Untitled
unknown
plain_text
5 months ago
12 kB
2
Indexable
(venv) bash-4.4$ ROPgadget --binary /afs/ny-cdc-2.ficc.gs.com/linux/sw/ficc/liberty-prod/linux64_g63.exe/secexpr --ropchain
Gadgets information
============================================================
0x0000000000400d77 : adc byte ptr [rax], al ; add byte ptr [rax], al ; jmp 0x400c60
0x0000000000400dfc : adc byte ptr [rbx + 0x41], bl ; pop rsp ; pop rbp ; ret
0x0000000000400ed6 : adc dword ptr [rax], esp ; add byte ptr [rcx], al ; repz ret
0x0000000000400cb7 : add al, 0 ; add byte ptr [rax], al ; jmp 0x400c60
0x0000000000400f7b : add al, byte ptr [r8] ; add byte ptr [rax - 0x77], cl ; ret 0xc031
0x0000000000400f7c : add al, byte ptr [rax] ; add byte ptr [rax - 0x77], cl ; ret 0xc031
0x0000000000400c97 : add al, byte ptr [rax] ; add byte ptr [rax], al ; jmp 0x400c60
0x000000000040111f : add bl, dh ; ret
0x0000000000400f7e : add byte ptr [rax - 0x77], cl ; ret 0xc031
0x000000000040111d : add byte ptr [rax], al ; add bl, dh ; ret
0x000000000040111b : add byte ptr [rax], al ; add byte ptr [rax], al ; add bl, dh ; ret
0x00000000004003e8 : add byte ptr [rax], al ; add byte ptr [rax], al ; add byte ptr [rax], al ; add byte ptr [rax], al ; jmp 0x124003f6
0x00000000004003ea : add byte ptr [rax], al ; add byte ptr [rax], al ; add byte ptr [rax], al ; jmp 0x124003f6
0x00000000004003ec : add byte ptr [rax], al ; add byte ptr [rax], al ; jmp 0x124003f6
0x0000000000400c77 : add byte ptr [rax], al ; add byte ptr [rax], al ; jmp 0x400c60
0x0000000000400e6c : add byte ptr [rax], al ; add byte ptr [rax], al ; pop rbp ; ret
0x0000000000400f0c : add byte ptr [rax], al ; add byte ptr [rax], al ; push rbp ; mov rbp, rsp ; pop rbp ; ret
0x000000000040111c : add byte ptr [rax], al ; add byte ptr [rax], al ; repz ret
0x0000000000400f0d : add byte ptr [rax], al ; add byte ptr [rbp + 0x48], dl ; mov ebp, esp ; pop rbp ; ret
0x0000000000400c53 : add byte ptr [rax], al ; add rsp, 8 ; ret
0x00000000004003ee : add byte ptr [rax], al ; jmp 0x124003f6
0x0000000000400c79 : add byte ptr [rax], al ; jmp 0x400c60
0x0000000000400e6e : add byte ptr [rax], al ; pop rbp ; ret
0x0000000000400f0e : add byte ptr [rax], al ; push rbp ; mov rbp, rsp ; pop rbp ; ret
0x000000000040111e : add byte ptr [rax], al ; repz ret
0x0000000000400f0f : add byte ptr [rbp + 0x48], dl ; mov ebp, esp ; pop rbp ; ret
0x0000000000400ee8 : add byte ptr [rbp + 5], dh ; jmp 0x400e80
0x000000000040106f : add byte ptr [rbx + 0x41], bl ; pop rsp ; pop rbp ; xor edx, edx ; jmp rax
0x0000000000400ed8 : add byte ptr [rcx], al ; repz ret
0x0000000000401100 : add dword ptr [rax + 0x39], ecx ; jmp 0x40117a
0x0000000000400c87 : add dword ptr [rax], eax ; add byte ptr [rax], al ; jmp 0x400c60
0x0000000000400ed4 : add eax, 0x2011de ; add ebx, esi ; ret
0x0000000000400ca7 : add eax, dword ptr [rax] ; add byte ptr [rax], al ; jmp 0x400c60
0x0000000000400ed9 : add ebx, esi ; ret
0x0000000000400dfa : add esp, 0x10 ; pop rbx ; pop r12 ; pop rbp ; ret
