程序员经验分享-hwhale

为什么push DWORD 指令等于8 个字节? [复制]

2023-12-06

编写shellcode:

BITS 64
xor rax, rax
push rax
push dword "n/sh"
push dword "//bi"
mov rdi, rsp
push rax
mov rdx, rsp
push rdi
mov rsi, rsp
mov al, 59
syscall

当代码执行到推送指令时,奇怪的事情就会发生。字符串/bin/sh必须按顺序写入堆栈,但在第一条指令之后(以及第二条指令之后),这些值按 8 字节边界相等,这会阻止形成字符串,并且我指定了DWORD

gdb:

=> 0x7fffffffea44:  push   0x68732f6e
   0x7fffffffea49:  push   0x69622f2f
   0x7fffffffea4e:  mov    rdi,rsp
   0x7fffffffea51:  push   rax
   0x7fffffffea52:  mov    rdx,rsp
   0x7fffffffea55:  push   rdi
   0x7fffffffea56:  mov    rsi,rsp
   0x7fffffffea59:  mov    al,0x3b
-----------------------------------------------------------------------------------------------------------------------------
0x00007fffffffea44 in ?? ()
gdb$ ni
Warning:
Cannot insert breakpoint 0.
Cannot access memory at address 0x68732f6e

-----------------------------------------------------------------------------------------------------------------------[regs]
  RAX: 0x0000000000000000  RBX: 0x0000000000000000  RBP: 0xFFFFFFFFFFFFFFFF  RSP: 0x00007FFFFFFFEA80  o d I t s Z a P c 
  RDI: 0x00007FFFFFFFEA40  RSI: 0x0000555555556021  RDX: 0x0000000000000079  RCX: 0x40FFFFFFFFFFFFFF  RIP: 0x00007FFFFFFFEA49
  R8 : 0x0000000000000000  R9 : 0x00007FFFF7FE14C0  R10: 0xFFFFFFFFFFFFF8F5  R11: 0x00007FFFF7E53B60  R12: 0x0000555555555060
  R13: 0x0000000000000000  R14: 0x0000000000000000  R15: 0x0000000000000000
  CS: 0033  DS: 0000  ES: 0000  FS: 0000  GS: 0000  SS: 002B                
-----------------------------------------------------------------------------------------------------------------------[code]
=> 0x7fffffffea49:  push   0x69622f2f
   0x7fffffffea4e:  mov    rdi,rsp
   0x7fffffffea51:  push   rax
   0x7fffffffea52:  mov    rdx,rsp
   0x7fffffffea55:  push   rdi
   0x7fffffffea56:  mov    rsi,rsp
   0x7fffffffea59:  mov    al,0x3b
   0x7fffffffea5b:  syscall 
-----------------------------------------------------------------------------------------------------------------------------
0x00007fffffffea49 in ?? ()
gdb$ ni
Warning:
Cannot insert breakpoint 0.
Cannot access memory at address 0x69622f2f

-----------------------------------------------------------------------------------------------------------------------[regs]
  RAX: 0x0000000000000000  RBX: 0x0000000000000000  RBP: 0xFFFFFFFFFFFFFFFF  RSP: 0x00007FFFFFFFEA78  o d I t s Z a P c 
  RDI: 0x00007FFFFFFFEA40  RSI: 0x0000555555556021  RDX: 0x0000000000000079  RCX: 0x40FFFFFFFFFFFFFF  RIP: 0x00007FFFFFFFEA4E
  R8 : 0x0000000000000000  R9 : 0x00007FFFF7FE14C0  R10: 0xFFFFFFFFFFFFF8F5  R11: 0x00007FFFF7E53B60  R12: 0x0000555555555060
  R13: 0x0000000000000000  R14: 0x0000000000000000  R15: 0x0000000000000000
  CS: 0033  DS: 0000  ES: 0000  FS: 0000  GS: 0000  SS: 002B                
-----------------------------------------------------------------------------------------------------------------------[code]
=> 0x7fffffffea4e:  mov    rdi,rsp
   0x7fffffffea51:  push   rax
   0x7fffffffea52:  mov    rdx,rsp
   0x7fffffffea55:  push   rdi
   0x7fffffffea56:  mov    rsi,rsp
   0x7fffffffea59:  mov    al,0x3b
   0x7fffffffea5b:  syscall 
   0x7fffffffea5d:  (bad)  
-----------------------------------------------------------------------------------------------------------------------------
0x00007fffffffea4e in ?? ()
gdb$ x/s $rsp
0x7fffffffea78: "//bi"
gdb$ x/16xb $rsp
0x7fffffffea78: 0x2f    0x2f    0x62    0x69    0x00    0x00    0x00    0x00
0x7fffffffea80: 0x6e    0x2f    0x73    0x68    0x00    0x00    0x00    0x00
gdb$

