栈帧概念：一个基本函数所需要的栈空间，当调用子函数时需要调用新的栈帧

涉及到栈有三个寄存器(32)：esp,eip,ebp-->对应64位的rsp,rip,rbp

esp:指向当前栈帧的顶部。

ebp:指向当前栈帧的底部。

eip:指向当前栈帧中执行的指令（可以理解为读取esp地址中所对应的信息）

要理解栈的运行过程，最核心是理解ebp/eip/esp的执行过程：

当父函数调用子函数前，栈状态：

ebp指向栈底，esp指向栈顶，函数开始压栈，esp不停减少，进行往低地址值的扩充（由于是高地址往低地址，所以不停的esp-2），压栈注意esp是不停递减，当遇见子函数时，首先扩充return addr,即父函数的栈顶的地址，放在子函数的return地址上，这一步是为了后续子函数执行完后，esp通过ret进行父函数的栈顶获取，eip就可以从父函数的栈顶位置执行。

 

当将return地址赋值后，继续压栈，此时ebp所指向的地址存于下一步栈中，并将下一步的栈的地址弹入ebp，ebp由此指向子函数的栈底位置，当指向后会将ebp寄存器的值赋予esp，如下图：

然后继续将变量参数等压入栈顶，esp继续-1进行低地址扩充

开始进行出栈读写操作：eip=esp，eip将esp的地址中指向的命令进行读取，逐步出栈，此时esp开始往低地址位靠近，当esp=ebp时，ebp读取现位置中存储的地址数据发生跳转，跳到父函数ebp处：

此时esp继续出栈，获取return addr，eip跳转至父函数栈顶位置，跳跃后eip继续从esp所含数据开始执行命令，就可以完成eip的函数执行步骤即：（此处要注意ret：即pop eip）

 如此往复，压栈出栈就能构成函数之间的跳转执行，重点理解三个寄存器在函数调用中的具体步骤。

栈溢出漏洞的基本方向是：父函数（caller）在调用子函数（callee）结束时，会取子函数的return address，这个地址中保存着父函数的基地址。即：在一个函数调用完以后，就要删除此时的栈帧并将Return Address的值返回rip/eip，以达到返回父函数的操作层面，所以我们只要设法将Return Address的值改变至危险函数的地址，我们就可以通过这个危险函数获得系统的控制权。

核心目标：将Return Address的值改变。

栈溢出方式：冲破漏洞处地址，再根据栈往高地址反写数据，覆盖掉callee的数据，最后一个数据包写入Return Address,即将我们需要运行的函数的地址写入Return Address。

正常情况如图所示，对某变量VAR进行数据写入，正常数据写入后EIP将指向pre ebp、return addr，当我们将VAR覆盖完毕后，如果程序中对VAR没有控制可输入量大小，如VAR空间分配为0X80，此时输入数据超过0X80后，剩余数据会往高地址覆盖，当继续输入4个字节，可覆盖掉pre ebp栈空间，继续输入4个地址，进一步会覆盖return addr。即：

payload = p32(0x80 + 4) + p32(后门函数地址)

return addr 是eip读取后会跳转执行的函数地址，即当我们将所想要的地址给与到return addr处时，会使程序执行我们所想要的后门函数。

 buuctf rip 1题目通过IDA逆向：

 可以知道gets函数漏洞，此时读取s地址空间

可知有15个字节，再对函数进行整体查找可以发现有后门函数fun(),地址为0x401186：

推测：构造payload=b'A'*(15+8) +p64（0x401186+1）进行攻击，开始攻击：

(64位系统下payload有时候不能直接生效，需要进行栈对齐，详见在一些64位的glibc的payload调用system函数失败问题 – Ex个人博客)

 寻找ret地址：

 得如下exp:

至此完成exp