3

指定された URL では、この関数が指定されています: http://insecure.org/stf/smashstack.html

void function(int a, int b, int c) {
   char buffer1[5];
   char buffer2[10];
   int *ret;

   ret = buffer1 + 12;
   (*ret) += 8;
}

void main() {
  int x;

  x = 0;
  function(1,2,3);
  x = 1;
  printf("%d\n",x);
}

main 関数の対応するアセンブリ コードは次のとおりです。

Dump of assembler code for function main:
0x8000490 <main>:       pushl  %ebp
0x8000491 <main+1>:     movl   %esp,%ebp
0x8000493 <main+3>:     subl   $0x4,%esp
0x8000496 <main+6>:     movl   $0x0,0xfffffffc(%ebp)
0x800049d <main+13>:    pushl  $0x3
0x800049f <main+15>:    pushl  $0x2
0x80004a1 <main+17>:    pushl  $0x1
0x80004a3 <main+19>:    call   0x8000470 <function>
0x80004a8 <main+24>:    addl   $0xc,%esp
0x80004ab <main+27>:    movl   $0x1,0xfffffffc(%ebp)
0x80004b2 <main+34>:    movl   0xfffffffc(%ebp),%eax
0x80004b5 <main+37>:    pushl  %eax
0x80004b6 <main+38>:    pushl  $0x80004f8
0x80004bb <main+43>:    call   0x8000378 <printf>
0x80004c0 <main+48>:    addl   $0x8,%esp
0x80004c3 <main+51>:    movl   %ebp,%esp
0x80004c5 <main+53>:    popl   %ebp
0x80004c6 <main+54>:    ret
0x80004c7 <main+55>:    nop

変数では、次に実行する命令のアドレスをret指しています。ret変数に次の命令を保持するretだけでは、プログラムはどのようにしてこの次の場所にジャンプするのか理解できません。バッファ オーバーフローの仕組みはわかっていますが、ret変数を変更すると、バッファ オーバーフローがどのように行われるのでしょうか。これがダミーのプログラムであり、バッファー オーバーフローのしくみを理解するためのものであることを考慮しても、ret変数を変更することは間違っているように思えます。

4

2 に答える 2

1

スタック上のレイアウトは次のようになります (スタックが大きくなるにつれてアドレスが下に移動します)。

buffer + ...       value found       description
=================================================================================
+24                3                 # from main,     pushl $0x3
+20                2                 # from main,     pushl $0x2
+16                1                 # from main,     pushl $0x1
+12                <main+24>         # from main,     call  0x8000470 <function>
+8                 <frameptr main>   # from function, pushl %ebp
+4  %ebp(function) padding (3 bytes) # ABI - compiler will not _pack_ vars
+0                 buffer[5];
...                buffer1[12];      # might be optimized out (unused)
...                int *ret          # might be optimized out (reg used instead)

注意が必要なのはbuffer、サイズが 4 バイトの倍数ではないにもかかわらず、4 バイトでアラインされたアドレスから始まることです。「有効サイズ」は 8 バイトなので、その先頭に 8 バイトを追加すると、保存されたフレームポインタが見つかり、さらに 4 バイト下に移動すると、保存された戻りアドレス (逆アセンブリによると、main+0x24/ 0x80004a8. これに 8 を追加すると、2 つの命令の「中間」にジャンプし、結果はゴミになります。ステートメントをスキップしているのではありません。x = 1

于 2013-10-27T08:12:54.107 に答える