一、问题起因
在刷 CTF WIKI的时候,发现自己构造的 payload 与答案的payload略有差异
按照原先的理解,上图中表为绿色的 pop_ebx ,不应该存在,gets_plt 是gets()函数的地址,而 buf2 是 gets() 函数的参数,构造上面的栈的时候,中间隔着一个32字节的 pop_ebx操作的地址,gets() 函数的参数岂不是变成 pop_ebx 的地址了?
(若是不知道函数参数在栈中的位置的同学,请自行学习一下函数调用栈)
二、解决
当天也没想明白,尝试将 pop_ebx 换成其他的数据,构造的payload发现无法拿到shell,所以说 这个 pop_ebx 是必须存在的。
第二天一步一步反复调试这个位置的代码,发现了蹊跷
三、答案
首先,先要搞明白的一点是,构造的shellcode的执行流的执行方式,与普通的 call 指令产生的执行流方式不一样,这里的 gets_plt 是放在了,main 函数的返回地址上面的,所以 gets() 函数是通过 ret 进行转移执行的,也就是说 gets() 函数是直接跳转到代码就开始执行了,不是 call gets() 执行的,但是程序不知道,以为就是通过 call 调用的 gets() 函数,所以在返回时,会把栈顶的第一个32字节值当成返回地址,第二个32字节值才是参数(总之需要形成如下图的栈)
所以,paload 中 get_plt 参数并不是直接挨着 get_plt 的;那这样的话,pop_ebx 位置放一个任意的32位值能行么?反正 buf2 会被识别为参数,答案是不行的,因为, pop_ebx 的位置是下一个函数的位置(get_plt 函数的ret指令执行,会把 pop_ebx 的值压入 eip ,从而改变执行流),所以 pop_bex 必须指向一段代码去执行,pop_ebx 被压入 eip 后,此时的栈顶指向了 buf2 的位置,pop ebx;指令一旦被执行,那么此时栈顶变为 system_plt ,此时 pop_ebx 代码段返回后,就会开始执行 system_plt。
由于system_plt 执行之后,已经拿到shell了,不需要再控制下一步的执行流,所以 system_plt 的返回地址可以任意构造为 0xdeadbeef
四、实验
有了上面的理论可以得知,pop_ebx指令的作用就是,中转执行流,同时将 buf2 这个栈上用完的参数弹出,将esp指向system_plt并返回,那么能不能省去这个中转,使得 gets 函数直接返回到 system函数?答案是 在这道题是可以的,paylaod如下就行(自行分析)
拿到shell
131
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
