十四、MIPS汇编指令-子函数

我们回顾一下上次分享中的C代码：

#include <stdio.h>
#include <string.h>

void B() {
        printf(".....\n");
}

void A(char *content) {
        char buf[32];
        strcpy(buf, content);
        printf("buf: %s\n", buf);
        B();
}

void main(int argc, char **argv) {
        A(argv[1]);
}

这次我们主要关注A函数，从MIPS汇编语言的角度解析字符串数组在栈上如何分配的，以及如何调用子函数的。

首先，我们看一下IDA对函数A的反汇编结果：

在A函数的第一行汇编指令中，我们可以看到，它又是使用addiu $sp, -0x50指令为A函数分配了0x50个字节的函数栈空间（栈顶指针sp向下移动了0x50个字节），并使用var_40、var_34、var_2C、var_C、var_8、var_4这几个作为变量名，这些变量就分别指向了A函数的0x50字节的栈空间中的不同位置，关于这几个变量在函数A栈帧中的位置分布情况，如图：

由这幅图，我们可以轻易的理解，如果var_2C变量的内容存在溢出的情况，就可能将var_4变量的内容覆盖，这其实就是栈空间缓冲区溢出原理的最简单的体现方式。

由函数A的汇编指令的第二行，我们不难看到，sw $ra,0x50+va{r}_4($sp)指令的意思是，将ra寄存器的值保存到var_4变量中，在函数A的汇编指令的倒数第5行使用lw $ra,0x50+va{r}_4($sp)指令，将var_4变量中的值恢复到ra寄存器中，然后在函数的末尾使用jr $ra指令将程序的执行流程跳转回main函数继续执行，这样就保证了在A函数内部，无论有多少函数试图改变ra寄存器的值，都不会破环程序的正常执行逻辑，即执行完A函数，会回到main函数继续向下执行：

从汇编代码的第6行，我们可以知道，var_40变量用于保存全局变量，gp是global pointer的意思，即全局指针，就代表了函数中的全局变量所在的区域。

汇编代码的第7行，将函数A的第一个参数即a0，存储到var_34变量中，也就是程序执行过程中传入的“AAAAAAAA”字符串。

第11行，将var_2C变量赋值给v0，后又在第13行将v0赋值给了a0。

第14行，将“AAAAAAAA”字符串赋值给了a1。

至此，若要调用strcpy函数，它的两个参数已经准备好了，由此，我们可以推测，a0代表的var_2C就是A函数内部的buf变量：

        char buf[32];

a1就代表“AAAAAAAA”字符串。

接着，汇编代码的第16行使用bal指令，调用了strcpy行数。

后面类似的原理，又分别使用bal和jal指令调用了printf函数和B函数。

至此，我们从一个简单的C代码开始，先分析了main函数的反汇编代码，又分析了main函数调用的子函数代码，并通过绘制处main函数及其调用的子函数的栈帧图示来理解函数调用栈是如何变化的。通过这些简单的函数调用流程，在结合一些英文单词的缩写，我们很容易识别处各条汇编指令的含义。

如果你对MIPS汇编指令还有些搞不懂，也没关系，在后面的分享中，我会通过几个经典的shellcode代码案例，使你在学习shellcode的同时，再进一步夯实MIPS汇编指令的基础能力。

最后希望这次的分享能够为你带来帮助，谢谢大家。