节的缓冲区。为什么分配了136个字节而不是128个字节?ebp-0x88
或strcpy
之类的函数之前,随机字节数在调用之前以及执行完这些函数后首先从esp中减去另一个随机数字节添加到esp(我想清除发送到这些函数的参数)。
示例-调用rot13
之前,从esp中减去rot13
,完成后添加0xc
而不是0x10
。
因此,这些esp和推入数据的随机移位导致不连续的数据,从而降低了堆栈存储器的利用率。此行为背后有什么特殊原因吗? 在Google或stackoverflow上搜索后,我找不到这些疑问的答案。
谢谢
注意: GCC代码优化结果几乎是相同的反汇编。
答案 0 :(得分:3)
从堆栈中减去0x98会使它保持16字节对齐。额外的8个字节是为了将参数推入strcpy,以使堆栈在调用之前再次对齐16个字节。
它确实为buf分配了128个字节。 buf和ebp之间的其他字节用于对齐或临时编译器或编译器的其他目的。也许这里有返回值的空间。无论如何,编译器最终都不需要使用空间。如果启用优化,则可能不会存在。
与#1一样,在为每个调用压入参数之前先调整堆栈指针,以便在调用之前将堆栈对齐16字节。