标签：eip esp Watch pop leave Black ret PWN ebp

学习一下栈迁移，以下部分内容转载于看雪的文章

以32位为例，在汇编中，用call指令来调用一个函数，call 函数等同于

push eip+4
push ebp
mov ebp,esp

主要的目的还是用来保护现场，避免执行完函数吼堆栈不平衡或找不到之前的入口地址

当调用完函数后，就需要用 leave；ret；来还原现场

leave == mov esp,ebp ; pop ebp;
ret == pop eip 

pop eip 相当于将栈顶数据给了eip，由于ret返回的是栈顶数据，而栈顶地址由esp控制， 而leave将ebp的值赋给了esp，所以可以通过覆盖ebp的值来控制ret的返回地址，而两次leave就可以控制esp为我们想要的地址了，不过第二次的pop ebp是多余的，会使esp-4，所以将ebp覆盖到我们构造的函数地址-4即可

[Black Watch 入群题]PWN为例

 比较明显的可以看到第二个read的栈只能控制0x20-0x18=0x8个字节

标签：eip,esp,Watch,pop,leave,Black,ret,PWN,ebp
来源： https://www.cnblogs.com/gaonuoqi/p/12436377.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。