这次是栈溢出基础。

栈基础知识

栈帧结构概览

看上图的高地址和低地址。arguments是子函数的形参。蓝色的是上一个栈的ebp值，用于在子函数执行完毕之后，返回到正确的ebp.

heap的占的内存大大的超过stack。

下面看看调用栈的详细过程。

 

一个函数都是以push ebp开始，因为这保存了主调函数的栈底，便于下一步恢复。离开一般都是leave和retn。而call自己就会将返回地址压入栈中。 

缓冲区溢出 和部分IDA技巧

第一个栈溢出病毒莫里斯蠕虫 下图是一些用得到的工具。后两个工具以后会接触，one_gadget貌似牛逼点。

 checksec检查的保护措施

保护措施见上图

ASLR地址随机化,直接在操作系统选择是否打开，作用就是顾名思义。一般远程服务器都会开启，防止栈上ret2shellcode。PIE则是随机化data、bss、text这些段。

NX默认都是开启的。不排除出题人故意考察这个内容。

man是linux里面的帮助手册，第三章是c语言库函数，语言man 3 gets这样操作就可以查出条目。有的需要安装相关数据库才会查出来的。

gets容易溢出。

IDA里面的粉色的内容就是属于动态链接.还有一个IDA的使用提示，右键全选伪代码后有1个拷贝到汇编选项，点击后相应语句汇编代码会附在下面，便于学习汇编。ctrl+s保存工程文件。

比赛技巧，可以在本地调试拿到shell,在exp里面把process改为远程就行了。

实战和exp

sendline相当于send后面＋\n。recvline就是接受一行数据。recv这个会把所有都输出，包括\r前面的（\r是隐藏前面的意思）

这行命令可以解码base64、

这个是出题人关闭缓冲区，0可以换为null

需要说明一下下图，IDA有时候会标识这数据在栈的相对位置，一般只看ebp就好了。但是有时候出题人会故意让他只有esp 所以最可靠还是利用动态调试来看到底溢出多少。

 动调

pwngdb是工具。

r	run	开始执行被调试的程序。如果程序之前已经停止，再次使用该命令会重新启动程序。它会按照默认的参数和环境设置来运行程序，当设置好断点等调试信息后，使用此命令开始程序的执行，程序会运行到第一个断点处暂停。例如，在分析一个可执行文件时，输入 r 就可以启动这个程序进入调试状态。
b	break	用于设置断点。断点是程序执行过程中的特定位置，当程序运行到断点处时会暂停执行，方便调试人员查看程序此时的状态，如变量的值、寄存器的内容等。可以根据函数名、行号、地址等设置断点。例如，b main 会在 main 函数的起始位置设置断点；b 10 会在当前文件的第 10 行设置断点。b *0x8888在特定地址断
s	step	单步执行程序。执行一条源代码语句，如果该语句调用了函数，会进入到被调用函数的内部继续单步执行。这有助于深入分析函数内部的执行流程和逻辑。例如，当程序执行到一个函数调用语句时，使用 s 命令会进入该函数，逐行执行函数内的代码。
n	next	也是单步执行程序，但与 step 不同的是，当遇到函数调用时，next 会将函数调用当作一条语句执行，不会进入到函数内部，而是直接执行完函数调用并停在函数调用的下一条语句。这样可以快速跳过一些不需要深入调试的函数调用，加快调试过程。例如，对于一些已经确定功能正常的库函数调用，使用 n 命令可以直接跳过，继续调试后续代码。

ret2text

2是to的意思。

这个类型就是程序本身具有一个后门函数，我们篡改返回地址就可以了。

ret2shellcode

有难度。这时候是没有后门函数了。也就是直接把shell代码写在可执行的地方。这里需要转化，不然shell直接写他也不认识。更多是写入栈区和bss段，不常见在堆区操作。 

因为既然能栈溢出，那么我肯定可以写入shellcode。这相当于充要条件。没有开启NX保护的时候，栈溢出反而直接在栈上更方便，ret到栈上的shellcode。

pwntools的shellcraft.xx()可以在xx输入一些命令，来看到对应的汇编代码比如shellcraft.sh()这个是用于32位，64位是shellcraft.arm64.sh()

而pwntools的arm（）函数可以把汇编代码转为机器码disarm作用相反。直接print输出arm的内容其实会按照ascii码形式输出，但是不影响他是机器码。

攻击64位要加这一句话：不然整体环境还是攻击32位的。比如arm输出的

ret2shellcode有个RWX，需要注意，这是特征之一。