Linux栈溢出漏洞利用小结

0x00.　写在前面

在分析一个可执行文件前，需要先利用file命令判断是32bit还是64bit，注意32位和64位应用函数传参时的栈平衡。然后看看开启了什么防护，比如：NX、PIE、RELRO、FORTIRY、CANARY。如果开启了CANARY，就不是栈溢出利用那么简单了。

0x01.　静态链接的ELF

一般情况下，静态链接的ELF很少出现，但是也有一些。这类ELF的漏洞利用，主要还是依靠ELF本身和用户输入。
（1） ELF中含有system函数和‘/bin/sh’字符串，直接构造调用system(‘/bin/sh’)的payload。
（2） 没有开启NX，可以直接写shellcode，然后将程序控制流重定位到shellcode的地址。
（3） 利用ELF中的gadget硬构造出payload。

0x02.　动态链接的ELF

大多数情况下，ELF都是动态链接的 。在漏洞利用时有libc库和无libc库是两种不同的情况。
（1）有libc库（return to libc）
当给了libc库以后，漏洞利用就很简单了。首先通过栈溢出泄漏出一个函数在进程中实际的地址，然后通过查找libc库中该函数的偏移地址和system、/bin/sh的偏移的地址。计算出system、/bin/sh的实际地址，就可以很好的利用了。
（2）无libc库
1）手动查询
通过泄露两个函数在内存中的实际地址，然后到libc-database中查询libc的版本号，就可以确定libc库。后面的方法和有libc库利用方法一样。不过，这种方法有时候不一定奏效。
2）DynELF
有些工具可以帮助泄露函数的地址，通过DynELF泄露system函数的地址，然后往一个地方（.bss区）写’/bin/sh’字符串，然后调用。
3）return to dl-resolve
这是通过ELF动态链接时，采用延迟绑定技术。当第一次调用函数时，调用_dl_runtime_resolve函数进行函数地址解析。利用栈溢出构造ROP链，伪造对其他函数（如：system）的解析。
4）其他自定义的库
通过栈溢出将自定义的库dump下来，分析其中的符号表，确定其中的函数。然后利用前面的方法的实现漏洞利用。