文章目录
- 写在前面
- 前置小知识
- bss段
- data段
- text段
- heap
- stack
- ret2text
- 参考链接
写在前面
已经学了一小段时间二进制了,以后慢慢确定一个深入的方向吧,开冲
前置小知识
bss段
bss段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。
bss是英文Block Started by Symbol的简称。
bss段属于静态内存分配。
比如
data段
数据段(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。
数据段属于静态内存分配。
比如
text段
代码段(code segment/text segment)通常是指用来存放程序执行代码的一块内存区域。
这部分区域的大小在程序运行前就已经确定,并且内存区域通常属于只读(某些架构也允许代码段为可写,即允许修改程序)。
在代码段中,也有可能包含一些只读的常数变量,例如字符串常量等。
heap
堆是用于存放进程运行中被动态分配的内存段,它的大小并不固定,可动态扩张或缩减。
当进程调用malloc等函数分配内存时,新分配的内存就被动态添加到堆上(堆被扩张);
当利用free等函数释放内存时,被释放的内存从堆中被剔除(堆被缩减)。
stack
栈又称堆栈,是用户存放程序临时创建的局部变量,
也就是说我们函数括弧“{}”中定义的变量(但不包括static声明的变量,static意味着在数据段中存放变量)。
除此以外,在函数被调用时,其参数也会被压入发起调用的进程栈中,并且待到调用结束后,函数的返回值也会被存放回栈中。
由于栈的先进先出(FIFO)特点,所以栈特别方便用来保存/恢复调用现场。
从这个意义上讲,我们可以把堆栈看成一个寄存、交换临时数据的内存区。
ret2text
ret2text 即控制程序执行程序本身已有的的代码 (.text)
简单来说,就是进程存在危险函数如system(“/bin/sh”)
或execv(“/bin/sh”,0,0)
的片段,可以直接劫持返回地址到目标函数地址上。
这里我配合ctfwiki上面的进行我的学习,checksec发现只开启了NX保护,NX保护是让栈不可执行
接下来拖入IDA分析,主函数中使用了 gets 函数,显然存在栈溢出漏洞
secure这里又发现了存在调用 system("/bin/sh") 的代码,那么如果我们直接控制程序返回至 0x0804863A,那么就可以得到系统的 shell 了。
这里还得到了它的地址0x804863a
接下来就是去找偏移了,首先找到
栈从高地址向低地址生长,ebp高地址,esp低地址,
可以看到该字符串是通过相对于 esp 的索引,所以我们需要进行调试,将断点下在 call 处,查看 esp,ebp
得到esp是0xffffd130,ebp是0xffffd1b8,s 相对于 esp 的索引为esp+0x1c,因此,我们可以推断
可以推断
s 的地址为 0xffffd14c
s 相对于 ebp 的偏移为 0x6c
s 相对于返回地址的偏移为 0x6c+4
得到exp
查看运行结果
参考链接
html https://ctf-wiki.org/pwn/linux/stackoverflow/basic-rop/