为什么push DWORD 指令等于8 个字节? [复制]

2023-12-06

编写shellcode:

BITS 64
xor rax, rax
push rax
push dword "n/sh"
push dword "//bi"
mov rdi, rsp
push rax
mov rdx, rsp
push rdi
mov rsi, rsp
mov al, 59
syscall

当代码执行到推送指令时,奇怪的事情就会发生。字符串/bin/sh必须按顺序写入堆栈,但在第一条指令之后(以及第二条指令之后),这些值按 8 字节边界相等,这会阻止形成字符串,并且我指定了DWORD

gdb:

=> 0x7fffffffea44:  push   0x68732f6e
   0x7fffffffea49:  push   0x69622f2f
   0x7fffffffea4e:  mov    rdi,rsp
   0x7fffffffea51:  push   rax
   0x7fffffffea52:  mov    rdx,rsp
   0x7fffffffea55:  push   rdi
   0x7fffffffea56:  mov    rsi,rsp
   0x7fffffffea59:  mov    al,0x3b
-----------------------------------------------------------------------------------------------------------------------------
0x00007fffffffea44 in ?? ()
gdb$ ni
Warning:
Cannot insert breakpoint 0.
Cannot access memory at address 0x68732f6e

-----------------------------------------------------------------------------------------------------------------------[regs]
  RAX: 0x0000000000000000  RBX: 0x0000000000000000  RBP: 0xFFFFFFFFFFFFFFFF  RSP: 0x00007FFFFFFFEA80  o d I t s Z a P c 
  RDI: 0x00007FFFFFFFEA40  RSI: 0x0000555555556021  RDX: 0x0000000000000079  RCX: 0x40FFFFFFFFFFFFFF  RIP: 0x00007FFFFFFFEA49
  R8 : 0x0000000000000000  R9 : 0x00007FFFF7FE14C0  R10: 0xFFFFFFFFFFFFF8F5  R11: 0x00007FFFF7E53B60  R12: 0x0000555555555060
  R13: 0x0000000000000000  R14: 0x0000000000000000  R15: 0x0000000000000000
  CS: 0033  DS: 0000  ES: 0000  FS: 0000  GS: 0000  SS: 002B                
-----------------------------------------------------------------------------------------------------------------------[code]
=> 0x7fffffffea49:  push   0x69622f2f
   0x7fffffffea4e:  mov    rdi,rsp
   0x7fffffffea51:  push   rax
   0x7fffffffea52:  mov    rdx,rsp
   0x7fffffffea55:  push   rdi
   0x7fffffffea56:  mov    rsi,rsp
   0x7fffffffea59:  mov    al,0x3b
   0x7fffffffea5b:  syscall 
-----------------------------------------------------------------------------------------------------------------------------
0x00007fffffffea49 in ?? ()
gdb$ ni
Warning:
Cannot insert breakpoint 0.
Cannot access memory at address 0x69622f2f

-----------------------------------------------------------------------------------------------------------------------[regs]
  RAX: 0x0000000000000000  RBX: 0x0000000000000000  RBP: 0xFFFFFFFFFFFFFFFF  RSP: 0x00007FFFFFFFEA78  o d I t s Z a P c 
  RDI: 0x00007FFFFFFFEA40  RSI: 0x0000555555556021  RDX: 0x0000000000000079  RCX: 0x40FFFFFFFFFFFFFF  RIP: 0x00007FFFFFFFEA4E
  R8 : 0x0000000000000000  R9 : 0x00007FFFF7FE14C0  R10: 0xFFFFFFFFFFFFF8F5  R11: 0x00007FFFF7E53B60  R12: 0x0000555555555060
  R13: 0x0000000000000000  R14: 0x0000000000000000  R15: 0x0000000000000000
  CS: 0033  DS: 0000  ES: 0000  FS: 0000  GS: 0000  SS: 002B                
-----------------------------------------------------------------------------------------------------------------------[code]
=> 0x7fffffffea4e:  mov    rdi,rsp
   0x7fffffffea51:  push   rax
   0x7fffffffea52:  mov    rdx,rsp
   0x7fffffffea55:  push   rdi
   0x7fffffffea56:  mov    rsi,rsp
   0x7fffffffea59:  mov    al,0x3b
   0x7fffffffea5b:  syscall 
   0x7fffffffea5d:  (bad)  
-----------------------------------------------------------------------------------------------------------------------------
0x00007fffffffea4e in ?? ()
gdb$ x/s $rsp
0x7fffffffea78: "//bi"
gdb$ x/16xb $rsp
0x7fffffffea78: 0x2f    0x2f    0x62    0x69    0x00    0x00    0x00    0x00
0x7fffffffea80: 0x6e    0x2f    0x73    0x68    0x00    0x00    0x00    0x00
gdb$ 

