PWN菜鸡入门之函数调用栈与栈溢出的联系

1、函数调用栈过程总结

Fig 1. 函数调用发生和结束时调用栈的变化

Fig 2. 将被调用函数的参数压入栈内

Fig 3. 将被调用函数的返回地址压入栈内

Fig 4. 将调用函数的基地址（ebp）压入栈内，并将当前栈顶地址传到 ebp 寄存器内

 

2、函数调用栈实例说明

首先咱们来看看如下程序调用栈的过程：

int sum(int a,int b)
{
    int temp = 0;
    temp = a+b;
    return temp;
}
int main()
{
    int a = 10;
    int b = 20;
    int ret = 0;
    ret = sum(a,b);
    cout<<ret<<endl;
​
    return 0;
}

 

以下调用过程：

每一个函数在调用前都会作一件事情。

（1）把调用方的ebp入到本身的栈里去

（2）用esp指向新的栈顶位置，把esp的值赋给ebp，产生新的ebp

（3）开辟空间，初始0XCCCCCCCC。 ebp入栈，实参入栈，形参入栈，调用call指令。call有两步，把下一行指令的地址入栈，跳转到调用的函数执行。形参内存主调方开辟，主调方释放。

main函数栈帧

 

开辟sum函数栈帧

 

sum函数内存布局

 

 

3、函数调用栈在栈溢出中的难点

栈溢出的shellcode中常常会出现：

payload : padding1 + address of shellcode + padding2 + shellcode

payload: padding1 + address of system() + padding2 + address of “/bin/sh”

这几种payload，不少教程对于padding2这个没有解释的很清楚，ctf wiki上是这样说的 ：“若是是正常调用 system 函数，咱们调用的时候会有一个对应的返回地址”

由于不用考虑相应的getshell的结束，咱们能够从以前的介绍得知这是main函数调用后的下一条指令的地址，也就是return完system后咱们将要继续执行的指令，也就是说若是咱们还想继续调用的话这个padding2能够放下一个要执行的地址。