我怎么解决这个问题?


None

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

Assembly

x8664

Shellcode

instructions

为什么push DWORD 指令等于8 个字节? [复制] 的相关文章

  • 内联汇编中的内存偏移

    在 A64 汇编器中 有不同的方法来指定地址 base 0 Simple register exclusive Immediate Offset base imm Offset Immediate Offset base Xm LSL im

  • 比较击键 - 装配 CCS64

    I want to compare keystrokes in assembly CCS64 If I type in the same key in a row I want to do something example A A do

  • 大端和小端表示

    如果我写以下内容 section data align 4 X db 1 Y dw 5 Z db 0x11 section text add dword X 0xAA000101 我试图理解大端和小端表示之间的差异 但我不明白每个表示的每个

  • 内联汇编 - cdecl 和准备堆栈

    我最近一直在尝试通过使用缓冲区和不同汇编运算符的原始十六进制等效项来实现 C 中的动态函数 为了说明一个简单的跳转 byte buffer new buffer 5 buffer 0xE9 Hex for jump uint buffer

  • NOP 雪橇如何工作?

    我找不到回答这个问题的好来源 我知道 nop sled 是一种用于规避缓冲区溢出攻击中堆栈随机化的技术 但我无法理解它是如何工作的 有什么简单的例子可以说明这种方法 128 字节 nop sled 等术语是什么意思 有些攻击包括使程序跳转到

  • 在 DLL 中,函数表的结构如何?

    我一直在研究不明确支持我的操作系统的设备库的实现 特别是 我有一个反汇编的 DLL 以及大量的支持源代码 现在 功能表 导出表是如何构造的 我的理解是 第一个结构 data部分是 RVA 表 接下来是通过索引链接到第一个地址表的字符串表 这

  • I 类型指令的 MIPS 周期数 (addi)

    So on https en wikipedia org wiki Cycles per instruction https en wikipedia org wiki Cycles per instruction它说 对于多周期MIPS

  • 如何调试 iOS 应用程序在启动时崩溃,仅在程序集文件中设置断点

    我遇到了当前正在开发的应用程序的问题 问题是应用程序在启动时在后台运行一段时间后崩溃 并且仅在这种情况下 在应用程序被杀死时启动应用程序不会导致调试器或手机崩溃 无论是否进行调试 在后台启动应用程序大约 5 10 分钟都不会导致崩溃 在后台

  • ARM 调用约定是否允许函数不将 LR 存储到堆栈中?

    正如标题所示 我在理解 ARM 架构的调用约定时遇到问题 特别是 我仍然很难知道当你调用子程序时 LR 寄存器会发生什么 我认为 当您进入子程序时 处理 LR 寄存器的最明显 最安全的方法是将其存储到堆栈中 但该行为没有出现在文档中 因此我

  • 在 REP MOVSW 之前 PUSH CS / POP DS 的目的是什么?

    为什么在下面的代码中我们压入代码段 PUSH CS 然后将其弹出到数据段 POP DS 我将这些行明确指定为 line1 和 line2 请告诉我 MOVSW 在这里是如何工作的 IF HIGHMEMORY PUSH DS MOV BX D

  • 一条指令可以同时处于两种寻址模式吗?

    我在书中读到了以下内容从头开始编程 处理器有多种不同的访问数据的方式 称为 寻址模式 最简单的模式是立即模式 其中 要访问的数据嵌入在指令本身中 例如 如果我们想将寄存器初始化为 0 而不是给出 计算机要从中读取 0 的地址 我们将指定立即

  • x86-64 上这个语句有什么问题?

