arm shellcode 编写详析1

在编写arm shell code 之前,先介绍下arm中r0-r15寄存器的主要用途: 
Register    Alt. Name       Usage
r0          a1              First function argument Integer function result Scratch register
r1          a2              Second function argument Scratch register
r2          a3              Third function argument Scratch register
r3          a4              Fourth function argument Scratch registerr4          v1              Register variable
r5          v2              Register variable
r6          v3              Register variable
r7          v4              Register variable
r8          v5              Register variable
r9          v6
rfp                         Register variable Real frame pointerr10         sl              Stack limit
r11         fp              Argument pointer
r12         ip              Temporary workspace
r13         sp              Stack pointer
r14         lr              Link register Workspace
r15         pc              Program counte
r0-r3 一般用于传递函数参数,从左到右分别为参数1-参数4。r4-r9一般作为临时变量。在另一方面r7用来存储syscall的地址r13指向栈顶, r15指向下一条执行指令的地址。如果我们想要编写shellcode功能函数的话,我们需要先查找 syscall的地址,譬如_write和_exit函数,我们可以查找NDK里面的文件\android-ndk-r10e\platforms\android-19\arch-arm\usr\include\asm\unistd.h里面有: 
#define __NR_write                  (__NR_SYSCALL_BASE+  4)
#define __NR_writev                 (__NR_SYSCALL_BASE+146)
#define __NR_pwrite64               (__NR_SYSCALL_BASE+181)
#define __NR_pciconfig_write        (__NR_SYSCALL_BASE+273)
#define __NR_exit                   (__NR_SYSCALL_BASE+  1)
#define __NR_exit_group             (__NR_SYSCALL_BASE+248)
然后我们可以建立maintest.s文件里面简单的用上_write和_exit 
.section .text
.global _start_start:# _write()mov     r2, #16      //sizeadr     r1, ascii    //void* bufmov     r0, #0x1     //fdmov     r7, #0x4     //syscall addrsvc     0# _exit()sub r0, r0, r0mov     r7, $0x1svc 0ascii:
    .string "hello shell\n".balign 4
在当前目录建立一个编译的批处理命令: 
E:\andorid\android-ndk-r10e\toolchains\arm-linux-androideabi-4.8\prebuilt\windows-x86_64\arm-linux-androideabi\bin\as.exe -o .\maintest.o .\maintest.s
E:\andorid\android-ndk-r10e\toolchains\arm-linux-androideabi-4.8\prebuilt\windows-x86_64\arm-linux-androideabi\bin\ld.exe -o .\maintest .\maintest.o
adb push E:\task\dirtycow\androidtest\maintest /data/local/tmp/
adb shell "chmod 777 /data/local/tmp/maintest"
pause
运行结果: 
E:\task\dirtycow\androidtest>E:\andorid\android-ndk-r10e\toolchains\arm-linux-an
droideabi-4.8\prebuilt\windows-x86_64\arm-linux-androideabi\bin\as.exe -o .\main
test.o .\maintest.s
.\maintest.s: Assembler messages:
.\maintest.s: Warning: end of file not at end of a line; newline insertedE:\task\dirtycow\androidtest>E:\andorid\android-ndk-r10e\toolchains\arm-linux-an
droideabi-4.8\prebuilt\windows-x86_64\arm-linux-androideabi\bin\ld.exe -o .\main
test .\maintest.oE:\task\dirtycow\androidtest>adb push E:\task\dirtycow\androidtest\maintest /dat
a/local/tmp/
[100%] /data/local/tmp/maintestE:\task\dirtycow\androidtest>adb shell "chmod 777 /data/local/tmp/maintest"E:\task\dirtycow\androidtest>pause
请按任意键继续. . .
C:\Users\Administrator>adb shell
shell@pisces:/ $ /data/local/tmp/maintest
hello shellshell@pisces:/ $



 












本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/499598.shtml


如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!











