一个所谓的全局变量地址改变的例子

学与思

来个简单点的：

1. [bobo]$ cat gotover.c
   
2. #include <stdio.h>
   
3. #include <string.h>
   
4. 
   
5. int evil_code(char *s)
   
6. {
   
7.         printf("hi, I am here!\n");
   
8.         return 0;
   
9. }
   
10. 
    
11. int main(int argc, char *argv[])
    
12. {
    
13.         long addr = *(long *)((long)strlen + 2);
    
14. 
    
15.         *(long *)addr = (long)evil_code;
    
16. 
    
17.         int len = strlen(argv[0]);
    
18. 
    
19.         printf("len = [%d]\n", len);
    
20. 
    
21.         return 0;
    
22. }
    
23. 
    
24. [bobo]$ gcc gotover.c -o gotover
    
25. [bobo]$ ./gotover
    
26. hi, I am here!
    
27. len = [0]
    
28. [bobo]$
    

复制代码

学与思

学与思的这个很好。
能否介绍一下函数的跳转表细节？
思一克 发表于 2010-02-02 14:20

详细内容可以参考 <elf文件格式> ， 还有一篇alert7写的动态库符号解析过程

大概是这样的：

对于32位的x86，调用动态库中的函数，比如 printf(); 调用的其实是plt中的一小段代码，这一小段代码如：
address + 0: jmp *0xXXXXXXXX
address + 6 : push 一个常数
jmp 0xYYYYYYYY

第一次调用printf时地址0xXXXXXXXX中的值就是address + 6, 也就是第一次jmp会跳到 address + 6的地方，然后下一个jmp进行如号解析，然后在0xXXXXXXXX中写入真实的printf函数的地址，之后再调用printf时就会直接跳到printf函数去了。
我前面那个代码就是在0xXXXXXXXX中放入evil_code()函数的地址，address + 0: jmp *0xXXXXXXXX 这条指令占用6个字节，前面两个是操作码，后面就是地址，所以有代码中"  + 2"

学与思

[test]$ cat a.c
#include
#include

int evil_code(char *s)
{
        printf("hi, I am he ...
baicj 发表于 2010-02-02 14:47

估计是偏移有误，没有平台，不能帮你试