0x00 前言

众所周知，linux下开启了NX的以及windows下开启了DEP的程序堆栈是不可执行的，linux下的程序默认编译时是开启了NX的，故很久以前采用的通过jmp esp或者jmp rsp跳板技术跳转到栈中的shellcode执行的栈溢出攻击方式基本上已经失效。

除了NX，还有ASLR，PIE，CANARY，FORTIFY，RELRO等各类保护手段五花八门，大大的提高了linux下软件的安全，同时也增加了二进制攻击的门槛。

针对这些情况，我们会用一系列文章去逐一讨论，这里先不考虑其它的保护手段，着重讨论下通过ROP（return-orient-Programming）以及ret2libc来绕过开启了NX保护但是存在缓冲区溢出点的程序，实现攻击。

0x01 环境

系统：Ubuntu 14.04.3 LTS 64位

工具：PEDA  

           Ropper

存在漏洞的演示程序vuln：

#include <stdio.h>
#include <unistd.h>
int vuln() {
 char buf[80];
 int r;
 r = read(0, buf, 400);
 printf("\nRead %d bytes. buf is %s\n", r, buf);
 puts("No shell for you :(");
 return 0;
}
int main(int argc, char *argv[]) {
 printf("Try to exec /bin/sh");
 vuln();
 return 0;
}

为了便于我们先关闭ASLR

# echo 0 > /proc/sys/kerne/randomize_va_space

然后还需要编译时关闭程序的stack CANARY栈保护手段

gcc -g -fno-stack-protector vuln.c -o vuln

0x02 分析

未完待续。http://bluereader.org/article/44353367