Как затереть ссылку возврата?

Question

[Максим Иванов]

Здравствуйте! Мне на учебе дали задание, чтобы я из одной функции вызвал другую, но сделал ее не очевидным способом. Дали подсказку: затереть ссылку возврата, но не совсем понятно как это реализовать можно?

Вот ошибочный пример:

#include <iostream>
using namespace std;
void bar(){
cout << "bar" << endl;
}

void foo(){
bar(); // это не правильно, так как явно вызвали сами, а нужно как-то вклинить в эту функцию
cout << "foo" << endl;
}

int main(){
foo(); // сделать должна быть вызвана bar(), хотя вызывали foo
return 0;
}

Нашел в интернете только картинку, как память выглядит с этими ссылками возврата, но опять же, как реализовать можно механизм такой, подскажите?

То есть, должно работать так:

#include <iostream>
using namespace std;
void bar(){
cout << "bar" << endl;
}

void foo(){
cout << "foo" << endl;
}

int main(){

foo(); // тут должен быть вызван bar(), хотя вызывали foo
       // что для этого можно сделать?

return 0;
}

Answer 1

[Mercury13]

Для чего это нужно? А для того, чтобы вы знали, как хакеры вас ломают. Простейший способ для этого — устроить переполнение буфера.

void foo()
{
  void* a[1];
  a[1] = (void*)&bar;
}

Может быть, придётся подменить не a[1], а a[2] или a[3].
Если так поступить, bar-то будет вызван, но по выходу из него, скорее всего, программа упадёт. Как сделать, чтобы не упала — оставлю домашним заданием. Высший пилотаж — завести в main() пару переменных, а потом через std::cout показать: вот они, целые и невредимые (компилируйте без оптимизации, макс. оптимизация может их просто заменить константами). Но тут уже придётся знать соглашение вызова и читать дизассемблерный листинг: от этого зависит, как вернуть стек в подходящее состояние.

UPD. Простите за моё незнание синтаксиса Си.

Comments

[Михаил Миронов]

Вот тут разжевано как так сделать.
https://stepic.org/lesson/%D0%A1%D1%82%D0%B5%D0%BA...

[Mercury13]

Но он не сделал ничего нового сверх того, что я сказал. И программа у него именно что «упала».

[Михаил Миронов]

ну этот коммент был именно для автора вопроса)

[Максим Иванов]

Но тут же видно, что мы напрямую вызываем a[1] = (void*)&bar; из функции foo. То есть получается аналог:

void foo(){
bar();
}

[Mercury13]

Максим Иванов: Это явный вызов, конвертирующийся на ассемблере в операцию CALL. А у меня — мы просто записываем что-то в память. И на ассемблере это будет какой-то MOV.

Answer 2

[makaleks]

Смотрите указатели на функции.
Если у вас есть указатель на функцию, то фактически, есть точка отсчёта для памяти программы. В принципе, для исследования этого достаточно. Для обхода памяти лучше использовать указатель на int - если компилируете под 32 бита, то вроде столько должен занимать размер стека. И конечно, 16-ричный вывод для удобства (одинаковое кол-во символов для любого числа). Да, и не пытайтесь вносить изменения - int const * в помощь!)
Попробуйте посмотреть ассемблерный листинг (опция в компиляторе), может получится вывести, какая команда в каком адресе лежит. Вы же поймёте значение команд call и ret?)

Comments

[Максим Иванов]

а в qt можно делать ассемблерный листинг?

[Mercury13]

Внимание. Указатель на функцию — НЕ указатель на стековый фрейм.

[makaleks]

Да, стоило сказать. Указатель на стековый фрейм можно смотреть от указателя на переменную, созданную в стеке (внутри функции), и осмотреться, что вокруг этого места лежит.
Листинг из Qt я не увидел, но возможно есть какие-то плагины под это дело. Ещё можно попросить непосредственно компилятор сделать asm из объектного файла, если дело ограничено main.cpp + .h файлы. Адреса конкретных команд в программе наверное можно в каком-нибудь графическом отладчике получить, но я не знаю)

Answer 3

[Pavel K]

Я чёт то же не понял, но сделайте вызов через указатели...

Comments

[Mercury13]

Но это НЕ затереть ссылку возврата.