call rel32 是唯一的相对编码(间接或远 jmp 很少有用),所以是的,当然高字节将始终为 00 或 FF,除非您正在跳跃非常 很远,因为这就是 2 的补码的工作原理。
自我修改代码将是一种选择(但您会遇到获取代码指针的鸡/蛋问题)。 根据漏洞利用机制,您可能在 RSP 中有一个指向(附近)您的代码的指针。因此您可能只是 lea rax, [rsp+44] / push rax / jmp ...
但是 x86-64 不需要 jmp/call/pop 习语。通常你可以只用jmp覆盖你的数据,然后使用带有负值rel32的RIP-relative LEA,但这当然也有0xFF字节。
您可以将 RIP 相对 LEA 与安全的 rel32 一起使用,然后对其进行更正:
lea rsi, [rel anchor + 0x66666666] ; or [RIP + 0x66666666]
sub rsi, 0x66666666
;...
xor eax,eax
mov al,1 ; __NR_write = 1 x86-64 Linux
mov edi, eax
lea edx, [rax-1 + msglen]
syscall ; write(1, msg, msglen)
lea eax, [rdi-1 + 60] ; __NR_exit
syscall ; sys_exit(1)
anchor:
msg: db "Hello World", 0xa
msglen equ $-msg
使用 NASM 汇编和使用 objdump -drwC -Mintel 反汇编的机器代码:
$ asm-link -dn rel.asm # a helper script to assmble+link and disassemble
+ nasm -felf64 -Worphan-labels rel.asm
+ ld -o rel rel.o
ld: warning: cannot find entry symbol _start; defaulting to 0000000000401000
rel: file format elf64-x86-64
Disassembly of section .text:
0000000000401000 <anchor-0x1e>:
401000: 48 8d 35 7d 66 66 66 lea rsi,[rip+0x6666667d] # 66a67684 <__bss_start+0x66665684>
401007: 48 81 ee 66 66 66 66 sub rsi,0x66666666
40100e: 31 c0 xor eax,eax
401010: b0 01 mov al,0x1
401012: 89 c7 mov edi,eax
401014: 8d 50 0b lea edx,[rax+0xb]
401017: 0f 05 syscall
401019: 8d 47 3b lea eax,[rdi+0x3b]
40101c: 0f 05 syscall
000000000040101e <anchor>:
40101e: 48 rex.W
... ASCII data that isn't real machine code
401029: 0a .byte 0xa
peter@volta:/tmp$ ./rel
Hello World
$ strace ./rel
execve("./rel", ["./rel"], 0x7ffd09467720 /* 55 vars */) = 0
write(1, "Hello World\n", 12Hello World
) = 12
exit(1) = ?
+++ exited with 1 +++
有趣的是,0x66 是字母 'f' 的 ASCII 码。我在试图避开0xFF 时并没有故意选择'f' :P 但无论如何,选择你喜欢的任何4字节字符串。
rel32 的低字节会更高,这取决于它必须达到的距离,所以要明智地选择。
实际上在附近的某个地方做一个call:
您可以使用上述 RIP-relative LEA + fixup 技巧来创建自修改代码,例如inc byte [rax] 将0xFE 变成0xFF。或者一个 dword sub-immediate 和 0x11111111 或者一些对修复 rel32 有用的东西
call r/m64和jmp r/m64都不能直接使用,因为操作码本身是FF /2和FF /4
如果您想返回,修复call rel32 或call rax 可能是最简单的。但也可以使用 RIP 相对 LEA 计算寄存器中的返回地址并将其推送,然后是 jmp rel8 或 jmp rax 或其他。