前言

本帖记录一些常用的,效果好的 rop gadgets.

uClibc

从栈中设置$t9 并跳到 $t9 的gadgets , __thread_start 函数第二行

使用 案例

使用tips:

  • 调用函数时,进入函数内部时要求 $t9 指向函数的起始地址。
lw      $t9, arg_0($sp)

jalr    $t9

四个组合使用,调用栈中 shellcode 的 rop_gadget , 需要可以控制 $s1,

详细分析在这里

rop_gadget 1, 设置 参数一 为 1,位于 __uClibc_main ,可以使用 mipsrop.find("li $a0, 1") 查找

	LOAD:00055C60                 li      $a0, 1

	LOAD:00055C64                 move    $t9, $s1

	LOAD:00055C68                 jalr    $t9 ; sub_55960

	LOAD:00055C5C                 lui     $s0, 2

rop_gadget 2,从栈中设置寄存器,使用 mipsrop.tail() 查找

	LOAD:0001E20C                 move    $t9, $s1

	LOAD:0001E210                 lw      $ra, 0x28+var_4($sp)

	LOAD:0001E214                 lw      $s2, 0x28+var_8($sp)

	LOAD:0001E218                 lw      $s1, 0x28+var_C($sp)

	LOAD:0001E21C                 lw      $s0, 0x28+var_10($sp)

	LOAD:0001E220                 jr      $t9

	LOAD:0001E224                 addiu   $sp, 0x28

rop_gadget 3,获取栈地址,使用 mipsrop.stackfinder() 查找

	LOAD:000164C0                 addiu   $s2, $sp, 0x198+var_180

	LOAD:000164C4                 move    $a2, $v1

	LOAD:000164C8                 move    $t9, $s0

	LOAD:000164CC                 jalr    $t9 ; mempcpy

	LOAD:000164D0                 move    $a0, $s2

rop_gadget 4,通过 $t9, 跳转到 $s2,使用 mipsrop.find("move $t9, $s2") 查找, 位于 readdir

	LOAD:000118A4                 move    $t9, $s2

	LOAD:000118A8                 jalr    $t9

从栈中取数据到寄存器, opendir 函数尾部

.text:0000AA6C                 lw      $ra, 0xC0+var_4($sp)

.text:0000AA70                 lw      $s2, 0xC0+var_8($sp)

.text:0000AA74                 lw      $s1, 0xC0+var_C($sp)

.text:0000AA78                 lw      $s0, 0xC0+var_10($sp)

.text:0000AA7C                 jr      $ra

.text:0000AA80                 addiu   $sp, 0xC0

.text:0000AA80  # End of function opendir

从栈中设置基本上所有的重要寄存器,位于 scandir 或者 scandir64尾部

LOAD:00011BB0                 lw      $ra, 0x40+var_4($sp)

LOAD:00011BB4                 lw      $fp, 0x40+var_8($sp)

LOAD:00011BB8                 lw      $s7, 0x40+var_C($sp)

LOAD:00011BBC                 lw      $s6, 0x40+var_10($sp)

LOAD:00011BC0                 lw      $s5, 0x40+var_14($sp)

LOAD:00011BC4                 lw      $s4, 0x40+var_18($sp)

LOAD:00011BC8                 lw      $s3, 0x40+var_1C($sp)

LOAD:00011BCC                 lw      $s2, 0x40+var_20($sp)

LOAD:00011BD0                 lw      $s1, 0x40+var_24($sp)

LOAD:00011BD4                 lw      $s0, 0x40+var_28($sp)

LOAD:00011BD8                 jr      $ra

LOAD:00011BDC                 addiu   $sp, 0x40

LOAD:00011BDC  # End of function scandir

MIPS rop gadgets记录贴&&持续更新的更多相关文章

  1. OpenFlow1.3.3 学习记录(持续更新)

    OpenFlow1.3.3 学习记录(持续更新) 正在学习OpenFlow1.3,该篇笔记将日常更新,主要内容大致为官方文档的总结与翻译. 交换机组件 按照优先级顺序进行包匹配,如果匹配到流表项,则执 ...

  2. .NET6中一些常用组件的配置及使用记录,持续更新中。。。

    NET6App 介绍 .NET 6的CoreApp框架,用来学习.NET6的一些变动和新特性,使用EFCore,等一系列组件的运用,每个用单独的文档篇章记录,持续更新文档哦. 如果对您有帮助,点击右上 ...

  3. Atom使用记录(持续更新中)

    部分内容取自:http://www.jianshu.com/p/dd97cbb3c22d,我自己也在使用,持续更新中 Atom安装插件在窗口中File---Setting---install 在里面进 ...

