asm rip-relative寻址
[英]asm rip-relative addressing
问题描述
我正在做一些CTF挑战,我有一个程序,如果那里有一个syscall,sysenter或int 80指令,则检查用户输入的缓冲区是否逐字节地传递。
我要做的是编写一个shellcode,将syscall指令的第二个字节修改为有效的。 也就是说,输入的最后两个字节是\\x0f\\x01 ,我希望shellcode本身将其覆盖为\\x0f\\x05 (系统调用)。
所以原始shellcode的最后几条指令看起来像这样:
....
21: 31 c0 xor %eax,%eax
23: 88 47 07 mov %al,0x7(%rdi)
26: 48 89 7f 08 mov %rdi,0x8(%rdi)
2a: 48 89 47 10 mov %rax,0x10(%rdi)
2e: 48 8d 77 08 lea 0x8(%rdi),%rsi
32: 48 89 c2 mov %rax,%rdx
35: b0 3b mov $0x3b,%al
37: 0f 05 syscall
并使用两个额外的指令来重写系统调用:
...
37: b1 05 mov $0x5,%cl
39: 88 0d 01 00 00 00 mov %cl,0x1(%rip)
3f: 0f 05 syscall
但是,我看到39用一些尾随零编码,而23例如相似但位置相对于rdi而不是rip,则不是。
所以我的问题是,这看起来不错吗? 如果是这样的话,为什么rip会出现尾随零。 是否有一些rip-relative寻址特定的东西,例如4个字节必须遵循?
1 个解决方案
解决方案1
3 已采纳 2017-10-09 14:24:25
是否有一些rip-relative寻址特定的东西,例如4个字节必须遵循?
是。 如果查看指令集参考,2.2.1.6 RIP相对寻址,您将看到唯一的选项是RIP + disp32意味着32位位移。 如果您需要避免零字节,则必须采用不同的方式。 可能的解决方法是执行以下操作:
lea -1(%rip), %rax # -1 is needed to avoid zero bytes
movb $5, XX(%rax) # with appropriate value of `XX`
rip 可以与具有 RIP 相对寻址的另一个寄存器一起使用吗?
[英]Can rip be used with another register with RIP-relative addressing?
与mov reg,imm64相比,RIP相对寻址的执行情况如何?
[英]How does RIP-relative addressing perform compared to mov reg, imm64?
32 位模式下的 NASM x86_64 汇编:为什么这条指令会产生 RIP-Relative Addressing 代码?
[英]NASM x86_64 assembly in 32-bit mode: Why does this instruction produce RIP-Relative Addressing code?
x86-64 GAS Intel 语法中像“[RIP + _a]”这样的 RIP 相关变量引用如何工作?
[英]How do RIP-relative variable references like "[RIP + _a]" in x86-64 GAS Intel-syntax work?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
强制 RIP 相对寻址?
为什么在 NASM 中使用 RIP 相对寻址?
Linux 上具有 RIP 相对寻址的段错误
rip 可以与具有 RIP 相对寻址的另一个寄存器一起使用吗?
在OSX x64程序集中使用RIP相对寻址
RIP相对寻址是否需要16字节对齐?
与mov reg,imm64相比,RIP相对寻址的执行情况如何?
32 位模式下的 NASM x86_64 汇编:为什么这条指令会产生 RIP-Relative Addressing 代码?
强制 RIP 相对访问 NASM 中的固定偏移量
x86-64 GAS Intel 语法中像“[RIP + _a]”这样的 RIP 相关变量引用如何工作?
相关标签