首页 > 编程语言 > 详细

C语言花式玩法之把函数拷贝到数组执行 (需要mprotect)

时间:2018-07-12 21:31:35      阅读:16      评论:0      收藏:0      [点我收藏+]

标签:return   内容   报错   rwx   UNC   error   errno.h   价值   没有   

在阅读内核代码的时候,明白了内核是通过页表项中的标志位_PAGE_READ,_PAGE_WRITE,_PAGE_EXECUTE来区分页的权限的。

进程在内核中的地址空间代码段,数据段,堆,栈之间最大的区别也是权限的区别,而系统调用mprotect恰好是用来改变内存页的权限的。

是否可以通过mprotect可以把栈上的数组修改成可执行权限,然后把函数内容拷贝到数组执行呢?值得尝试一下:

 1 #include <stdio.h>
 2 #include <stdlib.h>
 3 #include <sys/mman.h>
 4 #include <sys/types.h>
 5 #include <string.h>
 6 #include <errno.h>
 7 #include <unistd.h>
 8 
 9 int m_add(int i)
10 {
11         return i+10;
12 }
13 
14 int show_map()
15 {
16         char command[256];
17         sprintf(command, "cat /proc/%d/maps", getpid());
18         system(command);
19 }
20 
21 int main()
22 {
23         int (*func_p)(int);
24         int size;
25         int ret;
26         char m[1000];
27         size = (char *)show_map - (char *)m_add;
28         printf("size = %d\n",size);
29         func_p = m;
30 
31         ret = mprotect((void *)((long)func_p&(~0XFFFUL)), 4096, PROT_READ|PROT_WRITE|PROT_EXEC);
32         if(ret < 0){
33                 perror("mprotect: ");
34                 exit(ret);
35         }
36 
37         memcpy(func_p,m_add,size);
38 
39         printf("m_add(24) = %d\n",m_add(24));
40         printf("func_p(63) = %d\n",func_p(63));
41         printf("m_add = %p, func_p = %p\n", m_add, func_p);
42         show_map();
43         return 0;
44 }

执行结果:

size = 15
m_add(24) = 34
func_p(63) = 73
m_add = 0x561528db08c0, func_p = 0x7ffd4c19e300
561528db0000-561528db1000 r-xp 00000000 fe:01 477434                     /home/test/a.out
561528fb0000-561528fb1000 r--p 00000000 fe:01 477434                     /home/test/a.out
561528fb1000-561528fb2000 rw-p 00001000 fe:01 477434                     /home/test/a.out
5615298e7000-561529908000 rw-p 00000000 00:00 0                          [heap]
7fcc3280c000-7fcc329a1000 r-xp 00000000 fe:01 329984                     /lib/x86_64-linux-gnu/libc-2.24.so
7fcc329a1000-7fcc32ba1000 ---p 00195000 fe:01 329984                     /lib/x86_64-linux-gnu/libc-2.24.so
7fcc32ba1000-7fcc32ba5000 r--p 00195000 fe:01 329984                     /lib/x86_64-linux-gnu/libc-2.24.so
7fcc32ba5000-7fcc32ba7000 rw-p 00199000 fe:01 329984                     /lib/x86_64-linux-gnu/libc-2.24.so
7fcc32ba7000-7fcc32bab000 rw-p 00000000 00:00 0
7fcc32bab000-7fcc32bce000 r-xp 00000000 fe:01 329980                     /lib/x86_64-linux-gnu/ld-2.24.so
7fcc32dbc000-7fcc32dbe000 rw-p 00000000 00:00 0
7fcc32dcb000-7fcc32dce000 rw-p 00000000 00:00 0
7fcc32dce000-7fcc32dcf000 r--p 00023000 fe:01 329980                     /lib/x86_64-linux-gnu/ld-2.24.so
7fcc32dcf000-7fcc32dd0000 rw-p 00024000 fe:01 329980                     /lib/x86_64-linux-gnu/ld-2.24.so
7fcc32dd0000-7fcc32dd1000 rw-p 00000000 00:00 0
7ffd4c17e000-7ffd4c19e000 rw-p 00000000 00:00 0
7ffd4c19e000-7ffd4c19f000 rwxp 00000000 00:00 0                          [stack]
7ffd4c1e1000-7ffd4c1e3000 r--p 00000000 00:00 0                          [vvar]
7ffd4c1e3000-7ffd4c1e5000 r-xp 00000000 00:00 0                          [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]

可以看到,函数指针func_p实际指向的是char数组m[1000]的地址,其值为0x7ffd4c19e300 确实位于栈7ffd4c19e000-7ffd4c19f000上面,而其成功的执行了+10的操作,返回了正确结果。

这个例子没有实际应用价值,一旦函数中存在库函数的调用,一般就会报错了。

不过它说明了从C语言往下看,栈,堆,数据段,代码段统统都是内存,只要配置相同,相互之间并无本质区别。

C语言是操作内存的语言,在经过操作系统的封装后,它所看到的是无差别的内存。所有的数据类型,你都可以把它们理解成语法糖。

那它和汇编有什么区别?汇编是操作CPU和寄存器的语言,可以访问CPU专有指令,可以访问特定的寄存器,而C语言的初衷,便是抹平体系结构之间的差异。

C语言花式玩法之把函数拷贝到数组执行 (需要mprotect)

标签:return   内容   报错   rwx   UNC   error   errno.h   价值   没有   

原文:https://www.cnblogs.com/yuanjianye/p/9301856.html

(0)
(0)
   
举报
评论 一句话评论(0
0条  
登录后才能评论!
© 2014 bubuko.com 版权所有 鲁ICP备09046678号-4
打开技术之扣,分享程序人生!
             

鲁公网安备 37021202000002号