c/cpp暗改调用栈的一些玩法(0x01)

david

调用栈浅说

调用栈的图参考了这篇博客https://blog.csdn.net/VarusK/...
通过这个图可以形象看出函数调用的过程中,每个函数调用的栈帧如何,栈区的排布等信息。

当一个函数被调用的时候,进栈的顺序为:

  1. 主函数中函数调用后的下一条指令(函数调用语句的下一条可执行语句)的地址。
  2. 函数的各个参数,由右往左入栈的,然后是函数中的局部变量。
    image.png

修改调用栈中的返回地址

如上面一小节提到的那样,我们的传参和主调函数的下一个指令地址在栈的结构中是相邻的,于是我们可以通过参数地址定位到主调函数的下一指令地址,并对其进行修改。

代码如下:

#include <stdio.h>

#define dp(msg)\
{\
    printf(msg);\
    printf(" > in func: < %s >", __FUNCTION__);\
    printf("\n");\
}

void leaper( int a )
{
    int* p    = &a;
    if ( a ){
        for( int i = 0; i < 64; i ++ ){
            if ( ( *(p+i) > (long)leaper ) && ( ( *(p+i) - (long)leaper ) < 0x1000 ) ){
                *(p+i) += 5;
                break;
            }
            if ( ( *(p+i) < (long)leaper ) && ( ( (long)leaper - *(p+i) ) < 0x1000 ) ){
                *(p+i) += 5;
                break;
            }
        }
    }
    return;
}

void func_a()
{
    dp("here!");
}

int main( int argc, char* argv[] )
{
    leaper(1);
    func_a();
    dp("end");
    return 0;
}

代码说明:main中调了leaper函数,首先会把执行func_a的指令地址(也就是执行完leaper之后的指令地址)先压栈,然后将传参压栈,在leaper中参数地址取出来&a,然后在其周围寻找类似于leaper指针值的值,找到第一个就ok,然后将其+5,这就算给下一条指令地址加上偏移了,这里面我担心不同编译器的栈帧结构不太一样,所以采取这种写法容错高一些,+5是为了正确跳过指令的长度,(不同的芯片这个值不一样,这样看具体的指令长度,比如arm应该是4,86的芯片的call指令写5应该是ok,具体应该怎么样可以使用objdump看汇编代码,然后进行修改)。

最终的效果,因为调用栈中的下一条指令的地址被修改了,所以func_a会被跳过。直接打印"end"了。

因为c/cpp有了指针,会导致有很多玩内存的玩法,通常会造成一些让人错愕的效果,“不安全”和“玩法”成为了c/cpp这枚硬币的两面。

阅读 152
1 声望
0 粉丝
0 条评论
你知道吗?

1 声望
0 粉丝
文章目录
宣传栏