通过切换STACK实现远跳longjmp的最简单的演示

思一克

前几天有人问longjmp代码的问题。这里实验了一个演示。

仅仅为了说明通过切换STACK实现远跳的初步演示。是一个没有任何实际用处的程序。

1. 
   
2. 
   
3. /* setjmp & longjmp simple demo
   
4. */
   
5. 
   
6. char jbuf[128];
   
7. 
   
8. char *setjmp()
   
9. {
   
10. int i;
    
11. 
    
12.    printf("setjmp...\n");
    
13.    memcpy(jbuf, &i, 32);
    
14.    return jbuf;
    
15. }
    
16. 
    
17. 
    
18. int longjmp(char *p)
    
19. {
    
20. int i;
    
21.     memcpy(&i, jbuf, 32);
    
22.     printf("doing longjmp...\n");
    
23.     return 0;
    
24. }
    
25. 
    
26. func()
    
27. {
    
28.     printf("in function...\n");
    
29.     longjmp(jbuf);
    
30.     printf("useless code---\n");
    
31. }
    
32. 
    
33. main()
    
34. {
    
35. char *jp;
    
36. int k = 4;
    
37. 
    
38.     printf("normal path...\n");
    
39.     jp = setjmp();
    
40.     if(jp) {
    
41.        printf("normal path 0--------- k %d jp %p\n", k, jp);
    
42.        printf("normal path 1---------\n");
    
43.        //longjmp(jp);
    
44.        printf("normal path 1---------\n");
    
45.        func();
    
46.        printf("never reach here...\n");
    
47.     } else {
    
48.        printf("longjmp path 3 --------- k %d jp %p\n", k, jp);
    
49.     }
    
50. }
    
51. 
    
52. 
    

复制代码

converse

有点意思,要是加上一些解释就好了,也可以做为理解缓冲区溢出,函数栈原理的材料哦~~

思一克

1. 
   
2. /* setjmp & longjmp simple demo
   
3. */
   
4. 
   
5. char jbuf[128];
   
6. 
   
7. char *setjmp()
   
8. {
   
9. int i;
   
10. 
    
11.    printf("setjmp...\n");
    
12.    memcpy(jbuf, &i, 32);   //保存setjmp时刻的STACK到buffer中。这里可以分配内存保存，而不用全局量jbuf. 如果这样可以有多个longjmp点。
    
13.    return jbuf;
    
14. }
    
15. 
    
16. 
    
17. int longjmp(char *p)
    
18. {
    
19. int i;
    
20.     memcpy(&i, jbuf, 32);  //恢复此点的STACK。STACK内容在p中
    
21.     printf("doing longjmp...\n");
    
22.     return 0;  //必须返回0，与setjmp原始返回区分路径。
    
23. }
    
24. 
    
25. func()
    
26. {
    
27.     printf("in function...\n");
    
28.     longjmp(jbuf);  //远跳
    
29.     printf("useless code---\n");
    
30. }
    
31. 
    
32. main()
    
33. {
    
34. char *jp;
    
35. int k = 4;
    
36. 
    
37.     //其它没有什么了。基本意思可以看setjmp longjmp函数
    
38.     printf("normal path...\n");
    
39.     jp = setjmp();
    
40.     if(jp) {
    
41.        printf("normal path 0--------- k %d jp %p\n", k, jp);
    
42.        printf("normal path 1---------\n");
    
43.        //longjmp(jp);
    
44.        printf("normal path 1---------\n");
    
45.        func();
    
46.        printf("never reach here...\n");
    
47.     } else {
    
48.        printf("longjmp path 3 --------- k %d jp %p\n", k, jp);
    
49.     }
    
50. }
    

复制代码

FreeGnu

好久没看这些东西了，栈桢的结构都忘了。

1. 
   
2. memcpy(jbuf, &i, 32);   
   

复制代码

拷贝的是eip,ebp,edi,esi的地址把，现在还没弄懂edi,esi存什么，怎么用

试了一下，只是保存和恢复eip程序也能工作

1. 
   
2. memcpy(jbuf, &i+3, 4);   
   
3. ...
   
4. memcpy(&i+3, jbuf, 4);  
   

复制代码

lcstudio

这个只是x86上的longjmp。stack longjmp与计算机体系有关

mik

LZ 的 setjump() 有个很大的缺陷：

memcpy(jbuf, &i, 32);   // 32 怎么得来？
通过变量 i 偏移来获得返回地址，在没有特别选项进行编译时，大多数编译器会浪费掉一些空间用来对齐。
所以变量 i 的上一个地址不是返回址，所以不可能是根据局部变量来得出返回地址。


获得返回地址方法有很多：
1、利用参数，参数是固定的
char * setjump(int i)
{
      memcpy(buf,&i-1, 4);
      ......   
}



2、 取 eip 值

#define __EIP__                                 \
        {      int i;                                      \
       __asm__ __volatile__("call f\n"     \
               "f: pop %0\n"                         \
                :"=r"(i)                                  \
       );                                                   \
      memcpy(buf, &i, 4);                        \
      }

思一克

我那程序仅仅是一个最简单的原理演示. 目的就是使程序简单容易看懂. 不是有用的实用程序.

大家可以发贴子改进.

空灵静世

我对程序做了几次修改,产生的结果让我不明白,第一次修改:
把memcpy(jbuf, &i, 32); 改成 memcpy(jbuf, &i+2,4);把 memcpy(&i, jbuf, 32);改成memcpy(&i+2, jbuf, 4);
输出结果是:
normal path...
setjmp...
normal path 0--------- k 4 jp 0x80497e0
normal path 1---------
normal path 1---------
in function...
doing longjmp...
longjmp path 3 --------- k 134514259 jp (nil)
never reach here...
为什么会多出 never reach here 呢?
按我的理解:我修改longjump的返回地址,把0 赋给jp了, 应该执行到longjmp path 3 --------- k 134514259 jp (nil)就结束了啊.
而没改之前是没有这句打印的
第2次改动是把memcpy(jbuf, &i, 32);和memcpy(&i, jbuf, 32); 改成
memcpy(jbuf, &+1, 4);memcpy( &+1,jbuf 4);
或则
memcpy(jbuf, &+3, 4);memcpy( &+3,jbuf 4);
..............................
memcpy(jbuf, &+25, 4);memcpy( &+25,jbuf 4);
.............................
程序的结果是不挺的循环,又是为什么啊,程序的输出结果:
..............................
normal path...
setjmp...
normal path 0--------- k 4 jp 0x80497e0
normal path 1---------
normal path 1---------
in function...
doing longjmp...
normal path...
setjmp...
normal path 0--------- k 4 jp 0x80497e0
normal path 1---------
normal path 1---------
in function...
doing longjmp...
normal path...
setjmp...
normal path 0--------- k 4 jp 0x80497e0
normal path 1---------
normal path 1---------
in function...
doing longjmp...
normal path...
setjmp...
normal path 0--------- k 4 jp 0x80497e0
normal path 1---------
normal path 1---------
in function...
doing longjmp...
normal path...
setjmp...
normal path 0--------- k 4 jp 0x80497e0
normal path 1---------
normal path 1---------
in function...
doing longjmp...
.........................................
后面的改动并没有修改函数的返回地址,怎么会造成死循环的呢?

5毛党党员

lz这个是通过保存当前的stack的状态，在需要的时候覆盖回去，来达到longjmp的功能吗？