B站pwn教程笔记-6

一个shellcode的网站：Shellcodes database for study cases

ret2libc刷题

第二题（ret2libc2）

程序内不存在/bin/sh字符串，估计要通过ROP来操作。这时候不能把字符写栈上，因为有地址随机化什么的。可以写在bss段。

而且，gdb也可以直接看plt的内容

还有一个pwn脚本的一个方法：先创建一个ELF对象

里面的变量函数编译的时候都有一个符号，反正和地址联系在一块的，可以用这个语句直接看出来。

特别注意：

因为我们申请了gets函数，所以还要输入bin/sh才行，保险起见可以加一个隔断符。第一个paylaod是来编写栈空间的，和这个gets没关系，因为gets用的自己的栈帧，回来的时候刚好rsp会回来。所以这样可以打通。 

小知识点：gets读到换行符，但是read遇到换行符也会继续读。

第二种payload构造方式

看样子不太能直接控制四个寄存器，来实现值的传递。

这种方式来构造，通用性更强。

原则：用完就扔。看下图，gets的参数显然是buf2，那么根据这个原则，用完buf2之后，我们就把他清理了。首先gets这个函数本身执行的时候主函数就有个ret来将它pop到eip，相当于已经 清理了gets函数。gets函数下面的空白显然会由gest函数执行ret来清理。

就剩buf2没法被清理了。 我们可以用pop|ret这样的指令来清理。pop ebp有点不合适，ebp还有他的用处（虽然已经被覆盖了）严谨起见，我们用pop ebx这样的通用寄存器来清理栈吧。其实就是多了一个回收，相当于

第三题（ret2libc3）

刚下载就发现不对劲了，题目额外给了一个.so文件，估计是动态链接文件。

fflush函数是来清理缓冲区的。strtol，字符串转为长整型。标准输入编号是0，输出是1，错误是2.

还稍微了解了u是unsigned int，这个后续学习整数溢出会使用到。

上图这样的括号就是ida识别到了它的返回数据类型之类的东西，点击\就可以隐藏（转义用的那个斜杠）。int64就是占8字节的int！

寻找栈溢出的思路

输入个超长字符串，一般程序就会段错误之类（如果有栈溢出）

可以通过IDA，复原出相应的栈来，直接输入栈所占的空间，立马可以简易判断出来read之类函数有没有栈溢出。可以看出在子函数时候src被复制到另一个栈之中，这就是栈溢出

如何利用

题目是ret2libc类型的题目，但是却没有system表项和/bin/sh地址。所以只能在libc找到真实的system地址了

现在的CTF一般都是先要给重要地址泄露出，因为直接知道地址了那会变得非常easy了，可能签到提会这么干。

plt相当于代码的执行者，但是got就是保存者，在这里got将发挥巨大作用。实际上，函数没有执行，程序got表项存的是plt地址。也不能直接通过got来泄露出来地址。一般是puts来泄露。这道题有个see_something函数，可以来利用泄露puts的got表地址。

注意，pwngdb的输出在哪里？在最上方！！！

Q：为啥要用这个函数 来泄露。直接下图操作不可以吗？

A：答案有两个方面。1.远程的libc不能保证和本地一样。2.开启了地址随机化。所以本地只可以看偏移量

这是运行的时候的虚拟内存。我们已经泄露了puts的真实地址，根据题目给的另一个附件libc.so找偏移量就好了

步骤

首先创建两个ELF对象

强调下，函数这里接受的是字符串，要用str这个，因为实际上接收到是对应的ASCII码相当于。str（1）='1'，实际上就是一个ASCII码

在libc中是用symbols来表示某个表项

（TIPS:调试这个程序的时候，因为see_sth函数遇到无效地址就会崩溃，我们可以任意找个rodata数据过了这一关) 

为了达到攻击效果，可以不择手段，比如有一个字符串flush，我们可以把s地址传过去，就是sh，/bin/sh是绝对地址，但是sh有时候也可奏效

段页管理 

linux默认页大小是4KB，下图是物理内存，在虚拟内存连续的地方，因为分页，在物理内存不一定连续

假设在一个页中puts地址如下所示

所以即使开启地址随机化，相对于页来说puts的地址是相对固定的，就是000+140，那也就是说无论怎么随机化，puts的地址后三位是相对固定的。（对于同一个libc来说）