求高手代码分析一段堆栈溢出代码

zx_wing

原帖由 okyzx 于 2007-4-21 14:31 发表
谢谢各位。
手上暂时没有你们推荐的书。能否帮小弟简单讲下函数调用时栈的情况，谢谢

函数调用可能是寄存器传值，也可能是栈传值，或者是两者都有。简单的说一下x86上函数调用（栈传值）吧。

例如：

1. 
   
2. void test(int a, char b, long c)
   
3. {
   
4. .................
   
5. }
   

复制代码

调用test时，首先是参数c压栈（使用push类指令），其次是参数b压栈，再其次是参数a压栈， 然后用call指令调用函数，call指令会把函数的返回地址压栈。
test函数一开始会把ebp（框架指针）寄存器压栈，然后把esp（栈指针）赋值给ebp，然后把esp减去一个定值（分配栈了），最后通过ebp加偏移量就可以访问参数。

上述过程就生成了我前面发的栈图。

想要好好了解还是应该看书，动手写点程序尝试。手上没有，下电子版嘛。

okyzx

非常感谢大家，特别是 zx_wing (骑着猪的青蛙)、flw2

ttsir

此程序，在64bit core cpu 上无效！

exir

问个问题，i386下不压段地址啊？那段间如何调用？

flw2

原帖由 exir 于 2007-4-21 19:16 发表
问个问题，i386下不压段地址啊？那段间如何调用？

在linux下，段的地址是个固定基地址的值0
不需要换段地址

exir

原帖由 flw2 于 2007-4-21 19:20 发表

在linux下，段的地址是个固定基地址的值0
不需要换段地址

怎么压栈应该和操作系统无关吧，硬件决定的吧。
记得实模式下要先压偏移再压段，保护模式下段的长度和偏移量不一样，
还真没想过段间调用怎么压栈？

flw2

压栈 压段？

exir

查了下资料，拿出来show show。
<<INSTRUCTION SET REFERENCE, A-M>> 3-88 Vol. 2

When executing a far call in realaddress or virtual-8086 mode, the
processor pushes the current value of both the CS and EIP registers
on the stack for use as a return-instruction pointer.

保护模式差不多：
A far call to the same privilege level in protected mode is very similar
to one carried out in real-address or virtual-8086 mode.
当然这是有很多条件的：不因特权级和权限产生异常，不采用调用门，无32、16位
混合调用。
Call的伪代码写了9页，i386体系结构复杂不是盖的。

exir

对了由于段地址只有16位，压入栈时高16位要填0

mik

通过局部变量修改返回值不实用，推荐通过参数修改返回值

1. 
   
2. int copy(int foo)
   
3. {
   
4.     int *p = &foo - 1;
   
5.     *p = foo;
   
6. 
   
7.     return 0;
   
8. }
   
9. 
   
10. 
    
11. int hacked(void)
    
12. {
    
13.     printf("这里是堆栈溢出程序.看到我了吧.\n");
    
14.     exit(0);
    
15. }
    
16. 
    
17. int main(int argc, char* argv[])
    
18. {
    
19.     copy((int)hackstr);
    
20. 
    
21.     return 0;

复制代码