PWN从入门到放弃(3)——栈&栈帧
本章给大家介绍一下栈,栈的利用是pwn题中的重要考点,理解好栈的结构对后续做题有很大帮助。
0x00 栈介绍
栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示。两种操作都操作栈顶,当然,它也有栈底。
0x01 函数调用栈
程序的执行过程可看作连续的函数调用。当一个函数执行完毕时,程序要回到调用指令的下一条指令 (紧接 call 指令) 处继续执行。函数调用过程通常使用堆栈实现,每个用户态进程对应一个调用栈结构 (call stack)。编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文) 以备恢复以及存储本地局部变量。
寄存器
寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行中用到的数据和指令。因此函数调用栈的实现与处理器寄存器组密切相关。
我们常见的一般都是intel 32位体系架构的处理器,包含 8 个四字节寄存器。
其中
- ESP:堆栈指针寄存器,存放执行函数对应栈帧的栈顶地址,且始终指向栈顶。
- EBP:栈帧基址指针寄存器,存放执行函数对应栈帧的栈底地址,用于 C 运行库访问栈中的局部变量和参数。
- EIP:指令寄存器,指向处理器下条等待执行的指令地址 。
- EAX、ECX 和 EDX:主调函数保存寄存器,当函数调用时,若主调函数希望保持这些寄存器的值,则必须在调用前显式地将其保存在栈中;被调函数可以覆盖这些寄存器,而不会破坏主调函数所需的数据。
- EBX、ESI 和 EDI:被调函数保存寄存器,即被调函数在覆盖这些寄存器的值时,必须先将寄存器原值压入栈中保存起来,并在函数返回前从栈中恢复其原值,因为主调函数可能也在使用这些寄存器。
注1:EAX、EBX、ECX和EDX,各自可作为两个独立的 16 位寄存器使用,而低 16 位寄存器还可继续分为两个独立的 8 位寄存器使用。
注2:不同架构的 CPU,寄存器名称被添加不同前缀以指示寄存器的大小。例如 x86 架构用字母 “e(extended)” 作名称前缀,指示寄存器大小为 32 位;x86_64 架构用字母 “r” 作名称前缀,指示各寄存器大小为 64 位。
0x02 栈帧
函数调用经常是嵌套的,在同一时刻,堆栈中会有多个函数的信息。每个未完成运行的函数占用一个独立的连续区域,称作栈帧 (Stack Frame)。栈帧是堆栈的逻辑片段,当调用函数时逻辑栈帧被压入堆栈, 当函数返回时逻辑栈帧被从堆栈中弹出。栈帧存放着函数参数,局部变量及恢复前一栈帧所需要的数据等。
栈帧的边界由栈帧基地址指针 EBP 和堆栈指针 ESP 界定 (指针存放在相应寄存器中)。EBP 指向当前栈帧底部 (高地址),在当前栈帧内位置固定;ESP 指向当前栈帧顶部 (低地址),当程序执行时 ESP 会随着数据的入栈和出栈而移动。因此函数中对大部分数据的访问都基于 EBP 进行。