我怎么解决这个问题?


None

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

为什么push DWORD 指令等于8 个字节? [复制] 的相关文章

  • 了解汇编语言中的 cmpb 和循环

    我有一个函数 string length 它具有以下汇编代码 0x08048e90 lt 0 gt push ebp 0x08048e91 lt 1 gt mov esp ebp 0x08048e93 lt 3 gt mov 0x8 ebp
  • 直接写入 ARM Cortex A8 分支预测器中的全局历史缓冲区 (GHB) 或 BTB?

    我有兴趣直接修改 Cortex A8 上的 BTB 分支目标缓冲区 和 GHB 的内容 ARM 手册上有这样的内容 要在指令端 GHB 数组中写入一项 例如 LDR R0 0x3333AAAA MCR p15 0 R0 c15 c1 0 M
  • 优化算术编码器

    我正在优化名为的 C 库的编码步骤PackJPG http www elektronik htw aalen de packjpg 我使用 Intel VTune 对代码进行了分析 发现当前的瓶颈是 PackJPG 使用的算术编码器中的以下
  • 内联汇编跳转后抛出 C++ 异常

    我有一些奇怪的自修改代码 但其根源是一个非常简单的问题 我希望能够执行jmp or a call 然后从该任意点抛出一个异常并让包含该异常的 try catch 块捕获该异常jmp call 但是当我这样做时 在 gcc 4 4 1 x86
  • 在 AT&T x86 程序集中查找转义字符

    问题一 我有以下汇编代码 其目的是循环输入字符串 并计算它遇到的转义字符 的数量 globl sprinter data escape string string num escape long 0 num characters long
  • LDR指令如何将常量加载到寄存器中?

    我刚刚读了一本ARM指令书 看到一条指令我无法解释 It says LDR将 32 位常量加载到r0登记 LDR r0 pc const number 8 pc const number DCD 0xff00ffff 我不明白什么 pc c
  • 将 C 函数与 ARM 汇编结合使用

    我见过人们在代码中使用 C 库中的 printf 的示例 如下所示 data balign 4 hello asciz Hello n text global main func main main ldr r0 hello msg bl
  • 编译器在函数名称前添加下划线前缀的原因是什么?

    当我看到 C 应用程序的汇编代码时 如下所示 emacs hello c clang S O hello c o hello s cat hello s 函数名称以下划线作为前缀 例如callq printf 为什么这样做以及它有什么优点
  • 使用`esp*scale 时寻址内存时出错

    内存寻址一般形式 发现了here https stuff mit edu afs athena project rhel doc OldFiles 3 rhel as en 3 i386 memory html is base index
  • C 结构如何返回[重复]

    这个问题在这里已经有答案了 我想知道如何返回一个结构 例如 typedef struct number uint64 t a b c d number number get number number res 0 0 0 0 return
  • 汇编:使用数据段寄存器(DS)

    目前我正在学习 x86 汇编 因为我喜欢微控制器编程 所以我熟悉汇编 目前我一直在到处寻找这个问题的答案 但似乎找不到它 DS寄存器 我知道它应该指向我程序中的全局数据 但我不知道知道它到底是如何工作的 我正在使用 NASM 在大多数简单的
  • 两个 16 位数字相乘 - 为什么结果是 32 位长? [关闭]

    Closed 这个问题不符合堆栈溢出指南 help closed questions 目前不接受答案 如果我将两个 16 位数字相乘 结果将是 32 位长 但为什么会这样呢 对此有何明确解释 为了我的正确理解 其计算方法是 n 位数字乘以
  • 如何在 Ubuntu x64 中使用 ptrace 插入 int3?