相关文章










arm shellcode 编写详析2








arm shellcode 编写详析2




前一篇中介绍了arm shellcode基本用法,现在涉及到arm和thumb状态 
在前一篇中默认为arm32模式: text:00008074 ; Segment type: Pure code
.text:00008074                 AREA .text, CODE
.text:00008074                 ; ORG 0x8074
.text:0000807…




阅读更多...

















openssl c++实现bouncycastle中AES加解密








openssl c++实现bouncycastle中AES加解密




0x01 为什么要用bouncycastle 先说说JCE(Java Cryptography Extension)是一组包,它们提供用于加密、密钥生成和协商以及 Message Authentication Code(MAC)算法的框架和实现。 它提供对对称、不对称、块和流密码的加密…




阅读更多...

















zlib数据格式及解压缩实现








zlib数据格式及解压缩实现




0x01 zlib和其他压缩的魔术头 一般来说压缩文件都有个魔术头,用于区分不同的压缩文件对应不同的解压缩算法。 7z文件:  00000000   37 7A BC AF 27 1C 00 03  CD F7 CC 2E 66 6A 33 00   7z集   枉?fj3  tar.xz文件 00000000   FD 37 7A 58 5A 00 00 04  E6 D6 B4 …




阅读更多...

















python3 Crypto环境








python3 Crypto环境




前言 最开始想尝试在windows下面安装python3.6,虽然python安装成功,但在安装Cryto模块用pip3 install pycrypto老是会报错。老夫搞了半天,最终决定在linux下面去做。  
以下流程限于linux系统: 0x00 安装python apt-get install p…




阅读更多...

















win10用Eclipse+OpenJTag对S3C2440开发板进行动态调试








win10用Eclipse+OpenJTag对S3C2440开发板进行动态调试




0 背景在S3C2400开发板裸板调试程序中,常用调试手段有三种:点灯法,串口打印,OpenOCD。OpenOCD又分命令行和图形界面(Eclipse)。点灯发和串口打印调试效率都很低,若能掌握第三种调试方法,会让开发过程变得高…




阅读更多...

















无源码情况下动态调试混淆的java程序








无源码情况下动态调试混淆的java程序




逆向工程JAVA通常是非常简单的,因为优秀的JAVA二进制反编译器已经存在多年。类似于jd-gui工具和恢复java二进制文件源代码功能也做的非常出色的。在这种情况下我们需要动态调试java反编译java程序的情况下,可以从反编译导出然后导入java IDE如Eclipse作为…




阅读更多...

















mdb access2000 中文密码破解








mdb access2000 中文密码破解




access数据库破解工具很多,密码能不用费多大功夫就能破解出来,但是对于包含特殊字符包括中文字符的密码,就算破解出来后想通过数据库工具查看,复制粘贴到密码输入框实际都起不了作用 
已迁移到:分享最前沿的安全信息-a…




阅读更多...

















OpenJTAG调试S3C2440裸板程序








OpenJTAG调试S3C2440裸板程序




0x00 懵逼当你写好的初始化代码head.S和链接脚本uart.lds共同编译出来的*.bin,烧录到NandFlash中的时候,发现串口输出一片空白,这时你的想法是什么,砸电脑还是干点其他有用的事?还是老实的搭建调试环境吧,上…




阅读更多...

















APK逆向之静态分析篇








APK逆向之静态分析篇




0x00 APK包结构0x01 APK反编译-apktool啰嗦一句,反编译之前配置好java环境,具体JDK安装过程,请参照之前的文章。下载最新版本的apktool.jar,并在当前目录下编辑脚本apktool.bat,内容如下:
echo off
set PAT…




阅读更多...

















S3C2440 lds链接脚本解析








S3C2440 lds链接脚本解析




1.  SECTIONS到底意味着什么在一个裸版程序里面含有*.lds文件,而lds文件意味着如果你的程序烧录在nandflash,那在nandflash的内存将根据lds文件指定偏移来分布,下面从不同场景来解释SECTIONS的内容。2.  小于4K程序若程序小于4K,那…




阅读更多...

















