什么是栈溢出:
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。
最简单的栈溢出利用:ret2text
通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取出放入eip寄存器中,紧接着执行eip所指向的位置的指令,这样就相当于控制了程序的执行流。
例题:ctfwiki ret2text
首先,cheaksec。
32位小端序程序。
开启了堆栈不可执行保护(NX),即不会把堆栈上的数据当成指令来执行。
没有canary保护,可以利用栈溢出来修改eip。
PIE地址随机化没有开启。
ida分析
如果源码比较复杂,可以通过运行程序的方式来辅助理解程序。
main函数存在gets函数,即存在栈溢出漏洞。