    我正在努力追随本指南 http eli thegreenplace net 2011 01 27 how debuggers work part 2 breakpoints 通过设置断点达到相同的结果 唯一的区别是我在 x64 系统上 所以
  • 是否可以调用驻留在 exe 中的非导出函数?

    我想调用驻留在第 3 方 exe 中的函数并获取其结果 好像有should是一种方法 只要我知道函数地址 调用约定等 但我不知道如何 有谁知道我会怎么做 我意识到任何解决方案都是非标准的黑客 但有must成为一种方式 我的非恶意用例 我正在
  • Mac OS X 上的 64 位程序集运行时错误:“dyld:无可写段”和“Trace/BPT trap”

    当尝试运行以下汇编程序时 globl start start pushq 0x0 movq 0x1 rax subq 0x8 rsp int 0x80 我收到以下错误 dyld no writable segment Trace BPT t
  • (nasm x86实模式)如何在引导加载的扇区中写入/读取字符串?

    我正在使用 NASM 为 x86 实模式编写一个最小操作系统 用于教育目的 我想使用 512 字节引导扇区加载包含操作系统其余部分的更大扇区 我已经成功创建了一个加载另一个扇区的引导扇区 但我似乎无法在加载的扇区中写入 读取字符串 这是我的
  • 为什么此 NASM 代码会打印我的环境变量?

    本学期我刚刚完成计算机体系结构课程 除其他外 我们一直在涉足 MIPS 汇编并在 MARS 模拟器中运行它 今天 出于好奇 我开始在我的 Ubuntu 机器上摆弄 NASM 基本上只是将教程中的内容拼凑起来 并感受一下 NASM 与 MIP
  • 该程序如何知道该字符串存储的确切位置?

    我用 Radare2 反汇编了一个 C 程序 在这个程序中有很多调用scanf像下面这样 0x000011fe 488d4594 lea rax var 6ch 0x00001202 4889c6 mov rsi rax 0x0000120
  • 在汇编中,指令指定数据类型吗?

    我是汇编语言编程 x86 的初学者 以下说法是否正确 在汇编中 BYTE WORD DWORD 等数据类型分别表示 8 位 16 位和 32 位模式 而不仅仅是整数 它们本身没有意义 它们只是位模式 使用它们的指令赋予了它们意义 汇编 代码
  • 将 1 字节立即值添加到 2 字节内存位置

    The add说明文档来 自这一页 http x86 renejeschke de html file module x86 id 5 html说如下 请注意我突出显示的两条说明 我在 NASM 中尝试了以下代码 符合第一个突出显示的指令

随机推荐

  • lambda 函数可以模板化吗?

    在 C 11 中 有没有办法模板化 lambda 函数 或者它本身就太具体而无法模板化 我知道我可以定义一个经典的模板化类 函子 但问题更像是 该语言是否允许模板化 lambda 函数 2018 年更新 C 20 将附带模板化和概念化的 l
  • 在WPF中使用C#代码删除IE缓存和Cookie

    我在 WPF 应用程序中使用 WebBrowser 控件 并且希望从代码中清除 IE cookie 缓存 我尝试使用以下代码 string Cookies System IO Directory GetFiles Environment G
  • 从java中的类对象构造类实例

    我需要从类对象数组创建类的新实例 如下所示 static Class spells Fireball class Iceball class 所以当我想调用火球时我应该能够做类似的事情 Spell Currentspell new spel
  • 如何获取本地安装的 Python 模块的列表?

