要通过栈溢出做一个这样的hanker程序,在foo程序执行完后无声息的goto到hacker程序中,并且在hanker执行完后,准确的返回到调foo的地方。
首先,有以下几点需要明确下。
1、一个函数(main除外)开头和结尾通常有如下代码:
2、foo call bar的时候,首先会将eip压栈,再将参数压栈(如果有的话),然后再跳到bar的开始的代码部分;
3、bar会首先将ebp压栈,再将esp的值赋给ebp,即生成新的栈帧;然后将esp的值减去某个值xx,给临时变量分配栈空间;之后运行自己的代码;
4、在bar的最后都会有两个指令:leave、ret。leave是清除当前栈帧,相当于MOV ESP,EBP 然后 POP EBP;ret指令是清楚参数,然后POP EIP。
下面是实现开始时提出的问题的代码:
从foo中偷渡到hacker中很easy,从hacker再返回main,花费了好几个小时,再高贱人的提示下,终于明白了。开始是不清楚call前后的栈变化情况,教科书上的那些东东说的太教科书了^6^,之后是拿栈中少个eip没办法,本以为通过内嵌汇编将esp值减去4,但这个栈是自动的,你将栈搞大一个四,他返回时会相应的缩回去一个四,不过最后,想明白后,搞定就是那么一时半会的事了。
编译器用的gcc 4.3。