背景知识
函数调用栈:程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量
函数状态主要涉及的三个寄存器:
- ESP:用来存储函数调用栈的栈顶地址,在压栈和退栈时发生变化
- EBP:用来存储当前函数状态的基地址,在函数运行时不变,可以用来索引确定函数参数或局部变量的位置
- EIP:用来存储即将执行的程序指令的地址,cpu 依照 eip 的存储内容读取指令并执行,eip 随之指向相邻的下一条指令,如此反复,程序就得以连续执行指令
函数调用时,栈顶函数状态以及上述寄存器的变化:
变化的核心任务是将调用函数(caller)的状态保存起来,同时创建被调用函数(callee)的状态。
四项技术:
- 修改返回地址,让其指向溢出数据中的一段指令(shellcode)
- 修改返回地址,让其指向内存中已有的某个函数(return2libc)
修改返回地址,让其指向内存中已有的一段指令(ROP)
修改某个被调用函数的地址,让其指向另一个函数(hijack GOT)
SHELLCODE:
payload:padding1 + address of shellcode + padding