Linux栈溢出获取shell之Return to libc_ret to shell漏洞利用方式

一、简介

本次实验将通过hackthebox的Enterprise的靶机来学习利用Return-to-libc实现Linux栈溢出并获取shell。在实验的过程中，遇到了很多的理论问题，百度后关于Return to libc的理论比较少，基本都是这种操作：system+exit+sh，却没有讲为什么system后面要跟exit，谷歌后答案也不是很满意。最后自己动手试验后，终于顿悟。

二、参考资料

1. 《0day安全：软件漏洞分析技术》第二版
2. exploit-db上的一篇论文Return-to-libc
3. Python的pwntools工具官方说明
4. ippsec的Enterprise靶机 渗透视频讲解（Youtube，1:16:00左右开始的二进制漏洞提权）
5. SEED缓冲区溢出实验笔记

三、环境

Enterprise靶机的环境为32位Linux系统，且关闭ALSR。

四、知识铺垫

1.栈帧的结构及调用函数时栈的操作

以下基础知识来自 参考资料：1（第一章、第二章）
ESP（Extended Stack Pointer）扩展栈指针寄存器，永远指向栈的最上面一个帧的栈顶。
EBP （Extended Base Pointer）扩展基址指针寄存器，永远指向栈的最上面一个帧的栈底。

假如 A函数现在要调用 B函数，先将B函数所需要的参数压入栈（图中的方法参数），再将A函数下一条指令地址压入栈（图中的返回地址），最后保存最上面帧的 ESP地址（图中的前帧 EBP地址），并再次开辟新的帧空间。

当时我有一个疑惑，既然现在 B函数的参数被压入了第二个帧中，那在执行过程中如何取到B函数的参数？栈的特性就是先入后出，这样搞那不就取不到参数值了吗？
答：可以通过EBP地址- 偏移量得出参数地址。比如此图偏移量是0x08。从图中可以很容易的看出。

+------------------+   ======> ESP           ---+
|    ........      |                            | 
+------------------+                            |------> 栈最上面的帧 
|    前帧EBP地址    |   ======> EBP              |
+------------------+                         ---+
|     返回地址      |                            |
+------------------+                            |
|     方法参数      
1
2
3
4
5
6
7