(黑科技)怎么在这种情况下改变输出顺序?

最新推荐文章于 2022-01-06 18:00:07 发布
最新推荐文章于 2022-01-06 18:00:07 发布
阅读量962 收藏
点赞数
分类专栏: 底层&汇编 文章标签: c 技术 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gigzhu/article/details/41113517
版权 
#include <stdio.h> 
void a(); void b(); void c();     //函数原型
int main() { a(); printf("\n"); return 0; }    //main
void a() { b(); printf("one "); } 
void b() { c(); printf("two "); } 
void c() {
	int x;
	// 在此处加代码

}

要求在不改变其他代码的情况下,只在//在此处加代码    加上一段代码(多长都行,但是不能用printf之类的)让整段代码输出one two 而不是two one。

小伙伴们有没有什么好办法呢?




想不出,没关系,我们慢慢来,这里给出了两种可行的做法


首先要关闭内联函数编译选项,一旦a,b,c被内联展开后我们除了修改源码别无它法了.

这里需要一些黑科技,我们知道在一个函数调用结束后会执行ret指令,改指令相当于取栈顶的地址并跳转

等价于

pop ecx
jmp ecx

那么我们要更改a(),b()的执行顺序那么我们只需要将a,b栈帧中的返回地址对调一下就好.

但是stack frame的安排会随着编译参数的不同而改变,若是想要swap call stack里的两个返回地址的话代码根本没有移植性.另外.text段是不可写的,直接修改代码什么的是不可能的了,Windows下可以通过VirtualProtectEx改,但是要求中明确表明不能用其他函数什么的...汗...
我们还是老老实实swap call stack里的两个返回地址吧, 不用汇编的方法也是有的,不过这个高度依赖编译参数
拿VS2013来说吧,编译选项:Release|Win32 优化:已禁用 (/Od)

#include <stdio.h> 
void a(); void b(); void c();     //函数原型
int main() { a(); printf("\n"); return 0; }    //main
void a() { b(); printf("one "); }
void b() { c(); printf("two "); }
void c() {
	int x;
	// 在此处加代码
	int *rpa, *rpb;
	rpa = &x+3;       //指向c()的返回地址 
	rpb = rpa + 2;    //指向b()的返回地址
	x = *rpa;
	*rpa = *rpb,*rpb = x;    //Swap!!!
}  //return WTF?
好的,让我们来看看发生了什么
观察反汇编
这是函数b的反汇编: 

void b()
{
 push        ebp  
 mov         ebp,esp  
	c();
 call        c (0AA1040h)  
	printf("two ");
 push        0AA2108h  
	printf("two ");
 call        dword ptr ds:[0AA2090h]  
 add         esp,4  
}
 pop         ebp  
 ret
在b()调用c()之前先保存了ebp的值,然后再call c (0AA1040h) ,也就是说栈里面返回到a()和b()中间插了个ebp.现在来看函数c的反汇编: 

void c()
{
 push        ebp  
 mov         ebp,esp  
 sub         esp,10h  
 mov         eax,dword ptr ds:[00DC3000h]  
 xor         eax,ebp  
 mov         dword ptr [ebp-4],eax  
	int x;

	int *rpa,*rpb;
	rpa = &x+3;
 lea         eax,[ebp+4]  
 mov         dword ptr [rpa],eax  
	rpb = rpa + 2;
 mov         ecx,dword ptr [rpa]  
 add         ecx,8  
 mov         dword ptr [rpb],ecx  
	x = *rpa;
 mov         edx,dword ptr [rpa]  
 mov         eax,dword ptr [edx]  
 mov         dword ptr [x],eax  
	*rpa = *rpb;
 mov         ecx,dword ptr [rpa]  
 mov         edx,dword ptr [rpb]  
 mov         eax,dword ptr [edx]  
 mov         dword ptr [ecx],eax  
	*rpb = x;
 mov         ecx,dword ptr [rpb]  
 mov         edx,dword ptr [x]  
 mov         dword ptr [ecx],edx  
}
 mov         ecx,dword ptr [ebp-4]  
 xor         ecx,ebp  
 call        __security_check_cookie (0DC10AAh)  
 mov         esp,ebp  
 pop         ebp  
 ret
观察上面的 

	rpa = &x+3;
lea         eax,[ebp+4]  
mov         dword ptr [rpa],eax
栈帧示意图:

