栈溢出攻击之弹出计算器

一.系统栈溢出原理

函数栈帧及寄存器

在高级语言中，当函数被调用时，系统栈会为这个函数开辟一个新的栈帧，并把它压入栈中。这个栈帧中的内存空间被它所属的函数独占，正常情况下是不会和别的函数共享的。当函数返回时，系统栈会弹出该函数所对应的栈帧。

Win32系统提供两个特殊的寄存器用于标识位于系统栈顶端的栈帧：
1. ESP：栈指针寄存器，其内存放着一个指针，该指针永远指向系统栈最上面一个栈帧的栈顶；
2. EBP：基址指针寄存器，其内存放着一个指针，该指针永远指向系统栈最上面一个栈帧的底部。

在函数栈帧中，一般包含以下几类重要信息：
1. 局部变量：为函数局部变量开辟的内存空间；
2. 栈帧状态值：保存前栈帧的顶部和底部(实际上只保存前栈帧的底部，前栈帧的顶部可以通过堆栈平衡计算得到)，用于在本帧被弹出后恢复出上一个栈帧；
3. 函数返回地址：保存当前函数调用前的“断点”信息，也就是函数调用前的指令位置，以便在函数返回时能够恢复到函数被调用前的代码区中继续执行指令。

除了与栈相关的寄存器外，还有另一个重要的栈：EIP，指令寄存器，其内存放着一个指针，该指针永远指向下一条等待执行的指令地址，如果控制了EIP寄存器的内容，就控制了进程——我们让EIP指向哪里，CPU就会去执行哪里的指令。

函数调用细节

函数调用大致包括以下几个步骤：
1. 参数入栈：将参数从右向左依次压入系统栈中；
2. 返回地址入栈：将当前代码区调用指令的下一条指令地址压入栈中，供函数返回时继续执行；
3. 代码区跳转：处理器从当前代码区跳转到被调用函数的入口处；
4. 栈帧调整：具体包括
保存当前栈帧状态值，以备后面恢复本栈帧时使用(EBP入栈)；将当前栈帧切换到新栈帧(将ESP值装入EBP，更新栈帧底部)；给新栈帧分配空间(把ESP减去所需空间的大小，抬高栈顶)。

对于_stdcall调用约定，函数调用时用到的指令序列大致如下：

        ;调用前
push arg3   ；假设该函数有3个参数，将从右向左依次入栈
push arg2
push arg1
call func_address   ；call指令将同时完成两项工作：向栈中压入当前指令在内存中的位置，即保存返回地址；跳转到所调用函数的入口地址函数入口处
push ebp        ;保存旧栈帧的底部
mov ebp, esp    ;设置新栈帧的底部(栈帧切换)
sub esp, xxx    ;设置新栈帧的顶部(抬高栈顶，为新栈帧开辟空间)

类似地，函数返回的步骤如下：
1. 保存返回值：通常将函数的返回值保存在寄存器EAX中；
2. 弹出当前栈帧，恢复上一个栈帧。具体包括：
在堆栈平衡的基础上，给ESP加上栈帧的大小，降低栈顶，回收当前栈帧的空间；将当前栈帧底部保存的前栈帧EBP值弹入EBP寄存器，恢复出上一个栈帧；将函数返回地址弹给EIP寄存器；
3. 跳转：按照函数返回地址跳回母函数中继续执行。

函数返回时相关指令序列如下：

add esp, xxx    ;降低栈顶，回收当前的栈帧
pop ebp         ;将上一个栈帧底部位置恢复到ebp
retn        ;弹出当前栈顶元素，即弹出栈帧中的返回地址，至此，栈帧恢复工作完成；让处理器跳转到弹出的返回地址，恢复调用前的代码区

修改函数返回地址

通用的缓冲区溢出攻击改写的目标往往是栈帧最下方的EBP和函数返回地址等栈帧状态值。

以下面一段C语言代码为例：