pwn学习日记Day6 基础知识积累

知识杂项

• ELF：在计算机科学中，是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。
• char fgets(char buf, int bufsize, FILE stream);
  buf: 字符型指针，指向用来存储所得数据的地址。
  bufsize: 整型数据，指明存储数据的大小。
  *stream: 文件结构体指针，将要读取的文件流。
  从文件结构体指针stream中读取数据，每次读取一行。读取的数据保存在buf指向的字符数组中，每次最多读取bufsize-1个字符（第bufsize个字符赋'\0'），如果文件中的该行，不足bufsize-1个字符，则读完该行就结束。如若该行（包括最后一个换行符）的字符数超过bufsize-1，则fgets只返回一个不完整的行，但是，缓冲区总是以NULL字符结尾，对fgets的下一次调用会继续读该行。函数成功将返回buf，失败或读到文件结尾返回NULL。因此我们不能直接通过fgets的返回值来判断函数是否是出错而终止的，应该借助feof函数或者ferror函数来判断。
• FILE * fopen(const char * path, const char * mode);
  参数 path字符串包含欲打开的文件路径及文件名，参数 mode 字符串则代表着流形态。
  mode 有下列几种形态字符串：
  r 以只读方式打开文件，该文件必须存在。
  r+ 以读/写方式打开文件，该文件必须存在。
  rb+ 以读/写方式打开一个二进制文件，只允许读/写数据。
  rt+ 以读/写方式打开一个文本文件，允许读和写。
  w 打开只写文件，若文件存在则文件长度清为零，即该文件内容会消失；若文件不存在则创建该文件。
  w+ 打开可读/写文件，若文件存在则文件长度清为零，即该文件内容会消失；若文件不存在则创建该文件。
  a 以附加的方式打开只写文件。若文件不存在，则会创建该文件；如果文件存在，则写入的数据会被加到文件尾后，即文件原先的内容会被保留（EOF 符保留）。
  a+ 以附加方式打开可读/写的文件。若文件不存在，则会创建该文件，如果文件存在，则写入的数据会被加到文件尾后，即文件原先的内容会被保留（EOF符不保留）。
  wb 以只写方式打开或新建一个二进制文件，只允许写数据。
  wb+ 以读/写方式打开或新建一个二进制文件，允许读和写。
  wt+ 以读/写方式打开或新建一个文本文件，允许读和写。
  at+ 以读/写方式打开一个文本文件，允许读或在文本末追加数据。
  ab+ 以读/写方式打开一个二进制文件，允许读或在文件末追加数据。
• size_t fwrite(const void* buffer, size_t size, size_t count, FILE* stream);
  返回值：返回实际写入的数据块数目
  （1）buffer：是一个指针，对fwrite来说，是要获取数据的地址；
  （2）size：要写入内容的单字节数；
  （3）count:要进行写入size字节的数据项的个数；
  （4）stream:目标文件指针；
  （5）返回实际写入的数据项个数count。

• char strtok(char s[], const char delim);
  分解字符串为一组字符串。s为要分解的字符串，delim为分隔符字符串。

  ROP技术

• 如果用__isoc99_scanf函数来读取”/bin/sh”字符串到进程内存中，由于少了call指令的压栈操作，如果我们在布置栈的时候不模拟出一个压入栈中的地址，被调用函数的取到的参数就是错位的。所以我们需要改良一下ROP链。根据上面的描述，我们应该在参数和保存的EIP中间放置一个执行完的返回地址。鉴于我们调用scanf读取字符串后还要调用system函数，我们让__isoc99_scanf执行完后再次返回到main函数开头，以便于再执行一次栈溢出。
• 如果程序开启了NX保护，我们必须找到system函数和”/bin/sh”字符串。执行system(“/bin/sh”)，通过/bin/sh软链接打开一个shell。
• 在x64下通常参数从左到右依次放在rdi, rsi, rdx, rcx, r8, r9，多出来的参数才会入栈（根据调用约定的方式可能有不同，通常是这样）。
• 有很多工具可以帮我们找到ROP gadget，例如pwntools自带的ROP类，ROPgadget、rp++、ropeme等。

• 通过ROPgadget --binary 指定二进制文件，使用grep在输出的所有gadgets中寻找需要的片段。

  内容来源

  i春秋月刊第6期——Linux pwn零基础入门