c - 粉碎堆栈 example3 ala Aleph One

Question

我从 Smashing the Stack for Fun and Profit 复制了示例 3在 Linux x86_64 上。但是我无法理解为了跳过指令应该增加到返回地址的正确字节数是多少:

0x0000000000400595 <+35>:   movl   $0x1,-0x4(%rbp)

这是我认为 x = 1 的地方指令是。我写了以下内容:

#include <stdio.h>

void fn(int a, int b, int c) {
  char buf1[5];
  char buf2[10];
  int *ret;

  ret = buf1 + 24;
  (*ret) += 7;
}

int main() {
  int x;

  x = 0;
  fn(1, 2, 3);
  x = 1;
  printf("%d\n", x);
}

并在 gdb 中对其进行反汇编。我已禁用地址随机化并使用 -fno-stack-protector 编译程序选项。

问题一

我可以从下面的反汇编程序输出中看到我想跳过地址 0x0000000000400595 处的指令: 来自 callq <fn> 的返回地址和 movl 的地址操作说明。因此，如果返回地址是 0x0000000000400595 , 下一条指令是 0x000000000040059c , 我应该在返回地址上加 7 个字节吗？

0x0000000000400572 <+0>:    push   %rbp
0x0000000000400573 <+1>:    mov    %rsp,%rbp
0x0000000000400576 <+4>:    sub    $0x10,%rsp
0x000000000040057a <+8>:    movl   $0x0,-0x4(%rbp)
0x0000000000400581 <+15>:   mov    $0x3,%edx
0x0000000000400586 <+20>:   mov    $0x2,%esi
0x000000000040058b <+25>:   mov    $0x1,%edi
0x0000000000400590 <+30>:   callq  0x40052d <fn>
0x0000000000400595 <+35>:   movl   $0x1,-0x4(%rbp)
0x000000000040059c <+42>:   mov    -0x4(%rbp),%eax
0x000000000040059f <+45>:   mov    %eax,%esi
0x00000000004005a1 <+47>:   mov    $0x40064a,%edi
0x00000000004005a6 <+52>:   mov    $0x0,%eax
0x00000000004005ab <+57>:   callq  0x400410 <printf@plt>
0x00000000004005b0 <+62>:   leaveq 
0x00000000004005b1 <+63>:   retq 

问题2

我注意到我可以将 5 个字节添加到返回地址而不是 7 个字节并获得相同的结果。当我这样做时，我不是跳到指令的中间吗 0x0000000000400595 <+35>: movl $0x1,-0x4(%rbp) ？在这种情况下，为什么这不会使程序崩溃，例如当我向返回地址添加 6 个字节而不是 5 个字节或 7 个字节时。

问题3

Just before buffer1[] on the stack is SFP, and before it, the return address. That is 4 bytes pass the end of buffer1[]. But remember that buffer1[] is really 2 word so its 8 bytes long. So the return address is 12 bytes from the start of buffer1[].

在 Aleph 1 的示例中，他/她计算返回地址的偏移量为从 buffer1[] 开始的 12 个字节。因为我在 x86_64 上，而不是 x86_32，所以我需要重新计算返回地址的偏移量。在x86_64上，是不是buffer1[]还是2个字，也就是16个字节； SFP 和返回地址各为 8 个字节(因为我们使用的是 64 位)，因此返回地址位于:buf1 + (8 * 2) + 8相当于buf1 + 24 ？

Answer 1

首先要注意的也是非常重要的一点:所有数字和偏移量都非常依赖于编译器。不同的编译器，甚至具有不同设置的同一个编译器，都可能产生截然不同的程序集。例如，许多编译器可以(并且将会)删除 buf2，因为它未被使用。他们还可以删除 x = 0，因为它的效果未被使用，稍后会被覆盖。他们还可以删除 x = 1 并将所有出现的 x 替换为常量 1，等等。

也就是说，您绝对需要为您在特定编译器及其设置上获得的特定程序集编号。

问题 1由于您为 main() 提供了程序集，我可以确认您需要向返回地址添加 7 个字节，通常为 0x0000000000400595，以跳过 x=1 并转到 0x000000000040059c，它将 x 加载到寄存器中供以后使用。 0x000000000040059c - 0x0000000000400595 = 7。

问题 2仅添加 5 个字节而不是 7 个字节确实会跳转到指令的中间。然而，这个 2 字节的指令尾恰好(纯属偶然)是另一个有效的指令代码。这就是它不会崩溃的原因。

问题 3这又非常依赖于编译器和设置。几乎所有事情都可能在那里发生。由于你们没有提供反汇编，所以我只能猜测。猜测如下:buf 和 buf2 向上舍入到下一个堆栈单元边界(x64 上为 8 个字节)。 buf变成8字节，buf2变成16字节。帧指针不会保存到 x64 上的堆栈，因此没有“SFP”。总共 24 个字节。