我们会发现x的地址实际上就是ebp-0x08,其中ebp-0x04是开启了编译选项安全检查:(/GS)之后用于检查ebp是否发生改变防止溢出的,和最后的__security_check_cookie有关.这里可以不管它.rpa = &x+3;就是指向ebp+4为返回b()的地址,根据前面的分析返回b()的地址和返回a()的地址中间相隔了4byte,那么rpb = rpa + 2;就是指向返回a()的地址.最后交换一下返回地址那么c()执行完了之后就会跳转到a()执行printf("one ");然后跳转到b()执行printf("two ");最后跳回到main退出.

特别指出一点:因为a()和b()的栈帧简单结构相同所以才可以直接swap返回地址,要不还要整个栈帧交换...多写个循环...
如果改了编译参数或平台的话地址要自己重新掰手指算咯,所以嘛根本没有移植性,这就是典型的黑科技.

另外调试的时候发现了编译器好奇葩的一点.明明c()函数是有副作用的,在开启了O1或O2下他喵的居然就直接给cut掉了...什么都没了...关闭了内联函数就只剩下个ret(这算是bug嘛?不过嘛,黑科技都用上了就不要对编译器强求太多啦)...情何以堪啊...还是写内联汇编安全...


还有另外一种呢,那就是把函数a,b给拷贝出来,放到c的栈帧里面去,栈的内存是可执行的,不过需要关闭链接时的数据执行保护(DEP)选项(/NXCOMPAT:NO)

为了防止出现递归现象,我们需要把a,b函数里面对其他函数的调用给去掉

在a,b中各有两次函数的调用,一次是调用b和c,第二次是调用printf.

在调用b,c时的调用是短跳转,通过相对位移来进行的跳转,对应的机械码为

0xE8 0x00 0x00 0x00 0x00

后面4字节是位移大小,那么我们只需要将这5字节填充为空指令nop(0x90)即可,然后执行

代码如下:

编译选项:Release|Win32 内联函数拓展:已禁用 (/Ob0)或只适用于 __inline (/Ob1)

数据执行保护(DEP):否 (/NXCOMPAT:NO)

#include <stdio.h>

void a(); void b(); void c();     //函数原型
int main() { a(); printf("\n"); return 0; }    //main
void a() { b(); printf("one "); }
void b() { c(); printf("two "); }
void c() {
	int x;
	// 在此处加代码
	typedef void(*func)(void);
	typedef unsigned char byte;
	byte buffer_a[1 << 7];
	byte buffer_b[1 << 7];
	int index = 0;
	byte *pa_code = (byte*)a;
	byte *pb_code = (byte*)b;
	func fa = (func)&buffer_a, fb = (func)&buffer_b;
	bool find = false;

	while (*pa_code != 0xc3)
	{
		if (*pa_code == 0xe8){
			if (!find){
				for (int i = 0; i < 5; i++)
				{
					buffer_a[index++] = 0x90;
					pa_code++;
				}  //用nop替换call b
				find = true;
			}
			else
			{
				buffer_a[index] = 0xe8;
				int addr = *(int*)(pa_code + 1);
				int *newAddr = (int*)(&buffer_a[index + 1]);
				*newAddr = addr - (int)(&buffer_a[index] - pa_code);
				index += 5, pa_code += 5;
			}  //重新计算call跳转位移
		}
		buffer_a[index++] = *(pa_code++);
	}
	buffer_a[index] = 0xc3;
	index = 0;
	find = false;
	while (*pb_code != 0xc3)
	{
		if (*pb_code == 0xe8){
			if (!find){
				for (int i = 0; i < 5; i++)
				{
					buffer_b[index++] = 0x90;
					pb_code++;
				}  //用nop替换call b
				find = true;
			}
			else
			{
				buffer_b[index] = 0xe8;
				int addr = *(int*)(pb_code + 1);
				int *newAddr = (int*)(&buffer_b[index + 1]);
				*newAddr = addr - (int)(&buffer_b[index] - pb_code);
				index += 5, pb_code += 5;
			}  //重新计算call跳转位移
		}
		buffer_b[index++] = *(pb_code++);
	}
	buffer_b[index] = 0xc3;
	fa();
	fb();
	volatile int i = *(int *)0;  //exit(0);  暴力退出,搞个大新闻
}


