[原创] 唯有逆向，夯实基础-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创] 唯有逆向，夯实基础

发表于: 2020-1-9 22:04 8933

[原创] 唯有逆向，夯实基础

NoThx

2020-1-9 22:04

8933

详情：
① 程序返回地址（EBP+4）的重要性

最近复现漏洞让我乐此不疲，是真的好玩！内心的激动简直无法形容，先来看第一个程序：定义了一个Attack函数，里面有一个死循环；main函数里定义了一个整型数组，大小为5个字节，并且全都赋值为0，也叫初始化；后面将Attack（地址值）这个值赋给 arr[6]。

其中有趣的是主函数中并没有去调用Attack函数去执行，但结果令人意外。这个程序竟然可以运行起来，而且它恰好执行了Attack函数，到底发生了什么呢，一探究竟之。

为了知根知底，需要回到汇编层面去研究它，这里列出整个过程，并配以解释。以下是它的反汇编，下面的演示说明都是基于此；

首先，为了了解程序到底干了什么，逆向一般会一步一步解析代码的执行过程，也就是去画堆栈图；

这也是很多野路子突破上层的限制时，寻找突破口的关键。

第一步，记录原始堆栈结构，EBP（栈底）、ESP（栈顶），将这个图想象成没有盖的杯子

第二步，下图中紫色的地方就是我们所熟悉的缓冲区，像缓冲区溢出攻击也就是针对这个区间的，在逆向中，我们总结的经验是（ EBP -4）以下是局部变量，（EBP + 8）以上是函数参数；这里是说存储的位置

第三步，局部变量初始化

第四步，从下图中，可以发现用红框标注的地方就是重要的点，它就是 EBP + 4 （函数的返回地址），还记得最开始

程序中的那行代码么？ arr[6] = (int)Attack; 就是由于这行代码导致在程序执行的过程中，将Attack函数所在程序的地址

提前压入了堆栈，导致在程序快结束时，由于RETN命令将堆栈里的值弹出来了（RETN的作用如图所示），而且正好就是EIP，即CPU；

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・23

免费・3

支持

最新回复 (18)
编程小白雪币： 441 活跃值： (1060) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 2 楼栈溢出攻击 2020-1-9 22:25 0
nig 雪币： 413 活跃值： (637) 能力值： ( LV9，RANK：170 ) 在线值：发帖 38 回帖 1456 粉丝 13 关注私信	nig 4 3 楼 stack overflow ,以往的一些编程时经常会采用这样的方法，因为有些正常途径走，费劲。直接内嵌汇编，跳！ 2020-1-10 08:29 0
薛定谔消失的弦雪币： 106 活跃值： (140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 1 关注私信	薛定谔消失的弦 4 楼溢出了 2020-1-11 22:06 0
NoThx 雪币： 2222 活跃值： (739) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 40 粉丝 18 关注私信	NoThx 5 楼 nig stack overflow ,以往的一些编程时经常会采用这样的方法，因为有些正常途径走，费劲。直接内嵌汇编，跳！您好！过去是这样？那现在变成了啥样了。 2020-1-12 02:02 0
DemoCc 雪币： 5453 活跃值： (1482) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 2 关注私信	DemoCc 6 楼大佬，膜拜下，学习了 2020-1-12 12:00 0
cxbcxb 雪币： 4737 活跃值： (4684) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 95 粉丝 3 关注私信	cxbcxb 7 楼学习啦 2020-1-12 21:53 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 8 楼掉头发时，你就不感兴趣了。。。 2020-1-13 00:51 0
NoThx 雪币： 2222 活跃值： (739) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 40 粉丝 18 关注私信	NoThx 9 楼 Dstlemoner 掉头发时，你就不感兴趣了。。。哈哈。 2020-1-13 08:15 0
bxc 雪币： 7048 活跃值： (3527) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 26 关注私信	bxc 6 10 楼其实我感觉主要是X86设计时的坑，导致这么多缓冲区溢出的漏洞，返回地址居然在栈里，而不是单独搞个寄存器。如果设计时，调用栈和数据栈能分开，估计也能规避这种问题。 2020-1-13 08:52 0
昍昍雪币： 5870 活跃值： (1796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 1 关注私信	昍昍 11 楼 “所以为什么会有信息安全，它的本质就是CPU不能区分代码和数据。” 这里需要注意一下，冯诺依曼结构是代码和数据不分的，哈佛不是 2020-1-13 08:53 0
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 12 楼就是数组越界写入，突然很好奇算不算编译器的锅 2020-1-13 12:00 0
Black貓①呺雪币： 1440 活跃值： (1350) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 69 粉丝 2 关注私信	Black貓①呺 13 楼 NoThx 您好！过去是这样？那现在变成了啥样了。[em_12] 现在有/GS,有个cookie塞在ret地址跟ebp之间最后于 2020-1-13 14:16 被Black貓①呺编辑，原因： 2020-1-13 14:13 0
NoThx 雪币： 2222 活跃值： (739) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 40 粉丝 18 关注私信	NoThx 14 楼 bxc 其实我感觉主要是X86设计时的坑，导致这么多缓冲区溢出的漏洞，返回地址居然在栈里，而不是单独搞个寄存器。如果设计时，调用栈和数据栈能分开，估计也能规避这种问题。听君一席话，胜读十年书。涨思路了 2020-1-13 22:39 0
有毒雪币： 15191 活跃值： (16857) 能力值： (RANK：730 ) 在线值：发帖 56 回帖 529 粉丝 327 关注私信	有毒 10 15 楼我变强了，也变秃了 2020-1-14 12:31 0
NoThx 雪币： 2222 活跃值： (739) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 40 粉丝 18 关注私信	NoThx 16 楼有毒我变强了，也变秃了哈哈，我要变强 2020-1-14 15:29 0
SSH山水画雪币： 1475 活跃值： (14652) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 325 粉丝 375 关注私信	SSH山水画 3 17 楼这。。。看起来像是海哥的课程，很精品的课程，想学逆向一定要耐心看完 2020-1-19 22:32 0
mb_tprwgflz 雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_tprwgflz 18 楼可以 2020-1-19 22:57 0
gaoan 雪币： 3797 活跃值： (769) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 56 粉丝 0 关注私信	gaoan 19 楼专门下了个vc6，没得到期望的溢出，是要设置什么地方吗 2020-6-22 13:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

