返回
多御浏览器
广告
多御浏览器
广告

[PHP内核]PHP内核学习(二)------zend_try实现

发布时间:2022-11-06 10:38:54 362
相关标签:

文章目录

  • ​​写在前面​​
  • ​​zend_try实现​​
  • ​​zend_try_catch基本用法​​
  • ​​zend_try相关原型定义​​
  • ​​SETJMP​​
  • ​​LONGJMP​​
  • ​​简单的例子​​
  • ​​zend_try实现​​
  • ​​参考文章​​

写在前面

为什么想记录这个,主要是今天学习如何留后门,调用了这个,遂看看

[PHP内核]PHP内核学习(二)------zend_try实现_#include

 

简单记录下

char exec_str[256];
snprintf(exec_str, sizeof(exec_str), "passthru(\"%s\");", "calc");
zend_try{
  zend_eval_string(exec_str, NULL, "papa");
}zend_end_try();

zend_try实现

zend_try_catch基本用法

{
        ...exec_try
    } zend_catch {
        ...exec_catch
    } zend_end_try();

zend_try相关原型定义

首先看到定义是在​​/Zend/zend.h​​中

[PHP内核]PHP内核学习(二)------zend_try实现_c语言_02

SETJMP

不难看到这里有一个关键的函数​​SETJMP​

[PHP内核]PHP内核学习(二)------zend_try实现_函数调用_03

 

可以看到和​​longjmp​​密不可分,看看函数原型

#include 
int setjmp(jmp_buf env);

setjmp 函数的功能是将函数在此处的上下文保存在 jmp_buf 结构体中,以供 longjmp 从此结构体中恢复。

  • 参数 env 即为保存上下文的 jmp_buf 结构体变量;
  • 如果直接调用该函数,返回值为 0; 若该函数从 longjmp 调用返回,返回值为非零,由 longjmp 函数提供。根据函数的返回值,我们就可以知道 setjmp 函数调用是第一次直接调用,还是由其它地方跳转过来的。

LONGJMP

函数原型

void longjmp(jmp_buf env, int val);

longjmp 函数的功能是从 jmp_buf 结构体中恢复由 setjmp 函数保存的上下文,该函数不返回,而是从 setjmp 函数中返回。

  • 参数 env 是由 setjmp 函数保存过的上下文。
  • 参数 val 表示从 longjmp 函数传递给 setjmp 函数的返回值,如果 val 值为0, setjmp 将会返回1,否则返回 val。
    longjmp 不直接返回,而是从 setjmp 函数中返回,longjmp 执行完之后,程序就像刚从 setjmp 函数返回一样。

简单的例子

#include 
#include 
jmp_buf env;
void foo() {
    printf("before jmp\n");
    int ret = setjmp(env);
    if(ret == 0) {
        printf("2333\n");
        return;
    } else {
        printf("return %d\n", ret);
    }
    printf("after jmp\n");
}
int main(int argc, char* argv[]) {
    foo();
    longjmp(env, 999);
    return 0;
}

看看结果

[PHP内核]PHP内核学习(二)------zend_try实现_#include_04

 

不难理解首先调用setjmp的时候相当于程序片段1把主动权交出来,然后执行if(ret == 0)下面的程序,直到遇到longjmp,把执行权还给了片段1,并且设置jmp_buf为999,片段1继续执行,发现了ret!=0,就输出return 999。

zend_try实现

{                                                            
        JMP_BUF *__orig_bailout = EG(bailout);                    
        JMP_BUF __bailout;                                        
                                                                
        EG(bailout) = &__bailout;                                
        if (SETJMP(__bailout)==0) {
          {
               ...exec_try
          }
        } else {                                                
            EG(bailout) = __orig_bailout;
           {
               ...exec_catch
           }
       }                                                        
       EG(bailout) = __orig_bailout;                            
}

梳理下调用流程

  • 保存全局变量里面的bailout
  • 使用setjmp来做跳转执行下面的程序
  • 执行exec_try内的内容
  • 如果exec_try这个代码段里面有longjmp,并且longjmp返回非0,就执行exec_catch
  • 最后,把全局变量里面的bailout恢复

参考文章

​​C 语言中 setjmp 和 longjmp​​

 

 

文章来源: https://blog.51cto.com/u_15847702/5802337
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
0 声望
0 粉丝
0 获赞
TA的文章 更多>
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线
下一篇
Kubernetes Volume SubPath 2022-11-06 10:09:36