B站pwn教程笔记-3

栈知识、部分保护措施

GDB显示的栈地址有时候并不是可靠的地址，gdb也是用特殊的进程映像来拿地址的。且gdb默认关闭栈地址随机化。但是，偏移量是没有错误的。目前还没学到咋解决

第一个栈帧是main函数栈帧，之前的一些系统函数什么的没有栈帧。

执行了leave之后的情况：会pop ebp，所以esp+1，然后ebp恢复原来样子了。然后会执行retn,那就是将返回地址相当于pop给eip寄存器。

canary（金丝雀）保护措施，在 ebp下面会有一个值，创建栈帧的时候就有了。如果销毁栈帧时检测到这个值被修改了，那么他就会崩溃退出。可以在gcc编译的时候打开

2个16进制数字代表1个字节

64位一个ebp是8字节，32位是4

ret2shellcode题目讲解

1.动调拿到溢出字节数

需要注意，如果栈存放的是指针，这工具会把指针的数据打印出来。所以esp实际上存的是指针，不是我们想要溢出的字符串。

2.写exp 

payload一定要有shellcode（arm后的），但是返回地址需要考虑一下，最好不在栈上做执行，因为有太多保护措施。观察软件main函数会对一个全局变量赋值，那就在bss段进行执行吧。

ljust(填充前方字节流长度到几，填充数据），这是个函数，可以这样写：

arm(shellcraft.sh()).ljust(目标长度，b'A'）。

有时候需要recv完毕再send不然会IO错误。

返回导向编程

ret2syscall

本质上是操作空间内核里面的代码。

在举例中,my_puts是用户函数，其中调用了函数write。eax是传入系统调用号。在动态链接库的作用下，write对应的汇编代码进行实现功能，调用更加底层的系统函数/接口之类。

ldd命令可以查看一个可执行程序的所有动态链接库，如ldd a.out

需要关注libc.so.6，记录着c语言标准动态链接库的软连接。（记录软连接在更新动态链接库的时候更加便捷）就在lib文件夹里面 。有时候会出现本地打不通，远程打通，或者反过来，可能原因之一就是动态链接库版本不同了，这种的排错还是比较困难的。

动态链接库也是elf文件，有位置无关代码编写技术 ，这个技术被PIE借鉴了。

动态链接库会载入在shared那个区域。ret2libc的目的就是把程序从text跳转到shared libraries。

execve就是上面libc.so包装在system里面的一个系统调用。 

int 0x80就是一个中断号，代表系统调用。再读取eax里面存的调用号。

但是程序没有这样连续的片段，其实将间断的片段（gadget）组合起来也可以达到这样的效果，就是ROP。

执行过程 

详见视频P3的2:27:10左右。需要注意ret的效果和EIP的作用，以及pop了esp会移动的。

利用ret控制eip,用pop eax可以直接把想要的值覆盖在栈上。

做题

2：47：28左右

运气好部分寄存器值已经是对的，可以不用pop什么了

用drawio工具，看栈的变化，进一步理解ROP过程以编写payload

只是了解：popad 按 edi、esi、ebp、esp（原栈指针，不过该值不存回 esp ）、ebx、edx、ecx、eax 顺序弹出。