我看着缓冲区溢出漏洞的基础知识，并试图了解堆栈是如何工作的。 对于我想写一个简单的程序，返回地址的地址更改为某个值。 任何人都可以帮我搞清楚基本指针的大小，以获得从第一个参数的偏移？

void foo(void)
{
    char ret;
    char *ptr;

    ptr = &ret; //add some offset value here 
    *ptr = 0x00;
}

int main(int argc, char **argv)
{
    foo();

    return 1;
}

生成的汇编代码如下：

    .file   "test.c"
    .text
    .globl  foo 
    .type   foo, @function
foo:
.LFB0:
    .cfi_startproc
    pushq   %rbp
    .cfi_def_cfa_offset 16
    .cfi_offset 6, -16 
    movq    %rsp, %rbp
    .cfi_def_cfa_register 6
    leaq    -9(%rbp), %rax
    movq    %rax, -8(%rbp)
    movq    -8(%rbp), %rax
    movb    $0, (%rax)
    popq    %rbp
    .cfi_def_cfa 7, 8
    ret 
    .cfi_endproc
.LFE0:
    .size   foo, .-foo
    .globl  main
    .type   main, @function
main:
.LFB1:
    .cfi_startproc
    pushq   %rbp
    .cfi_def_cfa_offset 16
    .cfi_offset 6, -16 
    movq    %rsp, %rbp
    .cfi_def_cfa_register 6
    subq    $16, %rsp
    movl    %edi, -4(%rbp)
    movq    %rsi, -16(%rbp)
    call    foo 
    movl    $1, %eax
    leave
    .cfi_def_cfa 7, 8
    ret 
    .cfi_endproc
.LFE1:
    .size   main, .-main
    .ident  "GCC: (GNU) 4.7.1 20120721 (prerelease)"
    .section    .note.GNU-stack,"",@progbits

foo的框架段的相关部分应该是这样的：

[炭RET] [基指针] [返回地址]

我有第一个是仅1字节大小的位置。 是仅1个字节进一步向基指针或作为提到字的大小http://insecure.org/stf/smashstack.html ？ 而且我怎么知道基指针的大小？

你不会是能够做到这一点香草C，你没有的编译器如何勾画出栈帧控制。

在X86-64，返回地址应为%rbp + 8 。 你可以使用一些内嵌汇编来获取（GCC语法）：

uint64_t returnaddr;
asm("mov 8(%%rbp),%0" : "=r"(returnaddr) : : );

同样，对于设置它。

即使这是一个有点粗略的，因为你不知道编译器是否会建立%rbp与否。 因人而异。

你basepointer是最有可能只是一个指针，因此具有规模的sizeof（INT *）。 但也有在变量之间的值ret和基指针。 我会承担其寄存器的值（EAX？）。 这将导致类似下面的，如果你想要一个死循环：

void foo(void)
{
    char ret;
    char *ptr;

    ptr = (char*)(&ret) + (sizeof(ret)  + 2*sizeof(int*)) ;
    *(int*)ptr -= 0x0c;
}

被修改假定它有一个指针的大小的返回目标（可以为其它指令集的不同）。 通过减小它的回报率目标设置为呼叫点之前的点foo 。

看来您使用的是64位架构，因为RBP和RSP寄存器是64位长。 如果声明ptr作为char*您必须增加它8次通过堆栈移动。 相反，你可以将它声明为uint64_t * 。 此数据类型是通常可用的<stdint.h> 。

然而堆栈帧定义取决于目标结构，甚至在编译器的行为和优化而变化。 这很好，如果您正在试验，虽然。