ysy___ysy的博客

我们知道，通常栈溢出的利用方式是通过溢出存在于栈上的局部变量，从而让多出来的数据覆盖 ebp、eip 等，从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段，当函数存在缓冲区溢出攻击漏洞时，攻击者可以覆盖栈上的返回地址来让 shellcode 能够得到执行。当启用栈保护后，函数开始执行的时候会先往栈底插入 cookie 信息，当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变)，如果不合法就停止程序运行 (栈溢出发生)。

栈由高到低，自顶向下增长，ebp指向栈底 【减(push)即指针向高移，加(pop)即指针向低移】。栈溢出能使我们覆盖栈上某些区域的值，甚至是当前函数的返回地址 ret；一旦 ret 覆盖为某个奇怪的值，例如 0xdeadbeaf，当函数结束恢复现场，即 eip 指向 ret 时，程序将会跳转到内存中的 0xdeadbeaf 处。此时，内核会立即告诉我们“SIGSEV”，即常见的段错误（Segment Fault）。注意：函数传参时从右往左。

如果要自己采用"%x$n"的方式手动构造payload容易出错，所以使用pwntools中的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做题。如果有什么错误的地方请师傅们告诉我一下。本文制作不易，盗版必究。