Mr_Fmnwon的博客

栈溢出长度不够如何利用——可以考虑栈迁移如果从交互来看，仅有一个read函数，且只能触发一次，又该如何利用？本题就是如此，又让我学了一招，通过read实现多次栈迁移完成目的。这里必须把信息检索到的博客博主唉，又为自己菜菜而自卑。。羊城杯前面的佬，真的好牛，又聪明又勤奋。

ret2shellcode，已经不是简单的放到栈上、ret这样一个简单的过程。套一层seccomp的沙箱，打ORW又遇到open受限等等，考虑的蛮多。过程中收获最多的可以说是汇编shellcode手动编写时的一些心得，还是跟着返璞归真师傅的wp做的时候这不会那不会，做完之后写博客，感觉很多都没必要写。。。菜就多练。

ROP的ORW还是第一次做，之前接触到的都是shellcode形式的利用libc的gadget是个很好的思路，能获得大量有益的gadget。

记一道ret2csu。

一道精巧、包含很多要点的题目。

当存在栈溢出但是溢出字符数并不多的情况下，可以尝试在别处构造rop链，通过栈迁移到目标内存区域，执行rop链。这里不讲栈迁移原理，仅是对题目的分析，适合对栈迁移有初步了解的童鞋食用。

进能够覆盖ebp和ret，很难不往栈迁移上想。修改ebp和ret后我们可以将栈指针指向另一处地址addr，需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发栈迁移的基本过程。查看整个代码发现没有后门函数。2.泄露libc没有system函数的使用，但是有write函数。我们可以通过write泄露write的真实地址，从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。3.组合流程①read大量数据，可以是aaaa + write.pl

当前溢出可用空间比较少时（极端情况下仅能覆写ebp和ret），可以通过栈迁移的方式，扩大shellcode的容纳空间，其核心是将esp移动到一段shellocode开头。而esp总是由ebp赋值，所以总是通过两次leave;ret的方式修改esp到固定位置。一、代码审计有两次读入操作。read进的内容超过字符串的长度，存在栈溢出漏洞。然而计算溢出长度，发现只有8字节，即刚好可以覆写ebp和ret。发现system的函数（意味着plt对应的表项存在），然而这个hack函数并不能给出flag。

Canary保护，是在栈上插入一段随机数；进入函数后，也就是call完后会有push ebp，mov ebp，esp，最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次，canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。然而，Smash这种方法，恰好是利用Canary保护机制，修改相关函数参数，泄露信息。详细介绍Smash的文章不在少数，本文主要聚焦于做出题目，因此重点（但非详细）阐述我所理解的重点部分。