我写这篇博客主要是因为某人对我发起的灵魂拷问
为什么level5利用_libc_csu_init 的gadget构造的payload要在末尾加上0x38个填充字符
我听到这个问题是很蒙蔽的,我当时想当然的讲是用来维持栈平衡的,然rsp的值变成初始状态,可是经过一番深刻的讨论发现,不是这样子的,然后那个diaomao 就出去浪了,留我一个人思考这个问题,网上也没有大佬说明过这个问题,所以自己想了想
首先这个问题需要有一定的汇编基础:(因为这道题是64位的,所以我主要讲64位的汇编)
pop (出栈):将栈顶的元素弹出栈,然后栈指针rsp + 8
相当于:
mov (%rsp),%register
add $8,%rsp
push(入栈):栈指针rsp - 8 然后将元素压入栈中
相当于:
sub $8,%rsp
mov $argument,(%rsp)
leave : 将栈帧指针rbp的值赋给rsp ,然后将栈中保存的上一级函数的rbp值弹出
相当于:
mov %rbp,%rsp
pop %rbp
ret :返回,将当前栈顶的元素弹出栈中,传到rip中
相当于:
pop %rip
call:格式: call &address 先将address地址压入rip中,然后将call下一条指令作为返回地址压入栈中
enter:用作函数的开头
相当于:
push %rbp
mov %rsp,%rbp
汇编基础了解完了还要了解一下栈的空间分布(以level5的栈空间为例)在脚本发送完payload后 函数的栈空间布局
image.png
基本上就是这个样子,函数的返回地址被精心构造的payload覆盖成gadget的地址
然后我们就可以开始解释为什么payload后面要填充0x38个字符了
image.png
rsp的变化:
image.png
上面两幅图应该解释的很清楚了,所以填充0x38个字符'a'是为了控制rsp最后指向我们想要返回的函数的地址,正确的返回
网友评论