因为没有#include <stdlib.h>所以没办法调用exit(0);退出程序,又不能调用其它函数,只能弄个指针错误,搞个大新闻,暴力退出.


这个绝对是黑科技,嗯,专门黑人的科技...



HingC-Chu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【穿透科技】P2P穿透模块介绍
突围
11-06 1252
p2p
Excel 引擎革命 - 人人可用的黑科技,智能格编程时代开启
最新发布
2301_82025787的博客
12-30 946
就像 Excel 的网格一样,动态数组可以是二维的,如下面的乘法示例所示。我们总是会不忘来了解是谁为大家提供了这么底层的帮助,他们潜心研究多年,在这么庞大的 Excel 产品中做了底层的机制上的改进,这种改进看似是小的,但它从根本上影响了 Excel,将 Excel 从电子格办公时代,带入了格智能编程时代。在 10 多年前,罗叔就发现这个问题,但可能是因为 Excel 太灵活了,从能力上,它可以完成各种复杂的挑战,只是复杂一些,而对 Excel 的改良将影响全球的 Excel 用户,是一个大事。
安全编码实践二:NXCOMPAT选项和数据执行保护DEP
技术代码资料库
04-26 168
《程序员》3月文章 申明。文章仅代个人观点,与所在公司无任何联系。 概述 在安全编码实践一中我们谈到GS编译选项和缓存溢出。缓存溢出的直接后果就是可能导致恶意代码的远&lt;wbr&gt;&lt;/wbr&gt;程执行。GS选项存在自身的局限,例如,有若干方法可以绕过GS选项的保护。 在这篇文章里,我们会介绍另外一个非常重要的安全特性&lt;wbr&gt;&lt;/wbr&gt;...
js代码输出顺序
xie_bro的博客
11-18 1377
js代码输出顺序,涉及到:     console.log();     async…await;     setTimeout();     Promise().then() 最近面试做到的一个题目,感觉很有意思,拿来分享一波!!!! 完整代码附赠: <!DOCTYPE html> <html lang="en"> <
【转】wmic命令
热门推荐
莫非圣贤的博客
01-06 1万+
友情链接:wmic命令 目录 一、如何获取帮助文档 (1)wmic /? (2)wmic nic /? (3)wmic nic get ##获取网卡所有信息,如下只列出部分列 (4)信息筛选 二、常用操作使用说明 1、PROCESS —— 进程管理 2、BIOS - 基本输入/输出服务 (BIOS) 管理 3、COMPUTERSYSTEM - 计算机系统管理 4、CPU - CPU 管理 5、DATAFile — DATAFile管理 6、DESKTOPMONITOR - 监视器管理 7、EN
C语言实现建立顺序修改顺序,插入顺序,删除顺序
huangjiaaaaa的博客
05-18 2184
#include <stdio.h> #include <stdlib.h> #define OK 1 #define ERROR 0 #define OVERFLOW -2 #define LIST_INIT_SIZE 100 #define LISTINCREMENT 10 typedef int Elemtype; typedef int Status; Ele...
2021年ALPR系统发展情况及多行车牌图像处理中的字符顺序排序算法
阵列10(2021)100063基于多行车牌图像处理的离散字符和连通字符顺序排序算法阿布贾尔湾Minhuz Uddin Ahmeda,MD.Anwar Uddinb,*,Md.Asadur Rahmanca孟加拉国Gazipur伊斯兰理工大学土木和环境工程系b孟加拉国达卡...
初识xposed框架:安卓应用的黑科技
xposed框架是一款强大的开源框架,它可以在不修改APK文件的情况下影响程序运行。这意味着我们可以通过xposed框架在不修改应用本身的情况下,实现很多修改应用行为的功能。 ## 1.2 xposed框架的作用和原理 xposed...
单目多人3D网格回归方法的简化展示及其在遮挡情况下的鲁棒性