安装qt5.9.5 windows环境








安装qt5.9.5 windows环境




下载:用国外链接下载慢,还是乖乖用国内链接地址吧,我这里5.9.5http://mirrors.ustc.edu.cn/qtproject/archive/qt/5.9/5.9.5/qt-opensource-windows-x86-5.9.5.exe。安装:
在安装的时候需要创建qt账号,然后根据你的vis…




阅读更多...

















qt在visual studio 2015下的使用








qt在visual studio 2015下的使用




创建工程:
打开visual studio,按上一篇文章的方式创建新工程QtGuiApplication1,默认我们可以看到里面会出现QtGuiApplication1这个类是继承于QMainWindow这个类的。在创建过程中注意下图选项:有三个对象分别是QMainwindow&#xf…




阅读更多...

















qt 收缩窗体








qt 收缩窗体




效果图:功能拆分图:代码:
QtStubOption.cpp
QtSubOption::QtSubOption(QWidget *parent): QLabel(parent)
{ui.setupUi(this);m_GuiShow  SHOWGUI;setMouseTracking(true);m_PicStatus[SHOWGUI]  ":/QtGuiApplication3/tile";m_Pic…




阅读更多...

















Android的ELF文件重定位详解,包括64位








Android的ELF文件重定位详解,包括64位




0x01 引言 
ELF文件格式,主要基于两种,一种是基于链接视图,链接视图即是基于节(Section)来进行解析,一种是基于执行视图,执行视图即是基于段(Segment)来进行解析。前一种是用于静态分析的时候,譬如IDA载入。…




阅读更多...

















lua安全之关于lua扩展第三方库








lua安全之关于lua扩展第三方库




android lua require第三方扩展库有三种方式: 1. 用c实现独立的lua模块作为android的第三方动态库来引入,优点是lua扩展库独立方便更新替换,缺点是需要修改虚拟机,开启宏支持dlopen调用的方式,并且还需要设置lua寻找so…




阅读更多...

















IBinder获取手机服务信息异常








IBinder获取手机服务信息异常




小米8 利用IBinder transact获取服务的接口名字,结果出现以下异常: 
W/System.err: java.lang.SecurityException
W/System.err:     at android.os.BinderProxy.transactNative(Native Method)
W/System.err:     at android.os.BinderProxy.transact(B…




阅读更多...

















服务动态选择域名问题








服务动态选择域名问题




服务动态选择域名三种方案: 1. 通过DNS就近调度。缺点:DNS的ip采集库维护很麻烦。优点:业务无缝接入。 
2. sim卡和语言判断国家,做国家与域名的映射,缺点:国际漫游不准确。优点:一般能准确路由…




阅读更多...

















安装openCV到VS2010,Win764位机时遇到的问题的解决办法








安装openCV到VS2010,Win764位机时遇到的问题的解决办法




安装了一天的OpenCV,终于成功了,打算把遇到的问题和解决方案记录下来,以便以后再遇到时不要重蹈覆辙。 
首先最常规的步骤就不说了,我是完全安装OpenCV中文网上的教程一步一步配置的。链接如下: 
http://wiki.opencv.o…




阅读更多...

















初学C遇到的一些知识点汇总








初学C遇到的一些知识点汇总




<span style"font-family: arial, courier new, courier, 宋体, monospace; white-space: pre-wrap;">本人是以C#为入门语言&#xff0c;现在开始学习数字图像处理&#xff0c;正在学习c语言&#xff0c;在这方面还是小白&#xff0c;所以打算把遇到的问题进行…




阅读更多...

















利用OpenCV的Haar特征目标检测方法进行人脸识别的尝试(一)








利用OpenCV的Haar特征目标检测方法进行人脸识别的尝试(一)




一、前言 
由于还处于学习阶段&#xff0c;大多数内容都是从网上学习借鉴的&#xff0c;重复的内容就不多赘述&#xff0c;只是将自己的经验和想法分享出来。感觉不错的学习资源如下  
http://www.cnblogs.com/tornadomeet/archive/2012/03/28/2420936.html 
http://www.cnblog…




阅读更多...


















最新文章


















Copyright @ 2022~2023