pwn学习日记Day8 基础知识积累

知识杂项

• aslr：是一种针对缓冲区溢出的安全保护技术，通过对堆、栈、共享库映射等线性区布局的随机化，通过增加攻击者预测目的地址的难度，防止攻击者直接定位攻击代码位置，达到阻止溢出攻击的目的的一种技术。

• str.strip([chars]);
  用于移除字符串头尾指定的字符（默认为空格或换行符）或字符序列。
  chars -- 移除字符串头尾指定的字符序列。
  返回移除字符串头尾指定的字符生成的新字符串。

  调整栈帧技巧

• 在存在栈溢出的程序中，有时候我们会碰到一些栈相关的问题，例如溢出的字节数太小，ASLR导致的栈地址不可预测等。针对这些问题，我们有时候需要通过gadgets调整栈帧以完成攻击。常用的思路包括加减esp值，利用部分溢出字节修改ebp值并进行stack pivot等。

  修改esp扩大栈空间

  通过观察数据我们很容易发现被修改的EIP是通过strncpy复制到输入前面的0x50个字节的最后8个。由于没有libc，one gadget RCE使不出来，且使用了strncpy，字符串里不能有\x00，否则会被当做字符串截断从而无法复制满0x50字节制造可控溢出，这就意味着任何地址都不能被写在前0x48个字节中。在这种情况下我们就需要通过修改esp来完成漏洞利用。这就意味着我们可以把ROP链放在0x50字节之后，然后通过增加esp的值把栈顶抬到ROP链上。

  栈帧劫持stack pivot

• 通过可以修改esp的gadget可以绕过一些限制，扩大可控数据的字节数，但是当我们需要一个完全可控的栈时这种小把戏就无能为力了。在系列的前几篇文章中我们提到过数次ALSR，即地址空间布局随机化。这是一个系统级别的安全防御措施，无法通过修改编译参数进行控制，且目前大部分主流的操作系统均实现且默认开启ASLR。正如其名，在开启ASLR之前，一个进
  程中所有的地址都是确定的，不论重复启动多少次，进程中的堆和栈等的地址都是固定不变的。这就意味着我们可以把需要用到的数据写在堆栈上，然后直接在脚本里硬编码这个地址完成攻击。例如，我们假设有一个没有开NX保护的，有栈溢出的程序运行在没有ASLR的系统上。由于没有ASLR，每次启动程序时栈地址都是0x7fff0000.那么我们直接写入shellcode并且
  利用栈溢出跳转到0x7fff0000就可以成功getshell。而当ASLR开启后，每次启动程序时的栈和堆地址都是随机的，也就是说这次启动时时0x7fff0000，下回可能就是0x7ffe0120。这时候如果没有jmp esp一类的gadget，攻击就会失效。而stack pivot这种技术就是一个对抗ASLR的利器。

• stack pivot之所以重要，是因为其利用到的gadget几乎不可能找不到。在函数建立栈帧时有两条指令push ebp; mov ebp, esp，而退出时同样需要消除这两条指令的影响，即leave(mov esp, ebp; pop ebp)。且leave一般紧跟着就是ret。因此，在存在栈溢出的程序中，只要我们能控制到栈中的ebp，我们就可以通过两次leave劫持栈。

  内容来源

  Python strip()方法
  i春秋月刊第六期——Linux pwn零基础入门