esp與剛開始不一樣，還沒有平衡堆棧，由上圖下面的add esp, 8用于平衡堆棧 ， 這種方式就叫外平棧 。

文章插圖


文章插圖
要覆蓋返回地址，即ebp + 4，覆蓋了ebp之后還需要再覆蓋ebp + 4的位置，64位下為ebp + 8，如上圖所示401171即為返回地址

leave指令相當于這兩條指令：movl %ebp, %esp即令esp=ebppopl %ebp 即 ebp = M[esp]，esp = esp + 4

裸函數示例
int __declspec(naked) plus(){__asm{//在函數調用之前會先push 1 push 2(傳參數)call后會執行push 返回地址//保留調用前的棧底push ebp//提升堆棧mov ebp,espsub esp,0x40//保留現場push ebxpush esipush edi//填充緩沖區主要用于存儲函數的局部變量mov eax,0xccccccccmov ecx,0x10// 之所以是10 是因為之前提升堆棧0x40 / 4 = 10棧一個格四個字節lea edi,dword ptr ds:[ebp-0x40]rep stosd //每次填充四個字節，重復16次//函數的核心功能ebp + 0x4為返回地址mov eax,dword ptr ds:[ebp+0x8]//把第一個參數給eaxebp+0x4為函數返回地址add eax,dword ptr ds:[ebp+0xc]//第二個參數 + eax -> eax//恢復現場pop edi// 取出棧頂給edi，然后esp+4pop esi// 取出棧頂給esi，然后esp+4pop ebx// 取出棧頂給ebx，然后esp+4//降低堆棧mov esp,ebppop ebp//恢復棧底，剛開始ebp保留過ret//相當于pop eip 把函數返回地址401171給eip然后 rsp + 4}}//裸函數，系統不會生成任何指令，調用時會出錯，會導致指令跳轉后回不來，往往需要自己寫入匯編指令Pwntools用法參考手冊

• 連接：本地process()、遠程remote( , )；對于remote函數可以接url并且指定端口
  
• 數據處理：主要是對整數進行打包：p32、p64是打包為二進制 ， u32、u64是解包為二進制
  
• 設置目標系統架構及操作系統
  >>> context.arch= 'i386'>>> context.os= 'linux'>>> context.endian= 'little'>>> context.word_size = 32當然 ， 你也可以一次性設置好這些變量：
  >>> asm('nop')'\x90'>>> context(arch='arm', os='linux', endian='big', word_size=32)>>> asm('nop')'\xe3 \xf0\x00'
• IO模塊：這個比較容易跟zio搞混 ， 記住zio是read、write ， pwn是recv、send
  

send(data): 發送數據sendline(data) : 發送一行數據，相當于在末尾加\nrecv(numb=4096, timeout=default) : 給出接收字節數,timeout指定超時recvuntil(delims, drop=False) : 接收到delims的pattern（以下可以看作until的特例）recvline(keepends=True) : 接收到\n，keepends指定保留\nrecvall() : 接收到EOFrecvrepeat(timeout=default) : 接收到EOF或timeoutinteractive() : 與shell交互

• ELF模塊：獲取基地址、獲取函數地址（基于符號）、獲取函數got地址、獲取函數plt地址

e = ELF('/bin/cat')>>> print hex(e.address)# 文件裝載的基地址0x400000>>> print hex(e.symbols['write']) # 函數地址0x401680>>> print hex(e.got['write']) # GOT表的地址0x60b070>>> print hex(e.plt['write']) # PLT的地址0x401680>>> print hex(e.search('/bin/sh').next())# 字符串/bin/sh的地址

• 在編寫exp時，最常見的工作就是在整數之間轉換，而且轉換后，它們的表現形式就是一個字節序列，pwntools提供了打包函數 。

p32/p64: 打包一個整數 ， 分別打包為32位或64位u32/u64: 解包一個字符串，得到整數# 比如將0xdeadbeef進行32位的打包，將會得到'\xef\xbe\xad\xde'（小端序）payload = p32(0xdeadbeef)#pack 32 bits numberpayload = p64(0xdeadbeef)#pack 64 bits number

• 匯編和反匯編
  # 匯編：>>> asm('nop')'\x90'>>> asm('nop', arch='arm')'\x00\xf0 \xe3'# 可以使用context來指定cpu類型以及操作系統>>> context.arch= 'i386'>>> context.os= 'linux'>>> context.endian= 'little'>>> context.word_size = 32# 反匯編>>> print disasm('6a0258cd80ebf9'.decode('hex'))0:6a 02push0x22:58popeax3:cd 80int0x805:eb f9jmp0x0注意，asm需要binutils中的as工具輔助 ， 如果是不同于本機平臺的其他平臺的匯編，例如在我的x86機器上進行mips的匯編就會出現as工具未找到的情況，這時候需要安裝其他平臺的cross-binutils 。
  
• Shellcode生成器
  >>> print shellcraft.i386.nop().strip('\n')nop>>> print shellcraft.i386.linux.sh()/* push '/bin///sh\x00' */push 0x68push 0x732f2f2fpush 0x6e69622f...
  • 上一頁
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 下一頁

  推薦閱讀

  • 

    交通事故索賠需要準備哪些誤工費證據
  • 

    光遇12月3日復刻旅行先祖兌換物品要多少蠟燭,高手進階
  • 

    飛機托運酒水規定2022 國內飛機能帶酒嗎？
  • 

    宋媽后來怎么樣了 宋媽后來怎樣了
  • 

    知名女星李羲兒車禍縫54針！一臉血跡躺倒在地，車子翻轉掉落田溝 ...
  • 

    2021年正月初六出生的寶寶名字如何取,簡約大氣旺生肖
  • 

    今日查詢價格3011元，今日查詢價格3011元寶？
  • 

    關于閃長巖簡述 閃長巖
  • 

    當一個女人不愛你了會有什么表現
  • 

    造夢西游4手機版龍幣怎么得到
  • 

    職場女強人的星座女巨蟹女
  • 

    報考的c1考了科目一可以改成c2嗎 報的是c1,考了科一,想換成c2可以不
  • 

    李廣的生平事跡 李廣人物介紹
  • 

    平凡的世界讀書心得初二優秀作文700字
  • 

    2006年屬狗的是什么命五行屬什么
  • 

    vivox21耗電快怎么辦 vivox21耗電快怎么解決
  • 

    保衛蘿卜深海16攻略 保衛蘿卜深海攻略2關
  • 

    關于跑跑姜餅人簡述 跑跑姜餅人
  • 

    淡豆豉煮水喝有什么作用與功效 淡豆豉煮水喝有什么作用
  • 

    四個木念什么 四個木念什么呀

  
  

  • 四十一 增刪查改分頁 Java開發學習----MyBatisPlus標準數據層開發
  • 中 學習ASP.NET Core Blazor編程系列十——路由
  • CC1,3,6回顧
  • 圖學習【參考資料2】-知識補充與node2vec代碼注解
  • 二十四 設計模式學習：Spring 中使用到的設計模式
  • Java安全之CC3
  • TensorFlow深度學習！構建神經網絡預測股票價格！?
  • JUC學習筆記——共享模型之管程
  • Seata Server 1.5.2 源碼學習
  • 2022極端高溫！機器學習如何預測森林火災？? 萬物AI