我就学学吧，开开眼界也好

# 重要芝士

PLT 表存放跳转相关指令，GOT 表存放外部函数（符号）地址
plt 在 ida 是蓝色的，got 在 ida 是粉色的，plt 可跳转 got 表

# 32 位调用约定

• 普通函数调用
  参数按函数签名由右往左入栈，参数在返回地址的前
• 内核调用
  调用号用 eax 保存，其他参数保存在 ebx,ecx,edx,esi,edi,ebp, 多余的参数入栈，最后执行 int 0x80

# 64 位调用约定

• 普通函数调用约定
  参数依次保存在 rdi,rsi,rdx,rcx,r8,r9, 多余的一律入栈，入栈参数在返回地址前
• 内核调用
  调用号用 rax 保存，其他参数保存和普通调用一样， 最后执行 syscall

# 特殊调用约定

__stdcall： Windows API 默认函数调用协议

函数参数从右到左入栈，调用结束被调者负责清理压入的参数，在 Windows 中出现的比较多

__cdecl: C/C++ 默认函数调用协议

函数参数从右到左入栈，调用结束后调用者负责清理压入的参数，x86 平台大多都是这个

__fastcall: 对性能要求高的场合的调用方法

从左开始将不大于四个字节的参数放入 eax 到 edx 寄存器，其余参数从右向左入栈

__thiscall: 为类方法专门优化的调用约定
如果参数个数确定
this 指针会被放在 ecx 里，其余参数右向左压栈

# Canary 保护

Canary 保护是在栈中插入应该随机数据的操作。一旦程序跳转时检测到 canary 发生改变就说明栈发生了溢出，程序会直接终止
这段数据有下面的特点

• 低位字节为 0x00, 这个是为了防止 canary 被字符串输出函数泄露 (c 语言字符串到 0x00 就不会输出了)
• 数据是随机产生的，只会保存两份，一份在 gs:0x14 中，另一份就是在栈中
• 同一进程的 canary 值都是一样的，子进程同父进程一致，程序结束 canary 值会更新

绕过 Canary 方法

• 泄露 canary: 利用输出函数获取到栈中 Canary 的数据，在 payload 使用 canary 原本的数据填充 canary 的地址，再溢出到 ebp。具体操作请百度 Canary 泄露
• 修改 canary 检测函数：修改 canary 检测错误的函数 __stack_chk_fail ，首先获取 got 表地址，然后通过其他漏洞比如 格式化输入输出函数 ，修改 got 表的值，让错误处理函数变更为其他值，前提是 RELRO 保护没有开启。
• 爆破 canary: canary 爆破只能在子进程进行，子进程的 pid 比父进程大，此方法可能比较复杂，具体请百度。
  SSP 泄露：利用 Canary 泄露内存数据
  Canary 检测到内存泄露会输出一段错误信息再结束程序，这段错误信息中会包含一个特殊字符串 -- 程序执行路径

*** stack smashing detected ***:[./pwn] terminated

./pwn 字符串的是在 main 函数的 argv [0] 处，我们可以溢出到此处修改指针，获取内存数据，但是这段错误信息在环境变量 LIBC_FATAL_STDERR_ 不等于 1 的时候是不会输出在控制台的，我们这时还需要修改环境变量指针指向 scanf 输入字符串 LIBC_FATAL_STDERR_=1 (环境变量指针 envp 一遍在 argv 往下两个地址)

# FORTIFY

当编译时加上参数 - D_FORTIFY_SOURCE=2, 一些敏感函数如 read, fgets, memcpy, printf 等等可能导致漏洞出现的函数都会被替换成 read_chk, fgets_chk, memcpy_chk,printf_chk 等。这些带了 chk 的函数会检查读取 / 复制的字节长度是否超过缓冲区长度，通过检查诸如 % n 之类的字符串位置是否位于可能被用户修改的可写地址，避免了格式化字符串跳过某些参数（如直接 %7$x）等方式来避免漏洞出现。开启了 FORTIFY 保护的程序会被 checksec 检出，此外，在反汇编时直接查看 got 表也会发现 chk 函数的存在。
有些时候函数可能不被替换，这就会产生漏洞