修改栈上的返回地址

我研究了缓冲区溢出漏洞的基础知识，并尝试了解堆栈是如何工作的。为此，我想编写一个简单的程序，将返回地址的地址更改为某个值。有人可以帮助我计算基指针的大小以获得第一个参数的偏移量吗？

void foo(void)
{
    char ret;
    char *ptr;

    ptr = &ret; //add some offset value here 
    *ptr = 0x00;
}

int main(int argc, char **argv)
{
    foo();

    return 1;
}

生成的汇编代码如下所示：

    .file   "test.c"
    .text
    .globl  foo 
    .type   foo, @function
foo:
.LFB0:
    .cfi_startproc
    pushq   %rbp
    .cfi_def_cfa_offset 16
    .cfi_offset 6, -16 
    movq    %rsp, %rbp
    .cfi_def_cfa_register 6
    leaq    -9(%rbp), %rax
    movq    %rax, -8(%rbp)
    movq    -8(%rbp), %rax
    movb    $0, (%rax)
    popq    %rbp
    .cfi_def_cfa 7, 8
    ret 
    .cfi_endproc
.LFE0:
    .size   foo, .-foo
    .globl  main
    .type   main, @function
main:
.LFB1:
    .cfi_startproc
    pushq   %rbp
    .cfi_def_cfa_offset 16
    .cfi_offset 6, -16 
    movq    %rsp, %rbp
    .cfi_def_cfa_register 6
    subq    $16, %rsp
    movl    %edi, -4(%rbp)
    movq    %rsi, -16(%rbp)
    call    foo 
    movl    $1, %eax
    leave
    .cfi_def_cfa 7, 8
    ret 
    .cfi_endproc
.LFE1:
    .size   main, .-main
    .ident  "GCC: (GNU) 4.7.1 20120721 (prerelease)"
    .section    .note.GNU-stack,"",@progbits

foo 框架段的相关部分应如下所示：

[char ret] [基指针] [返回地址]

我有第一个的位置，它的大小只有 1 个字节。它距离基指针仅 1 个字节还是如中所述的字的大小http://insecure.org/stf/smashstack.html http://insecure.org/stf/smashstack.html？我如何知道基指针的大小？

您无法在普通 C 中执行此操作，您无法控制编译器如何布局堆栈框架。

在 x86-64 中，返回地址应位于%rbp + 8。您可以使用一些内联汇编来实现（gcc 语法）：

uint64_t returnaddr;
asm("mov 8(%%rbp),%0" : "=r"(returnaddr) : : );

类似地设置它。

即使这有点粗略，因为你不知道编译器是否会设置%rbp或不。 YMMV。