一、初级栈溢出系列

从现在开始温习栈溢出，从初级栈溢出到高级栈溢出到花式栈溢出都重温一遍，主要结合题目练习加深巩固。

一般来说，实现栈溢出，都是因为读入的字节数超过了buf允许的大小，导致ret地址被覆盖，我们的最终目标都是实现调用system(“/bin/sh”)函数去getshell，过程花样可以千奇百怪，但是总有规律可以寻找~

1、第一步找危险函数。

输入函数：

gets(&buf) 直接读取一行，忽略’\x00’ ，一看没有字符数的限制，那肯定是200%的溢出~

read(0，&...

一、对保护机制的探索：

本文针对刷过的题目，介绍一些常见的保护机制以及破解方法，这里一个个介绍。

1、checksec

工欲善其事必先利其器，这个指令用于检查题目的保护机制以及判断是32位还是64位的程序，专业地讲是用来检查可执行文件属性，例如PIE, RELRO, PaX, Canaries, ASLR, Fortify Source等等属性。 举个栗子：

checksec + 文件名，可实现检查功能：

2、Arch表示位数，amd64-64-little表示该程序是64位的，32位的是i386...

一、中级栈溢出总结：

来到中级栈溢出这里，当64位的程序很难得到有用的rop链时（参数在rdi，rsi，rdx中，通常是很难凑齐这3个的）就需要我们用程序现有的链子去构造，找找看：

重点介绍一个64位的很好用的ROP链子，这个链子是根据

这两个函数的汇编写出来的，我们可以去看看：

就是这里了，看到loc_4006A6和loc_400690两个位置，这里怎么利用呢？

首先先读懂这段汇编的意思：首先执行抬一次栈的操作，接着要pop6个参数到相应的寄存器中，然后是ret，接着看到上面mov那里，很...

一、花式栈溢出介绍：

花式栈溢出又叫栈迁移技术，是指在可以写的payload的长度不佳的情况下（一般只有ebp和ret位置可以写，没有多的了，或者再多给两行可以写的），这样的话我们需要进行栈迁移，具体做法有如下两种：

1、迁移到栈本身，2、迁移到bss段中，3、迁移到堆块（后期补充）

先来看看迁移到栈的情况：

来一道题目：

这里堆栈不可执行保护，其他的没开，然后栈溢出发现只能溢出8字节，32位的话，就是覆盖到ebp和ret的位置，很局限，这里想到栈迁移，于是搞一波操作：

第一步：迁移到本身...

题目一：

read_note：

一波分析：

动态链接，库是libc.so.6，可以得到，再去看看ida吧：

这里程序大概的流程也出来了，就是让你输入路径（字符串长度为5其实根本不可能），然后能打开该路径下的文件（就是个幌子，没用的），跳过，输入的字符长度大于5，就false，继续执行程序，要写note的大小note_length，还有note的内容，内容在thinking_note这里，会被输出来，然后如...

师傅们说去做做TAMUCTF的题目，积累经验，于是去尝试了一波，才发现真的是有些地方自己不懂的知识盲区，也作为一个积累吧，在这里记录

题目：pwn1

首先看看题目先

有栈溢出的漏洞，其他的保护全开，拖进ida分析一波：

逻辑很清晰了，前面的几个strcmp可以直接逆向思维，把正确的答案写到payload中，最后一步直接覆盖那个数v5为目标值即可：于是可以写出payload：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34...