11179多个3D人的单眼、一阶段、回归孙宇1*钱宝2刘武2†伊利富1†迈克尔J.黑3陶梅21哈尔滨工业大学2京东AI研究3德国图宾根...相比之下,我们建议回归所有的网格在一个阶段的方式为多个3D人- ple(称为ROMP)。该方法在概
C语言高级编程:i++ 或 ++i作为函数参数
ARM-Linux
10-08 4460
测试机:Ubuntu14.04 x86_64 1. 代码: #include <stdio.h> void print(int a, int b, int c) { printf("a = %d\n", a); printf("b = %d\n", b); printf("c = %d\n", c); } void main(void) {...
java把输出的结果颠倒_java代码将数组元素顺序颠倒 | 学步园
weixin_32248531的博客
02-25 272
java代码将数组元素顺序颠倒,这个程序很简单,是想纠正自己之前的一些错误的认识:public class SwapDemo{public static void main(String[] args){int [] a = new int[]{//Math.random() a pseudorandom double greater than or equal to 0.0 and less t...
C语言的数顺序输出与反序输出_只愿与一人十指紧扣_新浪博客
HWP
07-30 2704
#include int main() { int n,m;int sum=0; scanf("%d",&amp;sum); int t=0; while(sum&gt;0) { m=sum; t=t*10+m; sum/=10; } ...
C语言printf函数输出达式中的计算顺序
sum_TW的博客
02-19 1万+
看下面一个例子: #include main() {     int i=8;     printf%d, %d, %d, %d\n",i,--i,i,i--);  }  运行结果:7, 7, 8, 8 为什么会有这样的结果呢?这就涉及到自增、自减运算符的问题了。 ++i    i自增1后再参与其它运算。 --i    i自减1后再参与其它运算
rpb 64位系统一次移动8个字节,ebp 32位系统一次移动4个字节
happylzs2008的专栏
09-26 600
(gdb) i frame Stack level 0, frame at 0x7fffffffe4e0: rip = 0x4008ef in main (stack1.c:34); saved rip = 0x7ffff7a2d830 //main函数的返回地址 source language c. Arglist at 0x7fffffffe4d0, args: argc=2, argv=0x7fffffffe5b8 Locals at 0x7fffffffe4d0, Previous fra...
两数交换输出顺序
Grit的博客
02-06 4037
题目描述 从键盘依次输入两个整数,要求完成以下操作: 1、首先原样输出这两个数; 2、然后交换这两个数的顺序后再输出一遍。 输入要求 从键盘输入两个整数。 输出要求 1、首先原样输出这两个数; 2、然后交换这两个数的顺序后再输出一遍。 输入样例 12 23 输出样例 12 23 23 12 参考程序 #include<math.h> int main() { int a,b,temp; scanf("%d %d",&a,&am
如何在VS2013中禁用NXCOMPAT选项
lee353086的专栏
10-05 1855
在“链接”选项页中找到“Data Execution Prevention(DEP)”选项,设置为No就可以了。 参考资料 http://blog.csdn.net/CharlesSimonyi/article/details/30479131
toArray()后,数组顺序改变吗?
07-14
在一般情况下,JavaScript 中的数组的顺序在调用 `toArray()` 后是不会改变的。`toArray()` 方法通常用于将类数组对象或可迭代对象转换为真正的数组。 然而,需要注意的是,如果你使用的是某些特定的 JavaScript ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值