c - 调用 printf 时的堆栈 View ？

Question

我刚刚了解格式字符串漏洞，这让我提出了这个问题

考虑以下简单的程序:

#include<stdio.h>
void main(int argc, char **argv)
{
char *s="SomeString";
printf(argv[1]);
}

现在很明显，这段代码容易受到格式字符串漏洞的影响。 IE。当命令行参数为 %s 时，则打印值 SomeString，因为 printf 会弹出堆栈一次。

我不明白的是调用 printf 时堆栈的结构

在我的脑海中，我想象堆栈如下:

从左到右增长----->

main()                                                                  ---> printf()-->
RET to libc_main | address of 's' | current registers| ret ptr to main | ptr to format string| 

如果是这种情况，向程序输入%s，如何导致s的值被弹出？

(或)如果我对堆栈结构完全错误，请纠正我

Answer 1

堆栈内容很大程度上取决于以下内容:

• CPU
• 编译器
• 调用约定(即如何在寄存器和堆栈中传递参数)
• 编译器执行的代码优化

这是我通过使用 gcc stk.c -S -o stk.s 使用 x86 mingw 编译你的小程序得到的结果:

        .file   "stk.c"
        .def    ___main;        .scl    2;      .type   32;     .endef
        .section .rdata,"dr"
LC0:
        .ascii "SomeString\0"
        .text
        .globl  _main
        .def    _main;  .scl    2;      .type   32;     .endef
_main:
LFB6:
        .cfi_startproc
        pushl   %ebp
        .cfi_def_cfa_offset 8
        .cfi_offset 5, -8
        movl    %esp, %ebp
        .cfi_def_cfa_register 5
        andl    $-16, %esp
        subl    $32, %esp
        call    ___main
        movl    $LC0, 28(%esp)
        movl    12(%ebp), %eax
        addl    $4, %eax
        movl    (%eax), %eax
        movl    %eax, (%esp)
        call    _printf
        leave
        .cfi_restore 5
        .cfi_def_cfa 4, 4
        ret
        .cfi_endproc
LFE6:
        .def    _printf;        .scl    2;      .type   32;     .endef

这就是我使用 gcc stk.c -S -O2 -o stk.s 得到的结果，即启用优化:

        .file   "stk.c"
        .def    ___main;        .scl    2;      .type   32;     .endef
        .section        .text.startup,"x"
        .p2align 2,,3
        .globl  _main
        .def    _main;  .scl    2;      .type   32;     .endef
_main:
LFB7:
        .cfi_startproc
        pushl   %ebp
        .cfi_def_cfa_offset 8
        .cfi_offset 5, -8
        movl    %esp, %ebp
        .cfi_def_cfa_register 5
        andl    $-16, %esp
        subl    $16, %esp
        call    ___main
        movl    12(%ebp), %eax
        movl    4(%eax), %eax
        movl    %eax, (%esp)
        call    _printf
        leave
        .cfi_restore 5
        .cfi_def_cfa 4, 4
        ret
        .cfi_endproc
LFE7:
        .def    _printf;        .scl    2;      .type   32;     .endef

如您所见，在后一种情况下，堆栈上没有指向“SomeString”的指针。事实上，该字符串甚至不存在于编译的代码中。

在这个简单的代码中，堆栈上没有保存任何寄存器，因为没有任何分配给寄存器的变量需要在调用 printf() 时保留。 .

因此，您在堆栈上获得的唯一内容是字符串指针(可选)、由于堆栈对齐而未使用的空间( andl $-16, %esp + subl $32, %esp 对齐堆栈并为局部变量分配空间，此处没有)， printf()的参数，从printf()返回的返回地址返回main() .

在前一种情况下，指向“SomeString”的指针和 printf()的参数( argv[1] 的值)彼此相距甚远:

        movl    $LC0, 28(%esp) ; address of "SomeString" is at esp+28
        movl    12(%ebp), %eax
        addl    $4, %eax
        movl    (%eax), %eax
        movl    %eax, (%esp) ; address of a copy of argv[1] is at esp
        call    _printf

要使两个地址在堆栈上一个接一个地存储，如果这是您想要的，您需要使用代码、编译/优化选项或使用不同的编译器。

或者您可以在 argv[1] 中提供格式字符串这样printf()会达到它。例如，您可以在格式字符串中包含许多假参数。

例如，如果我使用 gcc stk.c -o stk.exe 编译这段代码并将其运行为 stk.exe %u%u%u%u%u%u%s ，我将从中得到以下输出:

4200532268676042006264200532880015253SomeString

所有这些都非常棘手，要使其正常工作并非易事。