    如何获取我的计算机上安装的 Python 模块的列表 help modules 在 Python shell 提示符中
  • ggplot 多线图上缺少图例

    我正在从包含每年最小值 平均值和最大值的数据框中绘制年度温度数据 我一直无法在我的情节上找到传说 理想情况下 图例应具有图例标题并将线条颜色标记为 最小值 平均值 和 最大值 任何帮助 将不胜感激 数据看起来像 示例 数据名为 s 示例数据
  • 从阅读器中删除或忽略字符

    我正在将所有字符读入流中 我正在使用 inputStream read 读取它 这是 java io Reader 输入流 读入缓冲区时如何忽略 等特殊字符 code private final void FillBuff throws j
  • 如何在地图中平滑移动标记而不闪烁

    每次我收到服务器请求以获取设备的新位置并更新地图上标记的位置时 我的标记都会出现问题 当我的车辆设备移动时 标记将跳转到新位置并闪烁 我怎样才能避免这种情况不闪烁 或者我的标记可以顺利移动 先感谢您 var map var marker v
  • 需要通过 Union() 中的匿名类型显式转换

    我有 2 个 var objects 通过这两个函数检索 private IQueryable
  • 为什么这个正则表达式中的后向表达式没有“明显的最大长度”?

    给定一个包含一定数量的方括号和其他字符的字符串 我想找到所有右方括号 前面有一个左方括号和一些字母 例如 如果字符串是 abc 123 abc 我只想找到第二个右括号 以下正则表达式 会找到第二个右括号 也是最后一个 abc 123 abc
  • 在屏幕上的随机位置生成一个圆圈

    我一直在绞尽脑汁 到处搜索 试图找出如何在屏幕上生成一个随机位置来生成一个圆圈 我希望这里有人可以帮助我 因为我完全被难住了 基本上 我试图创建一个形状 当用户触摸时 该形状总是在屏幕上的随机位置生成 override func touch
  • Rails 将普通旧字符串作为 BLOB 保存到 SQlite?我快要疯了!

    我不知道为什么会发生这种情况 但 Rails 正在将字符串作为 BLOB 保存到 SQLite 在我的应用程序中创建新用户之前 我会先获取他们的纯字符串密码并对其进行 MD5 然后再保存到数据库 class User lt ActiveRe
  • OptaPlanner 在 CartesianProductMoveSelector 创建的 CompositeMove 上抛出 IllegalStateException

    所以基本上我的问题是 OptaPlanner 抛出这个 java lang IllegalStateException The entity has a variable previousEntry with value which has
  • 将字符(与传递字符串)传递给 EL 中的支持 bean 方法

    我想直接从命令按钮调用设置器并传递一个值 我的问题是 如果将其作为字符串传回 则设置器需要一个字符和 jsf 有没有一种好方法可以在前端 修复 这个问题 而不必在我的支持 bean 上超载 setter 命令按钮
  • PHP脚本内存泄漏问题

    我正在从命令行运行下面的 PHP 代码 问题是 它的内存消耗远远超过了应有的水平 我一生都无法弄清楚内存被消耗在哪里 for i 0 i lt 100 i classObject classObjects i echo i memory g
  • PhantomJS 的行为与 Firefox webdriver 不同

    我正在编写一些使用 Selenium Web 驱动程序 Firefox 的代码 大多数事情似乎都有效 但是当我尝试将浏览器更改为 PhantomJS 时 它的行为开始有所不同 我正在处理的页面需要缓慢滚动才能加载越来越多的结果 这可能就是问
  • Haskell 在递归函数中标记项目

    一般来说 我对 Haskell 和函数式编程还很陌生 所以如果这个问题看起来简单或愚蠢 请原谅我 我有一个简单语言的解析器 可以生成抽象语法树 为了展平 AST 将 while 和 if 语句转变为跳转 我需要在树中放置标签 问题是我不知道
  • 如何实现不拉伸的 android:background?

    我找到了这个很棒的线索描述如何 鱼与熊掌兼得 即使用图像作为Button代替ImageButton 这不允许SetText 调整大小等 这是通过使用 View 属性来实现的 android background drawable bgima
  • C中数字字符的数值

    我刚刚开始阅读C 编程语言我无法理解其中的一部分 以下是第 24 页的摘录 include
  • 如何从 Android 中的 PlaceAutocompleteFragment 中删除搜索图标

    我正在使用 PlaceAutocompleteFragment 来搜索地点 下面是我的xml代码
  • 为什么push DWORD 指令等于8 个字节? [复制]

    这个问题在这里已经有答案了 编写shellcode BITS 64 xor rax rax push rax push dword n sh push dword bi mov rdi rsp push rax mov rdx rsp pu