用gdb的动态视角看ret2text的实现

来看一道非常简单的栈溢出

、

ctfshow函数里面有read函数，最多可以读0x32个字节

后门函数地址ida里很明显，0x8048521

exp本身不难写,下面看一下怎么用gdb确定偏移

'from pwn import*
io=process("./pwn")
#io=remote("pwn.challenge.ctf.show",28175);
gdb.attach(io,"b main") #在main函数下断点
payload=b"A"*(0x12+0x4)+p32(0x8048521)
io.sendline(payload)
io.interactive()

一直按n让运行到汇编代码的ctfshow处，按s单步进入

可以看到read函数，走到read函数，看到read函数在0xffffcfc6处读入数据

stack看一下栈

0xffffcfd8 是当前函数的栈底，指向的0xffffcfe8是上一个函数的栈底（old_ebp）

用0xffffcfd8减去0xffffcfc6得到0x12，这也就对上了ida里的偏移量

我们退出，输入fini直接运行完，可以看出已经覆盖了0x12+0x4个字节，并且我们的后门函数地址已经成功覆盖到了ebp下的返回地址，

我们继续按n走到后门函数，将后门函数压栈，按c得到system/bin/sh，（只是本地调试，因此没有flag文件）