写在前面
为什么想记录这个,主要是今天学习如何留后门,调用了这个,遂看看
简单记录下
char exec_str[256];
snprintf(exec_str, sizeof(exec_str), "passthru(\"%s\");", "calc");
zend_try{
zend_eval_string(exec_str, NULL, "papa");
}zend_end_try();
zend_try实现
zend_try_catch基本用法
zend_try {
...exec_try
} zend_catch {
...exec_catch
} zend_end_try();
zend_try相关原型定义
首先看到定义是在/Zend/zend.h中
SETJMP
不难看到这里有一个关键的函数SETJMP
可以看到和longjmp密不可分,看看函数原型
#include <setjmp.h>
int setjmp(jmp_buf env);
setjmp 函数的功能是将函数在此处的上下文保存在 jmp_buf 结构体中,以供 longjmp 从此结构体中恢复。
- 参数 env 即为保存上下文的 jmp_buf 结构体变量;
- 如果直接调用该函数,返回值为 0; 若该函数从 longjmp 调用返回,返回值为非零,由 longjmp 函数提供。根据函数的返回值,我们就可以知道 setjmp 函数调用是第一次直接调用,还是由其它地方跳转过来的。
LONGJMP
函数原型
void longjmp(jmp_buf env, int val);
longjmp 函数的功能是从 jmp_buf 结构体中恢复由 setjmp 函数保存的上下文,该函数不返回,而是从 setjmp 函数中返回。
- 参数 env 是由 setjmp 函数保存过的上下文。
- 参数 val 表示从 longjmp 函数传递给 setjmp 函数的返回值,如果 val 值为0, setjmp 将会返回1,否则返回 val。
longjmp 不直接返回,而是从 setjmp 函数中返回,longjmp 执行完之后,程序就像刚从 setjmp 函数返回一样。
简单的例子
#include <stdio.h>
#include <setjmp.h>
jmp_buf env;
void foo() {
printf("before jmp\n");
int ret = setjmp(env);
if(ret == 0) {
printf("2333\n");
return;
} else {
printf("return %d\n", ret);
}
printf("after jmp\n");
}
int main(int argc, char* argv[]) {
foo();
longjmp(env, 999);
return 0;
}
看看结果
不难理解首先调用setjmp的时候相当于程序片段1把主动权交出来,然后执行if(ret == 0)下面的程序,直到遇到longjmp,把执行权还给了片段1,并且设置jmp_buf为999,片段1继续执行,发现了ret!=0,就输出return 999。
zend_try实现
{
JMP_BUF *__orig_bailout = EG(bailout);
JMP_BUF __bailout;
EG(bailout) = &__bailout;
if (SETJMP(__bailout)==0) {
{
...exec_try
}
} else {
EG(bailout) = __orig_bailout;
{
...exec_catch
}
}
EG(bailout) = __orig_bailout;
}
梳理下调用流程
- 保存全局变量里面的bailout
- 使用setjmp来做跳转执行下面的程序
- 执行exec_try内的内容
- 如果exec_try这个代码段里面有longjmp,并且longjmp返回非0,就执行exec_catch
- 最后,把全局变量里面的bailout恢复