Я бегу linux на i386: x86_64.Я написал кусок кода c, и я разобрал его, а также прочитал регистры, чтобы понять, как программа работает в сборке. Ниже приведена моя программа c, которую я написал.Почему этот адрес памяти имеет случайное значение?
#include <unistd.h>
#include <string.h>
#include <stdio.h>
char *string_in = "Did not work";
int test(char *this){
char sum_buf[6];
strncpy(sum_buf,this,32);
return 0;
}
int hello(){
printf("hello man");
string_in = "If this triggered, it means our shell code is working\n";
while(1){
printf("Worked!");
}
return 0;
}
int main(int argc, void **argv){
test("\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x28\x06\x06\x40\x00\x00\x00\x00\x00");//6f 73
printf("My string is %s",string_in);
return 0;
}
Кусок моего кода, который я рассматривал, является тестовой функцией. Когда я разобрать выходной свою функцию тестирования я получаю ...
0x00000000004005b4 <+0>: push %rbp
0x00000000004005b5 <+1>: mov %rsp,%rbp
0x00000000004005b8 <+4>: sub $0x20,%rsp
0x00000000004005bc <+8>: mov %rdi,-0x18(%rbp)
0x00000000004005c0 <+12>: mov %fs:0x28,%rax
=> 0x00000000004005c9 <+21>: mov %rax,-0x8(%rbp)
0x00000000004005cd <+25>: xor %eax,%eax
0x00000000004005cf <+27>: mov -0x18(%rbp),%rcx
0x00000000004005d3 <+31>: lea -0x10(%rbp),%rax
0x00000000004005d7 <+35>: mov $0x20,%edx
0x00000000004005dc <+40>: mov %rcx,%rsi
0x00000000004005df <+43>: mov %rax,%rdi
0x00000000004005e2 <+46>: callq 0x400490 <[email protected]>
0x00000000004005e7 <+51>: mov $0x0,%eax
0x00000000004005ec <+56>: mov -0x8(%rbp),%rdx
0x00000000004005f0 <+60>: xor %fs:0x28,%rdx
0x00000000004005f9 <+69>: je 0x400600 <test+76>
0x00000000004005fb <+71>: callq 0x4004a0 <[email protected]>
0x0000000000400600 <+76>: leaveq
0x0000000000400601 <+77>: retq
Теперь мой интерес лежит в строке < 12>. Из моего понимания, что инструкция говорит компьютеру взять первые 28 бит регистра сегмента %fs
и поместить его в %rax
мой аккумулятор. Меня беспокоит, что до и после этой строки я читаю регистр %fs
через p/x $fs
, который показывает значение нуля (даже во всей программе), и поэтому %rax
должен быть равен нулю. Однако %rax
не показывает нуль после выполнения команды. Фактически, что приводит к случайному числу. Затем это случайное число помещается в 8 байтов до %rbp
(так как оно немного условно), а затем снова проверяется в случае, если есть буфер над потоком, который переписал это пространство.
Что я хотел бы знать, это то, что mov %fs:0x28,%rax
действительно делает. Правильно ли я это понял? Почему я читаю ноль для %fs
, когда в p/x $fs
и как я могу прочитать правильное значение?
Хорошо, это имеет смысл. Как я мог прочитать этот адрес и значение с помощью gdb? –
Самый простой способ - посмотреть содержимое регистра RAX непосредственно после операции MOV. – Jason