0x0000000000400c56 : add esp, 8 ; ret
0x0000000000400df9 : add rsp, 0x10 ; pop rbx ; pop r12 ; pop rbp ; ret
0x0000000000400c55 : add rsp, 8 ; ret
0x0000000000400e62 : and byte ptr [rax], ah ; jmp rax
0x0000000000400ed7 : and byte ptr [rax], al ; add ebx, esi ; ret
0x0000000000400c74 : and byte ptr [rax], al ; push 0 ; jmp 0x400c60
0x0000000000400d74 : and byte ptr [rax], al ; push 0x10 ; jmp 0x400c60
0x0000000000400d14 : and byte ptr [rax], al ; push 0xa ; jmp 0x400c60
0x0000000000400d24 : and byte ptr [rax], al ; push 0xb ; jmp 0x400c60
0x0000000000400d34 : and byte ptr [rax], al ; push 0xc ; jmp 0x400c60
0x0000000000400d44 : and byte ptr [rax], al ; push 0xd ; jmp 0x400c60
0x0000000000400d54 : and byte ptr [rax], al ; push 0xe ; jmp 0x400c60
0x0000000000400d64 : and byte ptr [rax], al ; push 0xf ; jmp 0x400c60
0x0000000000400c84 : and byte ptr [rax], al ; push 1 ; jmp 0x400c60
0x0000000000400c94 : and byte ptr [rax], al ; push 2 ; jmp 0x400c60
0x0000000000400ca4 : and byte ptr [rax], al ; push 3 ; jmp 0x400c60
0x0000000000400cb4 : and byte ptr [rax], al ; push 4 ; jmp 0x400c60
0x0000000000400cc4 : and byte ptr [rax], al ; push 5 ; jmp 0x400c60
0x0000000000400cd4 : and byte ptr [rax], al ; push 6 ; jmp 0x400c60
0x0000000000400ce4 : and byte ptr [rax], al ; push 7 ; jmp 0x400c60
0x0000000000400cf4 : and byte ptr [rax], al ; push 8 ; jmp 0x400c60
0x0000000000400d04 : and byte ptr [rax], al ; push 9 ; jmp 0x400c60
0x0000000000400d72 : and dl, byte ptr [rbx] ; and byte ptr [rax], al ; push 0x10 ; jmp 0x400c60
0x000000000040123f : call qword ptr [rax + 1]
0x0000000000400f72 : call qword ptr [rdx + 0x10]
0x0000000000400efe : call rax
0x000000000040106d : cmovo eax, dword ptr [rax] ; pop rbx ; pop r12 ; pop rbp ; xor edx, edx ; jmp rax
0x0000000000400d42 : cmp dl, byte ptr [rbx] ; and byte ptr [rax], al ; push 0xd ; jmp 0x400c60
0x0000000000400ee6 : cmp dword ptr [rdi], 0 ; jne 0x400ef0 ; jmp 0x400e80
0x0000000000400ee5 : cmp qword ptr [rdi], 0 ; jne 0x400ef0 ; jmp 0x400e80
0x0000000000400fc2 : dec dword ptr [rax - 0x77] ; ret
0x000000000040107c : dec dword ptr [rax - 0x77] ; ret 0x8b48
0x0000000000400ed5 : ficom word ptr [rcx] ; and byte ptr [rax], al ; add ebx, esi ; ret
0x00000000004010fc : fmul qword ptr [rax - 0x7d] ; ret
0x0000000000400f13 : in eax, 0x5d ; ret
0x000000000040109d : inc dword ptr [rcx + 0x5c] ; pop rbp ; ret
0x0000000000400ef9 : int1 ; push rbp ; mov rbp, rsp ; call rax
0x0000000000400cd2 : jb 0x400ce7 ; and byte ptr [rax], al ; push 6 ; jmp 0x400c60
0x0000000000400e5d : je 0x400e70 ; pop rbp ; mov edi, 0x6020b8 ; jmp rax
0x0000000000400eab : je 0x400eb8 ; pop rbp ; mov edi, 0x6020b8 ; jmp rax
0x0000000000400ef8 : je 0x400eeb ; push rbp ; mov rbp, rsp ; call rax
0x00000000004003f0 : jmp 0x124003f6
0x0000000000400c7b : jmp 0x400c60
0x0000000000400e0d : jmp 0x400dc4
0x0000000000400eeb : jmp 0x400e80
0x0000000000400fb1 : jmp 0x400f89
0x0000000000400fee : jmp 0x400ff1
0x000000000040101a : jmp 0x40101d
