码迷,mamicode.com
首页 > 其他好文 > 详细

为什么Fun函数能够执行

时间:2020-01-11 23:55:32      阅读:163      评论:0      收藏:0      [点我收藏+]

标签:寄存器   printf   main   填充   har   进制   地址   sem   sse   

#include<stdio.h>
#include<windows.h>

void Fun()
{
        printf("Kali-Team\n");
}

int check()
{
    int arr[4] = {0,1,2,3};
    arr[5] = (int)&Fun;
    return 0;
}

void main()
{
    _asm{
        mov eax,eax;
        mov eax,eax;
    }
    check();
    getchar();
    return;
}
  • 调用check函数前先把004010F1(call下一条要执行的地址)压入堆栈中,当前的ESP为0012FF30,EBP为0012FF80,check函数的地址为00401005。F11单步跟进函数。
  • 因为压入了call下一步的返回地址,所以ESP减4变为0012FF2C,到下面的push原ebp到堆栈中,esp减4,mov将当前ebp改为esp后提升堆栈50h(十进制的80),再保存ebx,esi,edi三个寄存器的值到栈中,esp减12,最后四行为填充CC到缓冲区。
00401070 55                   push        ebp
00401071 8B EC                mov         ebp,esp
00401073 83 EC 50             sub         esp,50h
00401076 53                   push        ebx
00401077 56                   push        esi
00401078 57                   push        edi
00401079 8D 7D B0             lea         edi,[ebp-50h]
0040107C B9 14 00 00 00       mov         ecx,14h
00401081 B8 CC CC CC CC       mov         eax,0CCCCCCCCh
00401086 F3 AB                rep stos    dword ptr [edi]
  • 下面是给数组arr赋值,局部变量在堆栈中保存。
00401088 C7 45 F0 00 00 00 00 mov         dword ptr [ebp-10h],0
0040108F C7 45 F4 01 00 00 00 mov         dword ptr [ebp-0Ch],1
00401096 C7 45 F8 02 00 00 00 mov         dword ptr [ebp-8],2
0040109D C7 45 FC 03 00 00 00 mov         dword ptr [ebp-4],3
  • 关键代码继续给arr赋值,因为上面已经分配到ebp-4了,下标为4的很明显是越界了,就会覆盖到ebp
004010A4 C7 45 04 0A 10 40 00 mov         dword ptr [ebp+4],offset @ILT+5(Fun) (0040100a)
  • call的返回地址在EBP+4中,所以我们要将下标改为5,即为arr[5] = (int)&Fun;
004010AD 5F                   pop         edi
004010AE 5E                   pop         esi
004010AF 5B                   pop         ebx
004010B0 8B E5                mov         esp,ebp
004010B2 5D                   pop         ebp
004010B3 C3                   ret

  • 在恢复寄存器后执行ret指令,将arr[5]的值给了EIP。

  • 现在就会把Check函数的返回地址改为Fun函数的开始地址,所以Fun会被执行。

0012FECC edi
0012FED0 esi
0012FED4 ebx
esp 0012FED8 提升堆栈后到了这里
0 Ebp-10
1 Ebp-C
2 Ebp-8
3 Ebp-4
ebp 0012FF28 保存原ebp 0012FF80
0012FF2C call下一步的返回地址
0012FF30
0012FF80

为什么Fun函数能够执行

标签:寄存器   printf   main   填充   har   进制   地址   sem   sse   

原文地址:https://www.cnblogs.com/Kali-Team/p/12181456.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!