对于push,pop,call,leave,ret的理解

push指令

比如push ebp就是把ebp的值放在esp所指的地方,然后esp-4(32位,以下均为32位)。

pop指令

pop ebp就是把esp所指的地方的值给ebp,然后esp+4

call指令

call函数的时候,把eip的下一行存到esp所指的位置,然后esp-4

leave指令

leave指令可以等价于mov esp,ebp;pop ebp

ret指令

等价于pop eip

调试例子

下载:https://github.com/ctf-wiki/ctf-challenges/raw/master/pwn/stackoverflow/ret2text/bamboofox-ret2text/ret2text
该程序来自于ctfwiki中的基本ROP-ret2text
直接使用pwndbg启动起来,一直ni到我们需要的,比如call puts函数:
image.png
此时的esp为0xffffcf90,ebp为0xffffd018,我们si进去:
image.png
执行完call后,此时的esp为0xffffcf8c,esp指向的值为0x80486a7,ebp保持不变。
未执行call前,eip的下一行为0x80486a7,执行call时,将eip的下一行即0x80486a7给esp所指向的值,然后esp-4(0xffffcf90-4=0xffffcf8c)。
接下来ni到push 0x18
image.png
要执行push 0x18,push就是把要push的东西给esp所指向的值,然后esp-4,所以指向完push 0x1后,esp会变为0xffffcf88,而esp所指向的值会变为0x18
image.png
接下来再看push eax
image.png
eax的值为0x0,esp的值为0xffffcf84,push就是把要push的东西给esp所指向的值,然后esp-4,所以esp所指向的值会变为0x0,esp变为0xffffcf84-4=0xffffcf80image.png
再ni到pop edximage.png
pop某个东西就是把esp所指向的值给这个东西,esp再加4,此时为pop edx,就是把esp当前所指向的值0xf7e1f9c4给edx,esp-4=0xffffcf78+4=0xffffcf7c,如下图:image.png
此时的edx变为0xf7e1f9c4,esp变为0xffffcf7c。接着向下看:image.png
ret就是相当于pop eip,要执行ret 0xc的话,eip接下来会变为esp所指向的值0xf7c73200,esp会变为0xffffcf7c+0xc+4=0xffffcf8c(如果没有0xc的话,就不用加)如下图:
image.png
直接finish出来,去找最后的leave:
image.png
leave就是等价于mov esp,ebp;pop ebpa5d56f54874c9d4830b8339f382fc0f7.jpeg
先来看当前的:esp为0xffffcf90,ebp为0xffffd018,可以先用telescope 0xffffd018找一下ebp所指向的值:image.png
由于由于leave相当于一次执行两步,先来分析mov esp,ebp,执行完这个后,esp会变为0xffffd018,此时再pop ebp,就是把esp所指向的值(0x0)给ebp,然后esp+4变为0xffffd018+4=0xffffd01c
image.png
可以看到,ebp变为0,esp变为0xffffd01c。调试分析结束,由于我也刚学不久,如果有错误的地方,大佬勿喷。
image.png

posted @ 2024-01-24 21:44  wplsyx  阅读(329)  评论(0)    收藏  举报