我正在使用系统Linux x86学习基于程序集的函数堆栈。
我读过一些文章,它告诉我函数堆栈(被调用者)将保存调用者调用它的返回地址,以便计算机可以知道函数返回时的继续点。
这就是为什么会有一种攻击:堆栈粉碎。堆栈粉碎意味着如果我们可以溢出函数堆栈,特别是溢出带有设计地址的返回地址,程序将执行黑客代码。
但是,今天我正在尝试使用gdb检查一个简单的c ++程序,如下所示,但我找不到任何函数堆栈中保存的返回地址。这是代码:
void func(int x)
{
int a = x;
int b = 0; // set a breakpoint
}
int main()
{
func(10); // set a breakpoint
return 0;
}
然后我使用gdb来获取它的程序集:
main
:
func
:
现在我们可以看到在两个函数堆栈中没有保存返回地址(至少这是我的观点)。
如果一个黑客想用堆栈粉碎破解这个程序,那么函数堆栈中的哪个地址会被他非法编辑?
现在我们可以看到在两个函数堆栈中没有保存返回地址(至少这是我的观点)。
你实际展示的是反汇编的代码,而不是堆栈。
返回地址由调用者通过callq
指令在堆栈上推送。在进入被调用函数时,它位于堆栈的顶部,即:在那一刻,rsp
包含存储返回地址的地址。
p/x $rsp
显示rsp
寄存器的值,即:堆栈顶部的地址,因为rsp
指向堆栈的顶部。x/x $rsp
显示位于堆栈顶部的内存内容(即:位于rsp
指向的地址的内容)。记住这些信息,您可以在进入被调用函数时(在将任何其他内容推入堆栈之前)运行命令x/x $rsp
以获取返回地址。
您还可以使用命令info frame
检查当前堆栈帧。名称为saved rip
的显示字段对应于当前函数的返回地址。但是,您需要在创建当前函数的堆栈帧之后以及在它被销毁之前运行此命令(即:在mov %rsp,%rbp
之后但在被调用者中的pop %rbp
之前)。
就在这里。在callq
之前和之后立即检查堆栈。你会发现callq
之后的指令地址现在出现在堆栈顶部,RSP减少了8。
callq
指令使下一条指令的地址被压入堆栈。相反,函数末尾的retq
指令会使堆栈上的地址弹出到RIP
中。