C 缓冲区溢出/溢出说明？

在给定的url中，此函数为：

主功能对应的组装代码为：

Dump of assembler code for function main:
0x8000490 <main>:       pushl  %ebp
0x8000491 <main+1>:     movl   %esp,%ebp
0x8000493 <main+3>:     subl   $0x4,%esp
0x8000496 <main+6>:     movl   $0x0,0xfffffffc(%ebp)
0x800049d <main+13>:    pushl  $0x3
0x800049f <main+15>:    pushl  $0x2
0x80004a1 <main+17>:    pushl  $0x1
0x80004a3 <main+19>:    call   0x8000470 <function>
0x80004a8 <main+24>:    addl   $0xc,%esp
0x80004ab <main+27>:    movl   $0x1,0xfffffffc(%ebp)
0x80004b2 <main+34>:    movl   0xfffffffc(%ebp),%eax
0x80004b5 <main+37>:    pushl  %eax
0x80004b6 <main+38>:    pushl  $0x80004f8
0x80004bb <main+43>:    call   0x8000378 <printf>
0x80004c0 <main+48>:    addl   $0x8,%esp
0x80004c3 <main+51>:    movl   %ebp,%esp
0x80004c5 <main+53>:    popl   %ebp
0x80004c6 <main+54>:    ret
0x80004c7 <main+55>:    nop

主函数的汇编程序代码转储： 0x8000490:pushl%ebp 0x8000491:movl%esp，%ebp 0x8000493:subl$0x4，%esp 0x8000496:movl$0x0,0xfffffffc（%ebp） 0x800049d:PUSH$0x3 0x800049f:pushl$0x2 0x80004a1:pushl$0x1 0x80004a3:呼叫0x8000470 0x80004a8:添加$0xc，%esp 0x80004ab:movl$0x1,0xfffffffc（%ebp） 0x80004b2:movl 0xfffffffc（%ebp），%eax 0x80004b5:pushl%eax 0x80004b6:PUSH$0x80004f8 0x80004bb:呼叫0x8000378 0x80004c0:添加$0x8，%esp 0x80004c3:movl%ebp，%esp 0x80004c5:popl%ebp 0x80004c6:ret 0x80004c7:nop 在变量

ret

中，它们将

ret

指向要运行的下一条指令的地址。我无法理解，仅仅通过将下一条指令保留在

ret

变量中，程序将如何跳转到下一个位置？ 我知道缓冲区溢出是如何工作的，但是通过更改

ret

变量，缓冲区溢出是如何工作的？

---

即使考虑到这是一个虚拟程序，只是为了让我们了解缓冲区溢出是如何工作的，更改

ret

变量似乎是错误的。

这是一个缓冲区溢出示例的解释：

函数

的局部变量（包括

buffer1

）与返回地址一起位于堆栈上，返回地址计算为超出

buffer1

的12个字节。这是一个缓冲区溢出的例子，因为写入超过

buffer1

12字节的地址时，写入的内容超出了

buffer1

的适当范围。当

函数

完成时，通过将返回地址替换为比原来大8的数字，而不是像往常一样在函数调用后弹出返回语句（

x=1；

，在本例中），返回地址将是8个字节（在本例中为

printf

语句）

跳过

x=1语句不是缓冲区溢出——它是修改返回地址的缓冲区溢出的结果

关于计算8作为跳过的适当偏移量的注释
x=1语句：

另请参见8的计算，作为添加到返回地址的适当偏移量，以达到跳过
x=1的目的。他的发现与基于GDB的研究结果相矛盾。不管这个细节如何，关于如何使用缓冲区溢出来更改返回地址的解释仍然是一样的——只是一个向溢出中写入什么的问题

为完整起见，以下是基于GDB的对的分析：

我们所做的是将12添加到buffer1[]的地址。这个新的
地址是存储返回地址的位置。我们想跳过这一关
printf调用的赋值。我们怎么知道要把8加到
回信地址？我们首先使用一个测试值（例如1），然后编译
启动程序，然后启动gdb：

[aleph1]$gdb示例3
GDB是免费软件，欢迎您分发它的副本
在一定条件下,；键入“显示复制”以查看条件。
GDB绝对没有担保；有关详细信息，请键入“显示保修”。
GDB 4.15（I586-未知Linux），版权1995免费软件基金会。
（未找到调试符号）。。。
（gdb）拆卸主管道
主功能的汇编程序代码转储：
0x8000490:pushl%ebp
0x8000491:movl%esp，%ebp
0x8000493:subl$0x4，%esp
0x8000496:movl$0x0,0xfffffffc（%ebp）
0x800049d:PUSH$0x3
0x800049f:pushl$0x2
0x80004a1:pushl$0x1
0x80004a3:呼叫0x8000470
0x80004a8:添加$0xc，%esp
0x80004ab:movl$0x1,0xfffffffc（%ebp）
0x80004b2:movl 0xfffffffc（%ebp），%eax
0x80004b5:pushl%eax
0x80004b6:PUSH$0x80004f8
0x80004bb:呼叫0x8000378
0x80004c0:添加$0x8，%esp
0x80004c3:movl%ebp，%esp
0x80004c5:popl%ebp
0x80004c6:ret
0x80004c7:nop

