12 3 4 5 / 5 页下一页

论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-12-14 18:18 |只看该作者 |倒序浏览

模仿着内核版的一个精华帖，写了一个最基础的练习题，不知道为什么会重复输出两次，然后segment fault

#include <stdio.h>

void attack() {
    
    printf("hi,attacked!\n");
}

void foo() {
    
    int c_foo;
    int main_eip = (int) *(&c_foo + 3);
   
    *(&c_foo + 3) = (int)attack;
    *(&c_foo + 4) = main_eip;
    
}

void main()
{
  int local;
  foo();
  printf("I am retrun!\n");
 
}

文库|博客

cjaizss

版主

论坛徽章:: 3

2楼 [报告]

发表于 2009-12-14 18:53 |只看该作者

呵呵,还是建议用汇编写

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

nicolas.shen

丰衣足食

论坛徽章:: 0

3楼 [报告]

发表于 2009-12-14 19:43 |只看该作者

int main_eip = (int) *(&c_foo + 2);
*(&c_foo + 2) = (int)attack;
*(&c_foo + 3) = main_eip;
Solaris下面这样是可以的，我猜你想要这样的结果吧

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

iLRainyday

丰衣足食

论坛徽章:: 0

4楼 [报告]

发表于 2009-12-14 20:02 |只看该作者

用gdb逐步跟踪了，地址计算方面没有错误，不过很有意思的是在foo()中int main_eip的位置是在int c_foo之前的。然后正常的进入attack()，返回main()，执行printf()，之后就出问题了，进入了一个好像是什么in_start()之类的函数，连续的next之后，就莫名其妙的回到了foo()中...

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

mik

荣誉版主

论坛徽章:: 0

5楼 [报告]

发表于 2009-12-14 22:11 |只看该作者

原帖由 iLRainyday 于 2009-12-14 18:18 发表
模仿着内核版的一个精华帖，写了一个最基础的练习题，不知道为什么会重复输出两次，然后segment fault

#include

void attack() {
    
   & ...

汗，你把那篇东西找出来对一对，连抄都抄错

还是要理解才好呀。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

cjaizss

版主

论坛徽章:: 3

6楼 [报告]

发表于 2009-12-14 22:29 |只看该作者

画个图，来理解进栈出栈，就可以加深理解。这里的原理并不复杂，更不高深，用汇编再对着图，很快就可以写出预计的结果。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

iLRainyday

丰衣足食

论坛徽章:: 0

7楼 [报告]

发表于 2009-12-14 22:53 |只看该作者

汗，你把那篇东西找出来对一对，连抄都抄错

还是要理解才好呀。

我没有照抄啦~~

按自己理解来计算，就是返回到main()之后出错了，call foo之后是一个add $xxx, %esp，我发现每次我返回到这里的时候，%esp的值总是和正确的值差了4个字节，估计就是这个原因造成连续输出两句“hi,attacked!”

按照mik老大的意思，由attack()来处理返回，可是返回的时候还是%esp的问题

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

mik

荣誉版主

论坛徽章:: 0

8楼 [报告]

发表于 2009-12-14 23:03 |只看该作者

你想：main() --> foo() ----> attack() ---> main() 是吧？

如果要在 foo() 里设的话就要：

foo() 的返回值置为 attack()

attack() 的返回值置为 main()

[ 本帖最后由 mik 于 2009-12-15 00:23 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

iLRainyday

丰衣足食

论坛徽章:: 0

9楼 [报告]

发表于 2009-12-14 23:25 |只看该作者

我画了个图，mik老大看看我哪里理解错了

cu.jpg (43.67 KB, 下载次数: 80)

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

mik

荣誉版主

论坛徽章:: 0

10楼 [报告]

发表于 2009-12-14 23:51 |只看该作者

原帖由 iLRainyday 于 2009-12-14 23:25 发表
我画了个图，mik老大看看我哪里理解错了

由于在函数里：

push ebp                   <----- 建栈
mov ebp, esp
...
...
mov esp, ebp
pop ebp                      <----- 销栈
ret

------------------------------------

所以，在执行 attack() 时，也需要遵循这个原则

因此，还要为 attack() 函数留了一个 [ebp] 值

----------------------------
ret_value                                  <--------------------- main() 地址
----------------------------
ebp
---------------------------
ret_value                                  <-------------------  attack() 地址
---------------------------
ebp
---------------------------
main_eip
---------------------------
c_foo
----------------------------

[ 本帖最后由 mik 于 2009-12-15 00:21 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 3 4 5 / 5 页下一页

返回列表

Chinaunix › 论坛 › 程序设计 › C/C++ › 这个最基础的注入为什么会出错啊？

这个最基础的注入为什么会出错啊？ [复制链接]

浏览过的版块