标签:上传 inpu 2016年 man 代码片段 listt 科学家 交互 格式
cp、mv、ls都不是管道命令。>:将命令输出写入文件或设备,而不是命令提示符或句柄<:从文件而不是从键盘或句柄读入命令输入>>:将命令输出添加到文件末尾而不删除文件中已有的信息>&:将一个句柄的输出写入到另一个句柄的输入中<&:从一个句柄读取输入并将其写入到另一个句柄输出中NOP:NOP指令即“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。(机器码:90)JNE:条件转移指令,如果不相等则跳转。(机器码:75)JE:条件转移指令,如果相等则跳转。(机器码:74)JMP:无条件转移指令。段内直接短转Jmp short(机器码:EB)段内直接近转移Jmp near(机器码:E9)段内间接转移Jmp word(机器码:FF)段间直接(远)转移Jmp far(机器码:EA)CMP:比较指令,功能相当于减法指令,只是对操作数之间运算比较,不保存结果。cmp指令执行后,将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。EAX:通用寄存器。相对其他寄存器,在进行运算方面比较常用。在保护模式中,也可以作为内存偏移指针(此时,DS作为段 寄存器或选择器)EBX:通用寄存器。通常作为内存偏移指针使用(相对于EAX、ECX、EDX),DS是默认的段寄存器或选择器。在保护模式中,同样可以起这个作用。ECX:通用寄存器。通常用于特定指令的计数。在保护模式中,也可以作为内存偏移指针(此时,DS作为 寄存器或段选择器)。EDX:通用寄存器。在某些运算中作为EAX的溢出寄存器(例如乘、除)。在保护模式中,也可以作为内存偏移指针(此时,DS作为段 寄存器或选择器)。ESI:通常在内存操作指令中作为“源地址指针”使用。当然,ESI可以被装入任意的数值,但通常没有人把它当作通用寄存器来用。DS是默认段寄存器或选择器。EDI:通常在内存操作指令中作为“目的地址指针”使用。当然,EDI也可以被装入任意的数值,但通常没有人把它当作通用寄存器来用。DS是默认段寄存器或选择器。EBP:这也是一个作为指针的寄存器。通常,它被高级语言编译器用以建造‘堆栈帧‘来保存函数或过程的局部变量,不过,还是那句话,你可以在其中保存你希望的任何数据。SS是它的默认段寄存器或选择器。在正式开始实践之前,先对pwn1文件做个备份,以便修改后可以及时恢复到初始状态:
使用指令objdump -d 20145215 | more对目标文件进行反汇编,查看三个核心函数的反汇编结果:
接下来就对可执行文件进行修改,先输入指令vi 20145215,用vim编辑器查看可执行文件20145215;接着输入:%!xxd,将显示模式切换为16进制模式;输入/e8 d7查找要修改的内容:
i键将模式改为插入模式,修改d7为c3;输入:%!xxd -r转换16进制为原格式,然后存盘退出此时再反汇编看一下,发现原汇编指令已经被成功修改:
运行下改后的代码,得到了shell提示符:
进过尝试发现,当输入达到28字节时产生溢出Segmentation fault:
接下来我们通过gdb调试来确认输入字符串的哪几个字符会覆盖到返回地址,输入info r查看各寄存器的值:
我们要构造一串特殊的输入,由于getShell的内存地址是0x0804847d,而其对应的ASCII没有字符,所以我们通过一个简单的perl脚本语言来构造输入值,输入:perl -e ‘print "12345678123456781234567812345678\x7d\x84\x04\x08\x0a"‘ > input,使用16进制查看指令xxd查看input文件的内容是否如预期:
然后将input的输入,通过管道符“|”,作为可执行文件20145215的输入:
