Объясните, что именно происходит в этом фрагменте кода на С?

Question

[низкомолекулярный макрос]

Встретил в книге по другому языку пример такого кода на C

int main(int argc, char **argv) {
    unsigned long a[1];
    a[3] = 0x7ffff7b36cebUL;
    return 0;
}

Объясняется он следующим образом:

В сгенерированном компилятором C машинном коде функции main массив a размещен в стеке на три слова раньше адреса возврата, поэтому запись значения 0x7ffff7b36cebUL в a[3] изменяет адрес возврата из main, так что он указывает на какой-то код из стандартной библиотеки C, который пытается прочитать пароль из файла .netrc. После возврата из main выполнение возобновляется не с команды, следующей за вызовом main, а с машинного кода, соответствующего таким строкам из библиотеки:

warnx(_("Error: .netrc file is readable by others."));
warnx(_("Remove password or make file unreadable by others."));
goto bad;

Мне как человеку, не знакомому с языками семейства С, это объяснение никак не проясняет ситуацию. Расскажите, пожалуйста, подробнее и более простым языком, как такой код приводит к возникновению ошибки. Особенно вот это

запись значения 0x7ffff7b36cebUL в a[3] изменяет адрес возврата из main

Comments

[Сергей Горностаев]

Мне как человеку, не знакомому с языками семейства С

Дело не в C, а в принципах работы операционных систем, такой финт можно почти с любым компилируемым языком вытворить.

Answer 1

[Wataru]

unsigned long a[1];

Заводит локальную переменную - массив длины 1.

a[3] = 0x7ffff7b36cebUL;

Записывает какие-то данные в четвертую ячейку массива a. Но выделен то он только длины 1. Эта запись идет в какую-то память, где что-то нужное системе уже лежит.

Дальше надо понять, а как вообще работают функции в современных архитектурах. У процессора есть стек. Эта область памяти, которая как стопка бумаг - можно класть в нее новые данные сверху и забирать их сверху-же. При вызове функции в стек кладется адрес кода, куда надо вернутся после выполнения функции. Процессор при выходе из функции берет адрес из стека и продолжает исполнение программы оттуда. Именно так можно вызывать одну и ту же функцию (один и тот же код!) из разных мест в программе и потом вернутся в эти самые разные места. Также в стек кладутся параметры функции и на стеке же создаются локальные переменные.

Вот и получается, что локальный массив a и адрес возврата лежат в этом самом стеке где-то рядом. Ну и так получается, что за массивом a, через пару ячеек, лежит адрес возврата.

Comments

[низкомолекулярный макрос]

получается, что выполнив
a[3] = 0x7ffff7b36cebUL;
можно случайно попасть в ячейку, где хранится адрес возврата, и переопределить этот адрес? И тогда адрес возврата будет ссылаться на 0x7ffff7b36cebUL, где может лежать что угодно?

[Сергей Горностаев]

низкомолекулярный макрос, в данном случае не случайно, а в полне целенаправлено, и не что угодно, а конкретная функция. Вы же пишите по известному смешению от некоторой базы и пишите конкретный адрес.

[Wataru]

низкомолекулярный макрос, Да, если вылезти за границы локальной переменной массива - то можно переписать адрес возврата. В этом примере оно переписывается целенаправлено. Где конкретно относительно заданного массива будет лежать адрес возврата зависит от многих вещей - сколько и каких локальных переменных вы объявете, сколько регистров компилятор захочет сохранить в стек, какие у него настройки.

Вот эта ошибка выхода за границы массива - довольно частая дыра для взлома программ. Злоумышленники скармливают программе специально подготовленные данные и если в программе не все случаи разобраны, то она может вот примерно также переписать адрес возврата и выполнить какой-то другой код.

Но чаще всего программы просто падают из-за этого, потому что случайно напакостить в стеке легче чем целенаправленно что-то менять.

[низкомолекулярный макрос]

Wataru, то есть, из-за того, что массив a содержит только 1 элемент, обращаясь к a[3] мы используем ту ячейку памяти, где этот (четвертый) элемент теоретически мог бы храниться, если бы существовал в массиве?

[Wataru]

низкомолекулярный макрос, Ну почти.
Раз мы заводим массив на 1 элемент, в стек кладется один элемент. Но при обращении к третьему мы обращаемся за выделенное нами место. Ведь обращение к i-ому элементу - это тупо прибавление индекса к адресу.

[низкомолекулярный макрос]

Сергей Горностаев,

Вы же пишите по известному смешению

мне в этом коде неизвестно вообще ничего)) взял пример из книги по другому языку, и захотелось разобраться, как именно работает этот код с намеренно допущенной ошибкой

[Сергей Горностаев]

низкомолекулярный макрос, ну, автор книги пишет, что отступает три слова :)

[низкомолекулярный макрос]

Сергей Горностаев, а вот это как раз у меня также вызвало непонимание. Что есть 3 слова? Терминология мне непонятна

[Wataru]

низкомолекулярный макрос, машинное слово - в данном случае 32 бита или размер unsigned long.

[res2001]

В данном случае размер unsigned long 64 бита (8 байт), это видно по присваиваемым данным. Видимо собирается под архитектуру x64_86 с помощью gcc, соответственно и размер слова 8 байт и равен размеру unsigned long.
Вообще автор зря сюда приплел "слова", т.к. тут указан тип данных, а он в сочетании с архитектурой процессора и компилятором дает однозначный размер этого типа. Проще было бы сказать: отступает 3 элемента unsigned long, что и так видно из кода, а не вводить людей в заблуждение приплетая сюда слова.