我们可以看到，当调用函数（）时，RET将是0x8004a8，
我们想跳过0x80004ab的赋值。下一个
我们要执行的指令是0x8004b2。一点数学
告诉我们距离是8字节

稍微好一点的数学告诉我们，距离是
0x8004a8-0x8004b2=0xA
或10个字节，而不是8个字节。
堆栈上的布局如下（地址向下-随着堆栈的增长）：

buffer+。。。价值发现描述
=================================================================================
+24 3#从主管道开始，推送$0x3
+20 2#从主管道开始，推送$0x2
+16 1#从主管道开始，推送$0x1
+12#从main，呼叫0x8000470
+8#从功能，推送%ebp
+4%ebp（函数）填充（3字节）#ABI-编译器将不会u pack_vars
+0缓冲区[5]；
...                缓冲区1[12]；#可能已优化（未使用）
...                int*ret#可能会被优化掉（改为使用reg）

棘手的是，
buffer
从一个四字节对齐的地址开始，即使它的大小不是四字节的倍数。“有效大小”是8个字节，因此如果在其开头添加8个字节，则会找到保存的帧指针，如果再向下移动4个字节，则会找到保存的返回地址（根据您的反汇编，它是
main+0x24
/
0x80004a8
。添加8会跳到“中间”在两个指令中，结果是垃圾-您没有跳过
x=1
语句。
捕捉得很好。更新了我的答案以注意您发现的错误。+1
Dump of assembler code for function main:
0x8000490 <main>:       pushl  %ebp
0x8000491 <main+1>:     movl   %esp,%ebp
0x8000493 <main+3>:     subl   $0x4,%esp
0x8000496 <main+6>:     movl   $0x0,0xfffffffc(%ebp)
0x800049d <main+13>:    pushl  $0x3
0x800049f <main+15>:    pushl  $0x2
0x80004a1 <main+17>:    pushl  $0x1
0x80004a3 <main+19>:    call   0x8000470 <function>
0x80004a8 <main+24>:    addl   $0xc,%esp
0x80004ab <main+27>:    movl   $0x1,0xfffffffc(%ebp)
0x80004b2 <main+34>:    movl   0xfffffffc(%ebp),%eax
0x80004b5 <main+37>:    pushl  %eax
0x80004b6 <main+38>:    pushl  $0x80004f8
0x80004bb <main+43>:    call   0x8000378 <printf>
0x80004c0 <main+48>:    addl   $0x8,%esp
0x80004c3 <main+51>:    movl   %ebp,%esp
0x80004c5 <main+53>:    popl   %ebp
0x80004c6 <main+54>:    ret
0x80004c7 <main+55>:    nop

[aleph1]$ gdb example3
GDB is free software and you are welcome to distribute copies of it
 under certain conditions; type "show copying" to see the conditions.
There is absolutely no warranty for GDB; type "show warranty" for details.
GDB 4.15 (i586-unknown-linux), Copyright 1995 Free Software Foundation, Inc...
(no debugging symbols found)...
(gdb) disassemble main
Dump of assembler code for function main:
0x8000490 <main>:       pushl  %ebp
0x8000491 <main+1>:     movl   %esp,%ebp
0x8000493 <main+3>:     subl   $0x4,%esp
0x8000496 <main+6>:     movl   $0x0,0xfffffffc(%ebp)
0x800049d <main+13>:    pushl  $0x3
0x800049f <main+15>:    pushl  $0x2
0x80004a1 <main+17>:    pushl  $0x1
0x80004a3 <main+19>:    call   0x8000470 <function>
0x80004a8 <main+24>:    addl   $0xc,%esp
0x80004ab <main+27>:    movl   $0x1,0xfffffffc(%ebp)
0x80004b2 <main+34>:    movl   0xfffffffc(%ebp),%eax
0x80004b5 <main+37>:    pushl  %eax
0x80004b6 <main+38>:    pushl  $0x80004f8
0x80004bb <main+43>:    call   0x8000378 <printf>
0x80004c0 <main+48>:    addl   $0x8,%esp
0x80004c3 <main+51>:    movl   %ebp,%esp
0x80004c5 <main+53>:    popl   %ebp
0x80004c6 <main+54>:    ret
0x80004c7 <main+55>:    nop

buffer + ...       value found       description
=================================================================================
+24                3                 # from main,     pushl $0x3
+20                2                 # from main,     pushl $0x2
+16                1                 # from main,     pushl $0x1
+12                <main+24>         # from main,     call  0x8000470 <function>
+8                 <frameptr main>   # from function, pushl %ebp
+4  %ebp(function) padding (3 bytes) # ABI - compiler will not _pack_ vars
+0                 buffer[5];
...                buffer1[12];      # might be optimized out (unused)
...                int *ret          # might be optimized out (reg used instead)