    该函数的目的是获取堆栈的起始地址 unsigned long find start void asm movq rsp eax 当我编译它时 出现错误 Error suffix or operands invalid for movq mo

  • C++ 中的 CPUID 实现

    我想知道这里是否有人有一些可以从任何托管 net 语言引用的 C CPUID 实现的好示例 另外 如果情况并非如此 我是否应该注意 X86 和 X64 之间的某些实现差异 我想使用 CPUID 来获取运行我的软件的机器上的信息 崩溃报告等

  • 如何让c代码执行hex机器代码?

    我想要一个简单的 C 方法能够在 Linux 64 位机器上运行十六进制字节码 这是我的 C 程序 char code x48 x31 xc0 include

  • 为什么不能执行 mov [eax], [ebx] [重复]

    这个问题在这里已经有答案了 我可以做这个 mov eax ebx 和这个 mov eax ebx 甚至这个 mov eax ebx 但不是这个 错误C2415 mov eax ebx 只是wtf 为什么 它与 ptr1 ptr2 相同 为什

  • 如何在汇编语言中换行打印多个字符串

    我试图在汇编中的不同行上打印多个字符串 但使用我的代码 它只打印最后一个字符串 我对汇编语言非常陌生 所以请耐心等待 section text global start start mov edx len mov edx len1 mov

  • 为什么 Solaris 汇编器生成的机器代码与 GNU 汇编器在这里不同?

    我为 amd64 编写了这个小汇编文件 对于这个问题来说 代码的作用并不重要 globl fib fib mov edi ecx xor eax eax jrcxz 1f lea 1 rax ebx 0 add rbx rax xchg r

  • g++.exe 和 x86_64-w64-mingw32-g++.exe 有什么区别?

    同样的问题也适用于 gcc ar 等 在 Code Blocks 中将工具链可执行文件从 Something exe 更改为 x86 64 w64 mingw32 something exe 时 代码仍然可以完美编译 此外 32 位和 64

  • 在linux x86平台上学习ARM所需的工具[关闭]

    Closed 此问题正在寻求书籍 工具 软件库等的推荐 不满足堆栈溢出指南 help closed questions 目前不接受答案 我有一个 x86 linux 机器 在阅读一些关于 ARM 的各种信息时 我很好奇 现在我想花一些时间学

  • 从汇编程序获取命令行参数

    通读 专业汇编语言书籍 似乎它提供了用于读取命令行参数的错误代码 我纠正了一点 现在它从段错误变成了读取参数计数 然后是段错误 这是完整的代码 data output1 asciz There are d params n output2

随机推荐

  • lambda 函数可以模板化吗?

    在 C 11 中 有没有办法模板化 lambda 函数 或者它本身就太具体而无法模板化 我知道我可以定义一个经典的模板化类 函子 但问题更像是 该语言是否允许模板化 lambda 函数 2018 年更新 C 20 将附带模板化和概念化的 l

  • 在WPF中使用C#代码删除IE缓存和Cookie

    我在 WPF 应用程序中使用 WebBrowser 控件 并且希望从代码中清除 IE cookie 缓存 我尝试使用以下代码 string Cookies System IO Directory GetFiles Environment G

  • 从java中的类对象构造类实例

    我需要从类对象数组创建类的新实例 如下所示 static Class spells Fireball class Iceball class 所以当我想调用火球时我应该能够做类似的事情 Spell Currentspell new spel

  • 如何获取本地安装的 Python 模块的列表?