  4. oracle数据库学习记录(持续更新中...)

    --------------------------------------------day1------------------------------------------------- 1. ...

  5. Laravel 5 使用中的问题记录(持续更新)

    1.更新了blade模板却没有更新缓存 通过使用ftp上传文件到服务器,更新了blade模板,却没有更新缓存,经查,原因是系统时间的影响,通过ftp上传的模板文件修改时间与缓存文件的时间不一致,导致模 ...

  6. Ubuntu系统使用记录(持续更新)

    本篇文章记录在虚拟机上跑Ubuntu16.04遇到的一系列问题,熟悉一下Ubuntu的相关操作,进入终端的方法ctrl+alt+t. 1.修改屏幕分辨率,进入系统默认的是800x600 即便能够进入s ...

  7. C++ 编程技巧笔记记录(持续更新)

    C++是博大精深的语言,特性复杂得跟北京二环一样,继承乱得跟乱伦似的. 不过它仍然是我最熟悉且必须用在游戏开发上的语言,这篇文章用于挑选出一些个人觉得重要的条款/经验/技巧进行记录总结. 文章最后列出 ...

  8. leetcode 刷题记录(java)-持续更新

    最新更新时间 11:22:29 8. String to Integer (atoi) public static int myAtoi(String str) { // 1字符串非空判断 " ...

  9. css高级应用及问题记录(持续更新)

    css 参考手册: 1.http://css.doyoe.com/ 1.混合选择器样式定义: .button.icon:before {    content: "";    po ...

随机推荐

  1. 杭电OJ第11页2000-2009道题(C语言)

    1. ASCII码排序 问题描述 输入三个字符后,按各字符的ASCII码从小到大的顺序输出这三个字符 Input: 输入数据有多组,每组占一行,有三个字符组成,之间无空格 Output: 对于每组输入 ...

  2. 【bzoj4332】【JSOI2012】 分零食 生成函数 FFT

    我们构造$f(x)$的生成函数$G(x)$,那么显然$[x^k]G(x)=Ok^2+Sk+U$ 那么显然,答案即为$\sum_{i=1}^{n} [x^m]G^i(x)$ 我们构造答案的生成函数$F( ...

  3. 堆排序(最大堆)的理解和实现(Java)

    堆的定义 堆是具有下列性质的完全二叉树:每个节点的值都大于或等于其左右孩子节点的值,称为大顶堆:或者每个节点的值都小于或等于其左右孩子的值,称为小顶堆.如下图举例: 通过堆的定义可知,根节点一定是对中 ...

  4. 微信小程序自定义弹窗wcPop插件|仿微信弹窗样式

    微信小程序自定义组件弹窗wcPop|小程序消息提示框|toast自定义模板弹窗 平时在开发小程序的时候,弹窗应用场景还是蛮广泛的,但是微信官方提供的弹窗比较有局限性,不能自定义修改.这个时候首先想到的 ...

  5. ubuntu 镜像站部署

    定时任务 #mirror web */5 * * * * cd /mirror && git pull #mysql mirror 0 */3 * * * rsync -av --de ...

  6. (转)Python科学计算之Pandas详解,pythonpandas

    https://www.cnblogs.com/linux-wangkun/p/5903380.html-------pandas 学习(1): pandas 数据结构之Series https:// ...

  7. phpredisadmin 莫名其妙错误,打开了无法显示任何数据

    一直用的好好的,某天突然只有页面基本框架,redis数据看不到了. 查日志嘛... PHP Fatal error:  Allowed memory size of 134217728 bytes e ...

  8. 视口(viewport)原理详解之第一部分

    在这篇文章中,我将解释viewports和元素width是如何工作的,比如html元素.  window和 screen. 这篇文章主要针对桌面浏览器,但它的部分和移动设备中的结论也比较类似,所以也是 ...

  9. python中不可变数据类型和可变数据类型

    在学习python过程中我们一定会遇到不可变数据类型和可变数据类型. 1.名词解释 以下所有的内容都是基于内存地址来说的. 不可变数据类型: 当该数据类型的对应变量的值发生了改变,那么它对应的内存地址 ...

  10. NewBluePill源码学习 <一>

    NewBluePill的源码也看的差不多了,一直说等有时间了再写学习的一些心得,拖来拖去弄到现在了,时间不是等来的,慢慢开始吧. 0x00     初识硬件虚拟化 硬件虚拟化对大数人来讲还是比较陌生. ...