NoThx

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
编程小白雪币： 441 活跃值： (1060) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 2 楼栈溢出攻击 2020-1-9 22:25 0
nig 雪币： 413 活跃值： (637) 能力值： ( LV9，RANK：170 ) 在线值：发帖 38 回帖 1456 粉丝 13 关注私信	nig 4 3 楼 stack overflow ,以往的一些编程时经常会采用这样的方法，因为有些正常途径走，费劲。直接内嵌汇编，跳！ 2020-1-10 08:29 0
薛定谔消失的弦雪币： 106 活跃值： (140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 1 关注私信	薛定谔消失的弦 4 楼溢出了 2020-1-11 22:06 0
NoThx 雪币： 2222 活跃值： (739) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 40 粉丝 18 关注私信	NoThx 5 楼 nig stack overflow ,以往的一些编程时经常会采用这样的方法，因为有些正常途径走，费劲。直接内嵌汇编，跳！您好！过去是这样？那现在变成了啥样了。 2020-1-12 02:02 0
DemoCc 雪币： 5453 活跃值： (1482) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 2 关注私信	DemoCc 6 楼大佬，膜拜下，学习了 2020-1-12 12:00 0
cxbcxb 雪币： 4737 活跃值： (4684) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 95 粉丝 3 关注私信	cxbcxb 7 楼学习啦 2020-1-12 21:53 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 8 楼掉头发时，你就不感兴趣了。。。 2020-1-13 00:51 0
NoThx 雪币： 2222 活跃值： (739) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 40 粉丝 18 关注私信	NoThx 9 楼 Dstlemoner 掉头发时，你就不感兴趣了。。。哈哈。 2020-1-13 08:15 0
bxc 雪币： 7048 活跃值： (3527) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 26 关注私信	bxc 6 10 楼其实我感觉主要是X86设计时的坑，导致这么多缓冲区溢出的漏洞，返回地址居然在栈里，而不是单独搞个寄存器。如果设计时，调用栈和数据栈能分开，估计也能规避这种问题。 2020-1-13 08:52 0
昍昍雪币： 5870 活跃值： (1796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 1 关注私信	昍昍 11 楼 “所以为什么会有信息安全，它的本质就是CPU不能区分代码和数据。” 这里需要注意一下，冯诺依曼结构是代码和数据不分的，哈佛不是 2020-1-13 08:53 0
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 12 楼就是数组越界写入，突然很好奇算不算编译器的锅 2020-1-13 12:00 0
Black貓①呺雪币： 1440 活跃值： (1350) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 69 粉丝 2 关注私信	Black貓①呺 13 楼 NoThx 您好！过去是这样？那现在变成了啥样了。[em_12] 现在有/GS,有个cookie塞在ret地址跟ebp之间最后于 2020-1-13 14:16 被Black貓①呺编辑，原因： 2020-1-13 14:13 0
NoThx 雪币： 2222 活跃值： (739) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 40 粉丝 18 关注私信	NoThx 14 楼 bxc 其实我感觉主要是X86设计时的坑，导致这么多缓冲区溢出的漏洞，返回地址居然在栈里，而不是单独搞个寄存器。如果设计时，调用栈和数据栈能分开，估计也能规避这种问题。听君一席话，胜读十年书。涨思路了 2020-1-13 22:39 0
有毒雪币： 15191 活跃值： (16857) 能力值： (RANK：730 ) 在线值：发帖 56 回帖 529 粉丝 327 关注私信	有毒 10 15 楼我变强了，也变秃了 2020-1-14 12:31 0
NoThx 雪币： 2222 活跃值： (739) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 40 粉丝 18 关注私信	NoThx 16 楼有毒我变强了，也变秃了哈哈，我要变强 2020-1-14 15:29 0
SSH山水画雪币： 1475 活跃值： (14652) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 325 粉丝 375 关注私信	SSH山水画 3 17 楼这。。。看起来像是海哥的课程，很精品的课程，想学逆向一定要耐心看完 2020-1-19 22:32 0
mb_tprwgflz 雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_tprwgflz 18 楼可以 2020-1-19 22:57 0
gaoan 雪币： 3797 活跃值： (769) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 56 粉丝 0 关注私信	gaoan 19 楼专门下了个vc6，没得到期望的溢出，是要设置什么地方吗 2020-6-22 13:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复