Linux堆栈溢出的经典问题，欢迎围观！大牛前进

GoldenSoldier

原帖请见：http://blog.chinaunix.net/u/26166/showart.php?id=198375

我的环境是redhant 9 ，2.4的核。由于对Linux环境下堆栈的不熟悉，所以就这个例子，做了一些哦测试。
我的代码：

1. #include<stdio.h>
   
2. 
   
3. void attack()
   
4. {
   
5. int attack=1;
   
6. printf("hi,attacked!\n");
   
7. }
   
8. void yaya()
   
9. {
   
10. int yaya=1;
    
11. printf("hi,yaya is my wife\n");
    
12. }
    
13. void foo()
    
14. {
    
15. int c_foo=1;
    
16.   *(& c_foo +2)=(int)attack;
    
17. }
    
18. 
    
19. void main(){
    
20. int a_main=1;
    
21. a_main=(int)yaya;
    
22. foo();
    
23. }
    

复制代码

然后，gdb下观察结果：
main函数的反汇编：


yaya函数的反汇编


attack函数的反汇编：


foo函数的反汇编：


在main的堆栈中，a_main的值从1变为yaya函数的入口地址0x08048347，而进入foo函数之后，本来0xbfffe2cc存放的是main返回的地址0x0804839f，但是改为attack函数的入口地址0x08048328。
这样就会导致main函数无法正常返回。


下面是我画的堆栈示意图，请指教：


从函数foo返回后，就进入了attack函数了。

打印“hi,attacked!”成功！
接着，返回段错误。

我的问题：为什么yaya函数没有执行，就出现了段错误？
照文章中所述的，yaya函数的入口地址0x08048347已经放在了0xbfffe2d4，为什么eip会访问不到么？


[ 本帖最后由 GoldenSoldier 于 2009-11-26 09:17 编辑 ]

qurongyao_linux

不过你能写这么清楚,牛人

qurongyao_linux

void foo()

{

int c_foo=1;

  *(& c_foo +2)=(int)attack;

}
修改了foo入栈前保存的环境,当然会跳到attack那里，你把它改成main,它还会跳到main那里

rainballdh

看了MIK得方法，我也尝试了一下：
#include<stdio.h>

void attack()
{
    int attack=1;
    printf("hi,attacked!\n");
}
void yaya()
{
    int yaya=1;
    printf("hi,yaya is my wife\n");
}
void foo()
{
    int c_foo=1;
    int addr = *(&c_foo+2);
    *(& c_foo +2)=(int)attack;
    *(&c_foo + 3)=addr;
}

void main(){
    int a_main=1;
    int addr = *(&a_main+2);
    *(& a_main+2)=(int)yaya;
    *(& a_main+3)=addr;
    foo();
}

wolfired

yaya执行了哦

famdestiny

mark一下

ypyf3000

四不像

学与思

不过对于你这个问题，更好的办法是利用函数的第一个参数的地址来获取函数的返回地址的地址

学与思

unsigned long get_ebp(void) {         __asm__("movl %ebp, %eax"); }

要想学会这个汇编必不可少

[ 本帖最后由 学与思 于 2009-11-27 17:42 编辑 ]

GoldenSoldier

原帖由 mik 于 2009-11-26 22:12 发表


在你的代码里，你要使用 main() 正常退出，

必须把 调用 foo() 时的返回地址交由 yaya() 函数来返回

void foo()
{
       int c_foo = 1;

      int yaya_ret = (int) *(& c_foo + 2);
      * ...

明白你的意思了 ，就是把存储a_main的地址里的内容换成main函数返回的地址。
我尝试了一下，见下：

1. void foo()
   
2. {
   
3.   int c_foo=1;
   
4.   int main_ret=(int)*(& c_foo +2);
   
5.   *(& c_foo +2)=(int)attack;
   
6.   *(& c_foo +4)= (int) main_ret;
   
7. }

复制代码

其他的代码都没变。
这样就OK了，最后测试通过，没有出现段错误！ 嘿嘿

[ 本帖最后由 GoldenSoldier 于 2009-11-27 15:27 编辑 ]