修改栈返回地址,改变程序执行流程.docxVIP

修改栈中函数调用返回地址，改变程序执行流程 任务：修改栈中函数调用返回地址，改变程序执行流程 在本例中，通过修改函数function调用返回地址，使程序跳过执行x=1的赋值语句，从而使输出结果为0 为了实现这个目标，需要 1.找到函数调用返回地址在栈中的位置 由于c程序中无法直接取得返回地址，本例中以buffer1地址为基址，通过计算其与返回地址在栈中地址的差值，得到返回地址（在栈中）的地址 对应程序中的7、8句 7 ret=buffer1+12; 8 (*ret)+=5; buffer1和返回地址通过gdb调试得到 2 .计算所跳过指令与下一条指令的差值，这通过反汇编代码可以直接计算得出 源程序 1 i#includestdio.h 2 void function(int a,int b,int c) 3 { 4 char buffer1[5]; 5 char buffer2[10]; 6 int *ret; 7 ret=buffer1+12; 8 (*ret)+=5; 9 10 } 11 void main() 12 { 13 int x; 14 x=0; 15 function(1,2,3); 16 x=1; 17 printf(%d\n,x); 18 } 编译：gcc -o e -g e.c 调试：gdb e 反汇编 disassemble main 0x0804844e +0: push %ebp 0x0804844f +1: mov %esp,%ebp 0+3: and $0xfffffff0,%esp 0+6: sub $0x20,%esp 要跳过指令地址 0+9: movl $0x0,0x1c(%esp) 0x0804845f +17: movl $0x3,0x8(%esp) 0+25: movl $0x2,0x4(%esp) 0x0804846f +33: movl $0x1,(%esp) 0+40: call 0x8048414 function 0x0804847b +45: movl $0x1,0x1c(%esp) 0+53: mov $0x8048560,%eax 0+58: mov 0x1c(%esp),%edx 0x0804848c +62: mov %edx,0x4(%esp) 0+66: mov %eax,(%esp) 0+69: call 0x8048338 printf@plt 0+74: leave 0+75: ret disassemble function: 0+0: push %ebp Buffer1地址 ！ 0+1: mov %esp,%ebp 0+3: sub $0x28,%esp 0x0804841a +6: mov %gs:0x14,%eax 0+12: mov %eax,-0xc(%ebp) 0+15: xor %eax,%eax 0+17: lea -0x21(%ebp),%eax 0+20: add $0xc,%eax 0x0804842b +23: mov %eax,-0x1c(%ebp) 0x0804842e +26: mov -0x1c(%ebp),%eax 0+29: mov (%eax),%eax 0+31: lea 0x5(%eax),%edx 0+34: mov -0x1c(%ebp),%eax 0+37: mov %edx,(%eax) 0x0804843b +39: mov -0x