利用函数堆栈溢出,修改函数返回地址,进而调用别的函数。
测试环境:
win10 x86-64
gcc: x86_64-pc-cygwin
代码
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
int len;
typedef void ( * p_fun)(void);
void fun(const char* input, int size)
{
char buf[8];
memcpy(buf, input, size);
printf("\nAddress of param=%p\n",&input);
printf("Address of ret=%p\n",*(&input-1));
printf("Address of local value=%p\n",buf);
len=(long)&input-(long)buf; //计算从local variable到fun param的长度
printf("i am in fun\n");
}
void bad_fun()
{
printf("\nok, i did it.\n");
}
int main(int argc, char* argv[])
{
int addr[8] = {0};
char s[] = "cal len";
long go = (long)bad_fun;
char ss[100] = {0};
fun(s, sizeof(s));
//((p_fun)go)();
printf("len = %d\n", len);
printf("Address of fun=%p\n", fun);
printf("Address of bad_fun=%p\n", bad_fun);
printf("Address of go=%lx\n", go);
//把bad_fun()函数的地址分离成字节, 然后储存到ss中
addr[0]=(go >> 0) & 0xff; addr[1]=(go >> 8) & 0xff; addr[2]=(go >> 16) & 0xff; addr[3]=(go >> 24) & 0xff;
addr[4]=(go >> 32) & 0xff; addr[5]=(go >> 40) & 0xff; addr[6]=(go >> 48) & 0xff; addr[7]=(go >> 56) & 0xff;
for(int j=0;j<8;j++)
{
ss[len-j-1]=addr[7-j];
}
fun(ss, len);
printf("test end.\n"); //由于函数返回地址被修改,此代码不被执行
return 0;
}
执行结果:
λ .\a.exe
Address of param=0xffffcb10
Address of ret=0x10040120c
Address of local value=0xffffcaf8
i am in fun
Address of fun=0x1004010e0
Address of bad_fun=0x10040116d
Address of go=10040116d
Address of param=0xffffcb10
Address of ret=0x10040116d
Address of local value=0xffffcaf8
i am in fun
ok, i did it.可见看到通过对fun函数返回地址的修改,成功执行了bad_fun()
分析:
1)要实现本功能主要要实现以下两点:
-
计算fun函数入参input到fun局部变量buf的长度(字节),由此便可以知道返回返回地址相对于buf的偏移,因为ret地址就在函数入参input的下方
-
利用buf数组来修改ret地址
2)测试系统为小端模式
3)测试系统为64位,所以需要注意函数地址为64位(8字节长),而不是32位。另外寄存器也是8字节长。
4)堆栈结构如下
扫一扫
484
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