    如何获取我的计算机上安装的 Python 模块的列表 help modules 在 Python shell 提示符中

  • ggplot 多线图上缺少图例

    我正在从包含每年最小值 平均值和最大值的数据框中绘制年度温度数据 我一直无法在我的情节上找到传说 理想情况下 图例应具有图例标题并将线条颜色标记为 最小值 平均值 和 最大值 任何帮助 将不胜感激 数据看起来像 示例 数据名为 s 示例数据

  • 从阅读器中删除或忽略字符

    我正在将所有字符读入流中 我正在使用 inputStream read 读取它 这是 java io Reader 输入流 读入缓冲区时如何忽略 等特殊字符 code private final void FillBuff throws j

  • 如何在地图中平滑移动标记而不闪烁

    每次我收到服务器请求以获取设备的新位置并更新地图上标记的位置时 我的标记都会出现问题 当我的车辆设备移动时 标记将跳转到新位置并闪烁 我怎样才能避免这种情况不闪烁 或者我的标记可以顺利移动 先感谢您 var map var marker v

  • 需要通过 Union() 中的匿名类型显式转换

    我有 2 个 var objects 通过这两个函数检索 private IQueryable

  • 为什么这个正则表达式中的后向表达式没有“明显的最大长度”?

    给定一个包含一定数量的方括号和其他字符的字符串 我想找到所有右方括号 前面有一个左方括号和一些字母 例如 如果字符串是 abc 123 abc 我只想找到第二个右括号 以下正则表达式 会找到第二个右括号 也是最后一个 abc 123 abc

  • 在屏幕上的随机位置生成一个圆圈

    我一直在绞尽脑汁 到处搜索 试图找出如何在屏幕上生成一个随机位置来生成一个圆圈 我希望这里有人可以帮助我 因为我完全被难住了 基本上 我试图创建一个形状 当用户触摸时 该形状总是在屏幕上的随机位置生成 override func touch

  • Rails 将普通旧字符串作为 BLOB 保存到 SQlite?我快要疯了!

    我不知道为什么会发生这种情况 但 Rails 正在将字符串作为 BLOB 保存到 SQLite 在我的应用程序中创建新用户之前 我会先获取他们的纯字符串密码并对其进行 MD5 然后再保存到数据库 class User lt ActiveRe

  • OptaPlanner 在 CartesianProductMoveSelector 创建的 CompositeMove 上抛出 IllegalStateException

    所以基本上我的问题是 OptaPlanner 抛出这个 java lang IllegalStateException The entity has a variable previousEntry with value which has

  • 将字符(与传递字符串)传递给 EL 中的支持 bean 方法

    我想直接从命令按钮调用设置器并传递一个值 我的问题是 如果将其作为字符串传回 则设置器需要一个字符和 jsf 有没有一种好方法可以在前端 修复 这个问题 而不必在我的支持 bean 上超载 setter 命令按钮

  • PHP脚本内存泄漏问题

    我正在从命令行运行下面的 PHP 代码 问题是 它的内存消耗远远超过了应有的水平 我一生都无法弄清楚内存被消耗在哪里 for i 0 i lt 100 i classObject classObjects i echo i memory g

  • PhantomJS 的行为与 Firefox webdriver 不同

    我正在编写一些使用 Selenium Web 驱动程序 Firefox 的代码 大多数事情似乎都有效 但是当我尝试将浏览器更改为 PhantomJS 时 它的行为开始有所不同 我正在处理的页面需要缓慢滚动才能加载越来越多的结果 这可能就是问

  • Haskell 在递归函数中标记项目

    一般来说 我对 Haskell 和函数式编程还很陌生 所以如果这个问题看起来简单或愚蠢 请原谅我 我有一个简单语言的解析器 可以生成抽象语法树 为了展平 AST 将 while 和 if 语句转变为跳转 我需要在树中放置标签 问题是我不知道

  • 如何实现不拉伸的 android:background?

    我找到了这个很棒的线索描述如何 鱼与熊掌兼得 即使用图像作为Button代替ImageButton 这不允许SetText 调整大小等 这是通过使用 View 属性来实现的 android background drawable bgima

  • C中数字字符的数值

    我刚刚开始阅读C 编程语言我无法理解其中的一部分 以下是第 24 页的摘录 include

  • 如何从 Android 中的 PlaceAutocompleteFragment 中删除搜索图标

    我正在使用 PlaceAutocompleteFragment 来搜索地点 下面是我的xml代码

  • 为什么push DWORD 指令等于8 个字节? [复制]

    这个问题在这里已经有答案了 编写shellcode BITS 64 xor rax rax push rax push dword n sh push dword bi mov rdi rsp push rax mov rdx rsp pu

热门标签