0x0000000000401103 : jmp 0x40117a
0x0000000000401257 : jmp qword ptr [rax]
0x00000000004013e3 : jmp qword ptr [rbp]
0x000000000040133b : jmp qword ptr [rbx + 0x4000000]
0x000000000040138b : jmp qword ptr [rdx]
0x0000000000400f05 : jmp qword ptr [rsi + 0x2e]
0x0000000000400e65 : jmp rax
0x0000000000400ee9 : jne 0x400ef0 ; jmp 0x400e80
0x0000000000400cc2 : jp 0x400cd7 ; and byte ptr [rax], al ; push 5 ; jmp 0x400c60
0x0000000000400ed3 : mov byte ptr [rip + 0x2011de], 1 ; repz ret
0x0000000000400ca2 : mov dl, byte ptr [rbx] ; and byte ptr [rax], al ; push 3 ; jmp 0x400c60
0x0000000000401099 : mov eax, 0xffffffff ; pop r12 ; pop rbp ; ret
0x0000000000400efc : mov ebp, esp ; call rax
0x0000000000400f12 : mov ebp, esp ; pop rbp ; ret
0x0000000000400e60 : mov edi, 0x6020b8 ; jmp rax
0x0000000000400f70 : mov edi, eax ; call qword ptr [rdx + 0x10]
0x0000000000400f6d : mov edx, dword ptr [rax] ; mov rdi, rax ; call qword ptr [rdx + 0x10]
0x0000000000400efb : mov rbp, rsp ; call rax
0x0000000000400f11 : mov rbp, rsp ; pop rbp ; ret
0x0000000000400f6f : mov rdi, rax ; call qword ptr [rdx + 0x10]
0x0000000000400f6c : mov rdx, qword ptr [rax] ; mov rdi, rax ; call qword ptr [rdx + 0x10]
0x0000000000400c72 : movabs byte ptr [0x68002013], al ; jmp 0x400c60
0x0000000000401123 : nop ; sub rsp, 8 ; add rsp, 8 ; ret
0x0000000000400e68 : nop dword ptr [rax + rax] ; pop rbp ; ret
0x0000000000401118 : nop dword ptr [rax + rax] ; repz ret
0x0000000000400eb5 : nop dword ptr [rax] ; pop rbp ; ret
0x0000000000400d37 : or al, 0 ; add byte ptr [rax], al ; jmp 0x400c60
0x0000000000400d17 : or al, byte ptr [rax] ; add byte ptr [rax], al ; jmp 0x400c60
0x0000000000400cf7 : or byte ptr [rax], al ; add byte ptr [rax], al ; jmp 0x400c60
0x0000000000401034 : or byte ptr [rbx + 0x41], bl ; pop rsp ; pop r13 ; pop r14 ; pop rbp ; ret
0x0000000000400d07 : or dword ptr [rax], eax ; add byte ptr [rax], al ; jmp 0x400c60
0x0000000000400d27 : or eax, dword ptr [rax] ; add byte ptr [rax], al ; jmp 0x400c60
0x000000000040110c : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000401023 : pop r12 ; pop r13 ; pop r14 ; pop rbp ; ret
0x0000000000400dfe : pop r12 ; pop rbp ; ret
0x0000000000401071 : pop r12 ; pop rbp ; xor edx, edx ; jmp rax
0x000000000040110e : pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000401025 : pop r13 ; pop r14 ; pop rbp ; ret
0x0000000000401110 : pop r14 ; pop r15 ; ret
0x0000000000401027 : pop r14 ; pop rbp ; ret
0x0000000000401112 : pop r15 ; ret
0x0000000000400f00 : pop rbp ; jmp 0x400e80
0x0000000000400ed2 : pop rbp ; mov byte ptr [rip + 0x2011de], 1 ; repz ret
0x0000000000400e5f : pop rbp ; mov edi, 0x6020b8 ; jmp rax
0x000000000040110b : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040110f : pop rbp ; pop r14 ; pop r15 ; ret
0x0000000000401026 : pop rbp ; pop r14 ; pop rbp ; ret
0x0000000000400e00 : pop rbp ; ret
0x0000000000401073 : pop rbp ; xor edx, edx ; jmp rax
0x0000000000401098 : pop rbx ; mov eax, 0xffffffff ; pop r12 ; pop rbp ; ret
