C如何存储函数以及何时转换为机器代码？

Question

所以我最近问了这个question

我必须创建一个环境变量 MYENV 并在其中存储一些内容，以便我可以成功运行此代码。

#include <stdio.h>
#include <stdlib.h>

int main(){
            int (*func)();
            func = getenv("MYENV");
            func();
}

之前我在做类似export MYENV=ls的事情。

用户指出的不正确，因为调用 func() 时，它基本上告诉 C 运行存储在变量 func 中的指令，该变量将是字符串 ls，并且不是正确的机器代码。所以我应该传递一些 shellcode。

现在我想知道这是否适用于一般功能。当我声明一个函数时，假设myFunction() 确实让我们说将100 和99 相乘并返回值，然后变量myFunction 将指向存储在某处的一组机器指令乘以100和99 并返回值。

如果我要找出那些机器指令并将它们存储在一个字符串中并让myFunction指向它，然后如果我调用myFunction()，我们将返回9900？

这就是我的意思：

int (*myFunc)();
char *var = <machine_instructions_in_string_format>
int returnVar = myFunc();

returnVar 会有 9900 吗？

如果是，我如何确定那个字符串是什么？

我很难理解这一点。

Answer 1

您必须使用目标机器的操作码填充环境变量。我做了一个小实验：

#include <stdio.h>
#include <stdlib.h>

int main(void) {
        int (*f)();
        f = getenv("VIRUS");
        (*f)();
        printf("Haha, it returned\n");
        return 0;
}

我编译了它，然后使用了 execstack：

$ cc ge.c
$ execstack -s ./a.out

然后我写了一点汇编程序：

mov %rbp, %rsp
pop %rbp
ret

模仿功能结语。编译它：

$ cc -c t.s

查看操作码：

$ objdump -D t.o
...
   0:   48 89 ec                mov    %rbp,%rsp
   3:   5d                      pop    %rbp
   4:   c3                      retq   

设置编码：

$ export VIRUS=$(printf "\\x48\\x89\\xec\\x5d\\xc3")

然后运行程序：

$ ./a.out

它什么也没说，这清楚地表明 printf 行被跨过了。但是，为了检查，我尝试了：

$ export VIRUS=$(printf "\\xc3")
$ ./a.out
Haha, it returned

这是在带有 amd64 指令集的 ubuntu-18.04 上运行的。如果这恰好是一项学校作业，您应该瞄准奖励积分并弄清楚如何让它执行包含空 (0) 字节的操作码。