看到 http://www.cnblogs.com/bluesea147/archive/2012/05/19/2508208.html 的试验,自己动手试一试。
在kali 2.0中:
root@kali:~# vim test.c #include <stdio.h> void foo() { int a, *p; p = (int*)((int)&a + 8); *p += 13; } int main() { foo(); printf("First printf call\n"); printf("Second printf call\n"); return 0; }
编译并运行:
root@kali:~# gcc main.c -g root@kali:~# ./a.out First printf call Second printf call Segmentation fault
得到的结果和参考文章不同。肯定是由于环境不同,所以需要对源代码进行一定的修改。
反编译:
root@kali:~# objdump a.out -d
得到部分汇编代码如下:
调用foo()函数后的下一地址是0x8048420,而进入调用第二次prinf()函数的地址是0x804842d,两者相差13,所以源代码中应该是
*p += 13;
foo()函数部分的汇编代码为
借用下原文的图像,这就是栈,%ebp指向系统栈最上面一个栈帧的底部。
从汇编代码可以看出,我的程序和原文中不同的地方在于,我的a是存在%ebp-8的地方,即Local Variable 2,因此a所在地址与Return Address间的距离为12。
源代码应修改为:
p = (int*)((int)&a + 12);
至此应该没问题了,重新编译,运行:
BINGO!!!