Assembly 如何找到ret地址_Assembly_Buffer_X86 64_Buffer Overflow

Assembly 如何找到ret地址

assembly

Assembly 如何找到ret地址,assembly,buffer,x86-64,buffer-overflow,Assembly,Buffer,X86 64,Buffer Overflow,在这个程序中，我想做的是重写返回寄存器地址，这样程序的结果是打印“0”而不是“1”作为主文件中x的值但是我没有找到返回地址——缓冲区的偏移量和返回地址的偏移量以下是汇编语言的一部分： void function(int a, int b, int c) { char buffer[1]; int *ret; ret = buffer + 20; (*ret) += 7; } void main() { int x; x = 0; fu

在这个程序中，我想做的是重写返回寄存器地址，这样程序的结果是打印“0”而不是“1”作为主文件中x的值

但是我没有找到返回地址——缓冲区的偏移量和返回地址的偏移量

以下是汇编语言的一部分：

void function(int a, int b, int c)
{    char buffer[1];
     int *ret;
     ret = buffer + 20;
     (*ret) += 7;
}
void main()
{    int x;
    x = 0;
    function(1, 2, 3);
    x = 1;
    printf("%d\n", x);
}

以及

编译之后，我使用gdb查找返回地址

main:
.LFB1:
.cfi_startproc
pushq   %rbp
.cfi_def_cfa_offset 16
.cfi_offset 6, -16
movq    %rsp, %rbp
.cfi_def_cfa_register 6
subq    $16, %rsp
movl    $0, -4(%rbp)
movl    $3, %edx
movl    $2, %esi
movl    $1, %edi
call    function
movl    $1, -4(%rbp)
movl    $.LC0, %eax
movl    -4(%rbp), %edx
movl    %edx, %esi
movq    %rax, %rdi
movl    $0, %eax
call    printf
leave
.cfi_def_cfa 7, 8
ret
.cfi_endproc

0x000000000040054e:推送%rbp
0x000000000040054f:mov%rsp，%rbp
0x0000000000400552:子$0x10，%rsp
0x0000000000400556:movl$0x0，-0x4（%rbp）
0x000000000040055d:mov$0x3，%edx
0x0000000000400562:mov$0x2，%esi
0x0000000000400567:mov$0x1，%edi
0x000000000040056c:callq 0x400524
0x0000000000400571:movl$0x1，-0x4（%rbp）
0x0000000000400578:mov$0x400694，%eax
0x000000000040057d:mov-0x4（%rbp），%edx
0x0000000000400580:mov%edx，%esi
0x0000000000400582:mov%rax，%rdi
0x0000000000400585:mov$0x0，%eax
0x000000000040058a:callq 0x400418
0x000000000040058f:LEVEQ
0x0000000000400590:retq

这就是我选择“20”和“7”的原因。但它不起作用，它说的是“段错误”。我试过很多数字，有时会出现“总线错误”。我不知道为什么，我怎么能找到它。我正在64位机器上运行它。

请看带有我注释的代码：

   0x000000000040054e <+0>: push   %rbp
0x000000000040054f <+1>:    mov    %rsp,%rbp
0x0000000000400552 <+4>:    sub    $0x10,%rsp
0x0000000000400556 <+8>:    movl   $0x0,-0x4(%rbp)
0x000000000040055d <+15>:   mov    $0x3,%edx
0x0000000000400562 <+20>:   mov    $0x2,%esi
0x0000000000400567 <+25>:   mov    $0x1,%edi
0x000000000040056c <+30>:   callq  0x400524 <function>
0x0000000000400571 <+35>:   movl   $0x1,-0x4(%rbp)
0x0000000000400578 <+42>:   mov    $0x400694,%eax
0x000000000040057d <+47>:   mov    -0x4(%rbp),%edx
0x0000000000400580 <+50>:   mov    %edx,%esi
0x0000000000400582 <+52>:   mov    %rax,%rdi
0x0000000000400585 <+55>:   mov    $0x0,%eax
0x000000000040058a <+60>:   callq  0x400418 <printf@plt>
0x000000000040058f <+65>:   leaveq 
0x0000000000400590 <+66>:   retq

请注意，最后两条指令（pop和ret）从堆栈中弹出两项，即rbp的上一个/保存的值和返回地址

这意味着返回地址正好位于堆栈上保存的rbp值之上，或者位于rbp+8

但是您正在修改rbp+11的内存

此外，您只修改了4个字节，而所有指针都是64位（8字节）

所以，你需要改变

function:
pushq   %rbp ; save rbp on the stack
movq    %rsp, %rbp ; rbp = address of previous value of rbp on the stack
movl    %edi, -20(%rbp)
movl    %esi, -24(%rbp)
movl    %edx, -28(%rbp)
leaq    -9(%rbp), %rax ; rax = address of buffer = rbp - 9
addq    $20, %rax ; rax = buffer + 20 = rbp - 9 + 20 = rbp + 11
movq    %rax, -8(%rbp)
movq    -8(%rbp), %rax
movl    (%rax), %eax ; read 4 bytes from address rbp + 11, WHY 4? 8-byte pointers!
leal    7(%rax), %edx ; add 7 to those
movq    -8(%rbp), %rax
movl    %edx, (%rax) ; store the sub back
popq    %rbp ; restore rbp from the stack
ret ; return

到

然后更正常量，这样就可以在地址rbp+8处修改8个字节，而不是在rbp+11或rbp+其他位置

火箭科学？不。只要阅读代码，一步一步地看，看看会发生什么，然后思考。你有调试器

> p>如果使用VisualStudio，请考虑调用编译器固有的

unsigned long long *ret;

非常感谢！我还有一些问题要问。什么是movl%rax，-8（%rbp）和movl-8（%rbp），%rax do？在rax和rbp-8的内存之间移动4个字节。阅读汇编教程和CPU手册。”

int *ret;

unsigned long long *ret;

void* _ReturnAddress(void);
#pragma intrinsic(_ReturnAddress);

function main()
{
    void* ret = _ReturnAddress();
    printf("%p", ret);
}