0x0000000000401035 : pop rbx ; pop r12 ; pop r13 ; pop r14 ; pop rbp ; ret
0x0000000000400dfd : pop rbx ; pop r12 ; pop rbp ; ret
0x0000000000401070 : pop rbx ; pop r12 ; pop rbp ; xor edx, edx ; jmp rax
0x0000000000401113 : pop rdi ; ret
0x0000000000401111 : pop rsi ; pop r15 ; ret
0x0000000000401028 : pop rsi ; pop rbp ; ret
0x000000000040110d : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000401024 : pop rsp ; pop r13 ; pop r14 ; pop rbp ; ret
0x0000000000400dff : pop rsp ; pop rbp ; ret
0x0000000000401072 : pop rsp ; pop rbp ; xor edx, edx ; jmp rax
0x0000000000400c76 : push 0 ; jmp 0x400c60
0x0000000000400d76 : push 0x10 ; jmp 0x400c60
0x0000000000400ce2 : push 0x13 ; and byte ptr [rax], al ; push 7 ; jmp 0x400c60
0x0000000000400d16 : push 0xa ; jmp 0x400c60
0x0000000000400d26 : push 0xb ; jmp 0x400c60
0x0000000000400d36 : push 0xc ; jmp 0x400c60
0x0000000000400d46 : push 0xd ; jmp 0x400c60
0x0000000000400d56 : push 0xe ; jmp 0x400c60
0x0000000000400d66 : push 0xf ; jmp 0x400c60
0x0000000000400c86 : push 1 ; jmp 0x400c60
0x0000000000400c96 : push 2 ; jmp 0x400c60
0x0000000000400ca6 : push 3 ; jmp 0x400c60
0x0000000000400cb6 : push 4 ; jmp 0x400c60
0x0000000000400cc6 : push 5 ; jmp 0x400c60
0x0000000000400cd6 : push 6 ; jmp 0x400c60
0x0000000000400ce6 : push 7 ; jmp 0x400c60
0x0000000000400cf6 : push 8 ; jmp 0x400c60
0x0000000000400d06 : push 9 ; jmp 0x400c60
0x0000000000400efa : push rbp ; mov rbp, rsp ; call rax
0x0000000000400f10 : push rbp ; mov rbp, rsp ; pop rbp ; ret
0x0000000000400eda : repz ret
0x0000000000400c59 : ret
0x000000000040107f : ret 0x8b48
0x0000000000400f81 : ret 0xc031
0x0000000000401022 : rol byte ptr [rcx + 0x5c], 0x41 ; pop rbp ; pop r14 ; pop rbp ; ret
0x0000000000400ef7 : sal byte ptr [rcx + rsi*8 + 0x55], 0x48 ; mov ebp, esp ; call rax
0x0000000000401017 : sbb byte ptr [rax - 0x7d], cl ; jmp 0x40101d
0x0000000000400d62 : sub dl, byte ptr [rbx] ; and byte ptr [rax], al ; push 0xf ; jmp 0x400c60
0x0000000000400c51 : sub eax, dword ptr [rcx] ; add byte ptr [rax], al ; add rsp, 8 ; ret
0x0000000000401125 : sub esp, 8 ; add rsp, 8 ; ret
0x0000000000401124 : sub rsp, 8 ; add rsp, 8 ; ret
0x0000000000400e6a : test byte ptr [rax], al ; add byte ptr [rax], al ; add byte ptr [rax], al ; pop rbp ; ret
0x000000000040111a : test byte ptr [rax], al ; add byte ptr [rax], al ; add byte ptr [rax], al ; repz ret
0x0000000000400ef6 : test eax, eax ; je 0x400eeb ; push rbp ; mov rbp, rsp ; call rax
0x0000000000400ef5 : test rax, rax ; je 0x400eeb ; push rbp ; mov rbp, rsp ; call rax
0x0000000000400d52 : xor dl, byte ptr [rbx] ; and byte ptr [rax], al ; push 0xe ; jmp 0x400c60
0x0000000000401021 : xor eax, eax ; pop r12 ; pop r13 ; pop r14 ; pop rbp ; ret
0x0000000000401074 : xor edx, edx ; jmp rax
Unique gadgets found: 181
ROP chain generation
===========================================================
- Step 1 -- Write-what-where gadgets
[-] Can't find the 'mov qword ptr [r64], r64' gadgetLeave a Comment