局部变量在栈上的顺序是什么？

Question

我目前正在尝试对缓冲区溢出漏洞进行一些测试。 这是易受攻击的代码

void win()
  {
      printf("code flow successfully changed\n");
  }

int main(int argc, char **argv)
  {
      volatile int (*fp)();
      char buffer[64];

      fp = 0;

      gets(buffer);

      if(fp) {
           printf("calling function pointer, jumping to 0x%08x\n", fp);
           fp();
             }
   }

漏洞利用非常简单且非常基本：这里我需要的只是溢出缓冲区并覆盖 fp 值以使其保存 win() 函数的地址。 在尝试调试程序时，我发现 fb 位于缓冲区下方（即内存中的较低地址），因此我无法修改其值。 我认为一旦我们在 y 之前声明了一个局部变量 x，x 在内存中会更高（即在堆栈的底部）所以x 可以覆盖 y 如果它超出了它的边界，这里不是这种情况。 我正在用 gcc gcc 版本 5.2.1 编译程序，没有特殊标志（仅测试 -O0）

有什么线索吗？

Answer 1

局部变量在栈上的顺序未指定。

它可能会在不同的编译器、不同的版本或不同的优化选项之间发生变化。它甚至可能取决于变量的名称或其他看似无关的事物。

Answer 2

直到编译/链接（构建）时才定义堆栈上局部变量的顺序。我当然不是专家，但我认为您必须进行某种“十六进制转储”，或者可能在调试器环境中运行代码以找出它的分配位置。而且我还猜测这将是一个相对地址，而不是绝对地址。

正如@RalfFriedl 在他的回答中指出的那样，该位置可能会在为不同平台调用的任意数量的编译器选项下发生变化，等等。

但我们确实知道缓冲区溢出是可能的。尽管由于地址空间布局随机化 (ASLR) 等防御措施，您现在听到的关于它们的消息越来越少，但它们仍然存在并为我猜想的某个人支付账单。当然有很多关于这个主题的在线文章；这是一个看起来相当流行的（https://www.synopsys.com/blogs/software-security/detect-prevent-and-mitigate-buffer-overflow-attacks/）。

祝你好运（你甚至应该对练习缓冲区溢出攻击的人这么说吗？）。无论如何，我希望你能学到一些东西，并好好利用它:)