[시스템 해킹] 스택 프레임

https://youtu.be/ZFOHvzXcao0

오늘도 동빈나님의 강의로 공부를 해보자.

---

 

$ nano sum.c

간단한 프로그램을 짜기 위해 nano를 실행한다.

sum이라는 이름의 C언어 프로그램을 만든다.

 

그 후 내용에는 다음과 같은 소스코드를 작성해준다.

#include <stdio.h>

int sum(int a, int b){
        return a+b;
}
 
int main(void){
        int c=sum(1,2);
        return c;
}

 

 

$gcc -S -fno-stack-protector -mpreferred-stack-boundary=4 -z execstack -o sum.a sum.c

해당 명령어를 실행하면 어셈블리어로 변환된다.

 

$vi sum.a

sum.a의 내용을 확인하기위해 명령어를 치면 

이러한 내용이 뜨게 된다.

 

vi에디터를 종료하는 법은 

ESC를 누른 상태에서 : 를 누르고 q를 치면 된다.

ESC+:q

---

#include <stdio.h>

int sum(int a, int b){
        return a+b;
}
 
int main(void){
        int c=sum(1,2);
        return c;
}

스택 프레임에 대해 이해하기 위해 어셈블리코드보다 이해하기 쉬운

C언어 소스코드로 먼저 이해를 해보자.

sum.c 소스코드가 실행이 된다면, main함수를 먼저 실행한다.

그 후 sum이라는 함수를 부르며 파라미터로 1,2를 넣는다.

결과적으로 sum함수에서 return a+b;에 의해 1+2이 반환된다.

---

처음 main함수 실행 시의 스택 프레임은 다음과 같다.

또 마우스로 그렸다.

RET는 리턴 어드레스. 항상 맨 아래쪽에 있다.

특정한 함수가 끝난 후 돌아갈 주소를 뜻한다.

 

RBP는 스택이 시작하는 베이스 포인터를 뜻한다.

즉 RBP를 기준으로 위쪽으로부터 스택이 쌓인다.

 

변수 c는 main 함수의 int c를 뜻한다.

---

main 함수에서 sum 함수를 호출했을 때의 스택 프레임은 다음과 같다.

밑에 4개는 그대로며,

그 위로 sum()호출 후에 

함수의 매개변수 또한 스택으로 들어간다.

변수 y 위의 RET는 sum 함수를 다 실행한 후 돌아가는 주소를 뜻한다.

변수 x, 변수 y는 각각 1과 2가 된다.

---

 

#include <stdio.h>

int sum(int a, int b){
        return a+b;
}

int main(void){
        int c=sum(1,2);
        printf("%d\n",c);
        return c;
}

이전에 입력했던 sum.c에

printf("%d\n",c);를 추가해준다.

 

$ gcc -o sum sum.c
$./sum

실행해서 테스트 하기 위해 위의 명령어를 입력한다.

 

실행하면 위와 같이 결과가 출력될 것이다.

---

이전에 만들어두었던 sum.a를 vi에디터로 다시 확인해보자.

main 함수를 살펴보면 call을 통해 sum이란 함수를 부르는 것을 확인할 수 있다.

SUM이란 함수를 부르기 전까지 확인해보자.

처음 main함수를 호출함과 동시에 RET가 제일 밑에 생성된다.

 

그 위에 pushq %rbp에 의해 RBP가 들어간다.

 

movq %rsp, %rbp에 의해 RBP=RSP가 된다. 

 

subq $16, %rsp를 통해 rsp에서 16을 뺀다.

16을 빼게 되면 위의 그림처럼 RSP가 16만큼 위로 점프를 하게 된다.

 

movl $2, %esi 와 movl $1, %edi를 통해 각각 2와 1을 넣는다.

esi는 rsi와 비슷하고, edi는 rdi와 비슷하다고 생각하면 된다.

---

이제는 sum()함수를 실행하는 부분을 살펴보자.

아까의 RSP는 16만큼의 공간을 확보했다.

마찬가지로 SUM함수를 불렀기 때문에 RET가 추가된다.

 

pushq %rbp로 인해 RET위에 RBP가 생긴다.

 

movl %edi, -4(%rbp)는 rbp-4의 위치에 edi 값을 넣는다.

edi는 1이고, RBP의 위에 들어가게 된다.

 

movl %esi, -8(%rbp)는 rbp-8의 위치에 esi 값인 2를 넣게된다.

 

movl -4(%rbp), %edx 는 rbp-4의 위치의 값을 edx에 넣고,

movl -8(%rbp), %eax는 rbp-8의 위치의 값을 eax에 넣는다.

 

즉, edx는 1이 되고, eax는 2가 된다.

 

addl %edx, %eax는

edx의 값을 eax에 더해주기 때문에,

최종적으로 eax의 값은 3이 된다.

 

마지막으로 popq %rbp를 함으로써 RBP를 빼내어 RET로 돌아갈 수 있게 된다.

참고로 EAX레지스터는 함수의 반환값을 가지고 있다.

 

---

call sum 다음 부분을 확인해보자.

movl %eax, -4(%rbp)를 통해 rbp-4에 eax의 값인 3을 저장한다.

movl -4(%rbp), %eax를 통해 다시 rbp-4의 값인 3을 다시 eax에 저장한다.

최종으로 sum 프로그램은 3을 반환한다는 것을 알 수 있다.

 

2023.01.11 - [프로젝트/시스템 해킹] - [시스템 해킹] 메모리 구조

[시스템 해킹] 메모리 구조