Pwn的一丢丢知识点

这个月就是看了些wiki里的题目吧，然后想找一些解题规律的，可能题做的太少？反正是还没咋找出来的。有一点点的归纳？（其实我也不知道这些说法对不对的，可能表达方面会有蛮多问题的吧）

关于pwn题里常见的保护机制（现在遇到的也就是NX，其他的几乎就没见过，所以也不太能理解到底这些保护要怎么破，但是还是先从各个地方东拼西凑写下来先吧）

一、RELRO（read only relocation）:
重定向只可读，实现就是由linker指定binary的一块经过dynamic linker处理之后的区域为只读存储区。

二、Stack：
栈溢出检查，用canary（金丝雀）值是否变化来检测，canary found 表示开启。
这里是一种缓冲区溢出攻击缓解手段：启用栈保护后，函数开始执行的时候会先往栈里插入cookie信息，当函数真正返回的时候会验证cookie信息是否合法，如果不合法，程序会停止运行。攻击者在覆盖返回地址的时候往往会将cookie信息覆盖掉，导致栈保护检查失败而阻止shellcode执行，在linux将cookie信息成为canary。
（想要溢出返回地址就要改变这个值，返回时canary是否改变，改变了就调用check_failed()函数，打印程序名然后退出）
步骤：
（1）、找到canary的值之后填进去
（2）、可以覆盖掉check_failed()的调用地址换成system()
（忘了是在哪个大佬博客里看到的然后抄下来了，说实话，没咋看懂）

三、NX：（这个很常见了）
数据执行保护，将数据所在内存页标识为不可执行，当程序溢出成功转入shellcode的时，程序会尝试在数据页面上的执行指令，此时CPU会抛出异常，而不是去执行恶意指令。（用ROP技术实现溢出绕过）
栈里面的内容只负责把程序执行流引入到一个需要的汇编代码的位置处，然后调用程序自己的一些代码来实现攻击（ROP链就是调用含有call，ret的代码一直接下去）

四、FORTIFY：
用于检查是否存在缓冲区溢出的错误。适用情形是程序采用大量的字符串或者内存操作函数，如memcpy，memset，stpcpy，strcpy，strncpy，strcat，strncat，sprintf，snprintf，vsprintf，vsnprintf，gets以及宽字符的变体。
gcc生成了一些附加代码，通过对数组大小的判断替换strcpy, memcpy, memset等函数名，达到防止缓冲区溢出的作用。

五、PIE：
地址分布随机化，（低三位是不变的，所以我们可以通过溢出只覆盖已有地址的低三位，实际上只能覆盖两位，也就是一个字节，来控制流程）
分三种情况：
（1）、0-表示关闭进程地址空间随机化
（2）、1-表示将mmap上的基址、stack和vdso页面随机化
（3）、2-表示在1的基础上增加heap的随机化

关于目前做过题的一些总结：
一、有system() 有 ”/bin/sh”
（1）、system()里的参数就是”/bin/sh”的时候：直接调用system()函数就好
（2）、system和”/bin/sh”不在一起的时候：
32位：在调用system之后会有一个返回地址，我们需要先填充返回地址再将”/bin/sh”的地址填入payload。
eg：

payload=”a”*112+p32(system)+p32(0)+p32(binsh)（p32(0)可以由“aaaa”代替）

64位：（分别用rdi rsi rdx rcx r8 r9作为第1-6个参数，rax作为返回值）需要将”/bin/sh”的地址存入rdi里，所以我们需要用到gadget来找到pop rdi的指令。
eg：

payload=”a”*112+p64(pop_rdi)+p64(binsh)+p64(system)

二、有system() 无”/bin/sh”
开NX：将”/bin/sh”写入bss段（或者data段?）
由于32位是四个字节的所以”/bin/sh”需要分两次进行储存。
例如：先用gadget找到一起被pop出来的两个寄存器，如pop edi_ebp，还要找到mov edi_ebp的地址。
存值过程：第一次先pop 两个寄存器，然后往edi里存bss段地址，ebp里存”/bin”,然后mov，再进行第二次pop，继续用edi存bss段的地址，然后ebp存”/sh\x00”。
调用：

 payload+= p32(system)+p32(0)+p32(bss_addr)（省略前部分的payload了）

64位则可以直接一次性存完。（只用一次pop和一次mov就好了，但pop的还要两个寄存器的）由于要调用参数，所以还要用到rdi，pop和mov还要找rdi的部分。
eg：

payload="a"*112+p64(pop)+p64(bss)+”/bin/sh\x00”+p64(mov)+p64(pop_rdi)+p64(bss)+p64(system)

三、无system 无”/bin/sh”
无NX：随意生成shellcode，用asm(shellcraft.sh())
eg:ret2shellcode
有NX：用系统调用函数，execve（“/bin/sh”,null,null）,eax里存系统调用号，但是要系统调用就必须要有int 0X80
eg：ret2syscall
如果没有int 0x80的话貌似是要用到.so库的（然后我还没开始看动态链接，就很懵，所以就不提了）

本人纯pwn小白，文章如有错误希望大家及时指正