onegadget不起作用

最新推荐文章于 2025-10-12 13:39:17 发布
原创 最新推荐文章于 2025-10-12 13:39:17 发布 · 2.9k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#one_gadget

本文深入探讨了在利用one_gadget进行漏洞攻击时所需满足的条件,如0x4526a要求[rsp+0x30]==NULL。文章详细讲解了如何通过调整__malloc_hook和realloc_hook来满足条件,实现getshell的目的。通过实例分析,读者可以了解到如何通过控制push数量调整esp指针,使esp’满足one_gadget的条件。

one_gadget的执行是需要一些条件的

0x45216 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf02a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1147 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

例如0x4526a,我们需要满足[rsp+0x30] == NULL这个条件。
当向__malloc_hook写one_gadget时,如果不满足one_gadget的条件时,而我们的环境不太好调整,所以无法getshell。
我们可以通过__malloc_hook和realloc_hook相配合的方法来使得one_gadget生效。
以0x4526a这个one_gadget为例
当eip到达这个位置时,esp为0x7fffffffdb88
在这里插入图片描述
在这里插入图片描述
[esp+0x30]=0x00007fffffffdd50
但是我们可以看到[esp+0x38]=NULL。我们可以通过调整esp指针的值来使得新的esp’满足[esp’+0x30]=[esp+0x38]=NULL。
能够调整esp的手段就是通过控制__malloc_hook里面存的__libc_realloc地址来控制push的数量
在这里插入图片描述
,所在在这我们只需要向__malloc_hook存入0x7ffff7a916c2,少一个push,esp’=esp+8,所以[esp’+0x30]=[esp+0x38]
在这里插入图片描述
在这里面我们分析的很粗糙,如果要仔细分析的话,要考虑实际的堆栈空间。
实际做题目时,我们可以尝试几次,来使得[esp+0x30]满足条件。

栈迁移与onegadget利用[GHCTF 2025]ret2libc2
Welcome To Myon'Blog !
05-25 1057
​虽然 format 被初始化为 "hello world!"但是它就在 buf 下面,后面的 read 我们可以读入 0x60因此我们就可以覆盖 format,利用 printf 来泄露 libc 里的真实地址这里 rax 存的就是 buf,我们溢出后劫持程序到 0x401227,即指令:mov rdi, rax 后面再次执行 printf 函数,打印出真实地址,我们就可以计算 libc 基址了然后程序会继续执行 read 函数,我们又可以溢出,劫持到 system 从而 get
ubuntu16.04 编译安装ruby环境、onegadget
Tw0的博客
01-24 1387
ubuntu16.04 安装one_gadget
有关One gadget 限制条件的问题
weixin_44864859的博客
07-21 589
在整理off-by-one漏洞利用的时候,偶然间发现在执行one gadget时,RSI不为NULL却可以获得shell的情况。这完全打破了我原有的认知,让我十分不解。下图是传参完毕各寄存器的状况: 再询问shiroha师傅后,对One gadget执行的限制条件有了新的认识。 首先来看看One gadget用到的执行函数execve( ) int execve(const char *filename, char *const argv[], char *const envp[]); execv
解决gem install无反应
李海江的博客
05-08 9246
有时候使用 ruby 时 gem install 后半天无反应,这是什么原因呢?其实是由于国内的防火墙阻断了和 ruby 服务器的链接,ruby 的资源文件存放在 Amazon 的服务器上,好像好多国外的云空间都存放在 Amazon 的服务器上,在中国都不能正常访问。 难道我们要挂上代理翻墙吗?其实不用那么麻烦(还有生产环境也无法方便配置代理),Ruby China 提供了一个国内的 RubyGe...
072_二进制安全终极技术:一键RCE(One-Gadget)深度解析与实战指南——从Libc泄露到远程命令执行的高效攻击路径
最新发布
欢迎来到智能安全前线!这里是AI与信息安全交汇之地。我们以代码为武器,深入大模型攻防实战,破解系统漏洞。追踪OpenAI、Meta前沿动态,用红蓝对抗思维,锻造智能时代的坚盾与利矛。
10-12 963
在二进制安全领域,实现远程命令执行(Remote Command Execution,RCE)是攻击的终极目标之一。传统的RCE实现通常需要构造复杂的ROP链,这不仅耗时而且容易出错。然而,"一键RCE"技术的出现彻底改变了这一局面。一键RCE,也就是通常所说的One-Gadget攻击,通过直接跳转到Libc库中预存的shellcode片段,实现单步命令执行,极大简化了攻击过程。
one_gadget不能搜索libc2.31及以上版本解决
qq_39153421的博客
04-14 1015
更新ruby 首先卸载已有的ruby、onegadget: sudo gem uninstall one_gadget sudo apt remove gem ruby 下载ruby-install安装,由他来安装或升级ruby wget -O ruby-install-0.8.1.tar.gz https://github.com/postmodern/ruby-install/archive/v0.8.1.tar.gz tar -xzvf ruby-install-0.8.1.tar.gz cd ru
[pwn]堆:realloc_hook控制栈结构达成onegadget
Breeze的博客
12-31 1万+
[pwn]realloc_hook控制栈结构达成onegadget 文章目录[pwn]realloc_hook控制栈结构达成onegadgetchunk extend通过realloc调整栈帧来满足onegadgeteasy_pwn wp chunk extend chunk extend是一种限制比较少的堆利用方式,通常通过off by one或off by null来利用。 chuank ex...
[BJDCTF 2nd]one_gadget
weixin_45948183的博客
03-31 732
到ida看一下伪代码 函数输出了printf的地址,给了libc,利用one_gadget就可以的到libc的基址 这里需要自己试一下,这里是最后一个gadget from pwn import * p=remote('node3.buuoj.cn',25100) elf=ELF('./one_gadget') context.log_level='debug' libc = ELF('./l...
通过 realloc_hook 调整栈帧使 onegadget 生效
蚁景网安学院
10-12 1643
亲爱的,关注我吧10/12文章共计3190个词预计阅读10分钟来和我一起阅读吧在某些堆的题目当中,由于限制只能使用 house of spirit 等方法劫持 malloc_hook ,...
关于利用realloc函数调整栈使onegadget可执行。
qq_39869547的博客
03-01 1306
此贴主要讲述: free_hook无法劫持,劫持__malloc_hook填onegadget全部失效的情况。我们利用realloc函数调整栈的位置,使得onegadget可执行。 直接上题了。buuoj上面的一个题。 保护全开。 漏洞点在于edit函数的溢出 常规思路,修改size,利用chunk overlap打free_hook,或者malloc_hook即可。 但是free_hook打...
CTF-Pwn-[BJDCTF 2nd]one_gadget
归子莫的博客
05-06 1881
CTF-Pwn-[BJDCTF 2nd]one_gadget 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]one_gadget 下载题目的文件 one_gadget...
利用realloc调整栈使one_gadget生效
N1rvana的博客
02-21 832
前言 当堆题保护全开的时候。PIE保护几乎使得unlink失效(除非能够计算出程序基址),FULL RELEO也使得函数GOT表不可修改。此时常覆盖各种函数的hook为one_gadget来getshell。 我常考虑的顺序是: free_hook->malloc_hook->IO_FILE->exit_hook 若有沙盒限制,则考虑setcontext 当free_hook不可打时(例如Fastbin Attack时free_hook前不能构造字节错位),我们往往就会打malloc_ho
Ubuntu20.04.06 PWN环境搭建
wangzhiyu12的博客
09-27 1292
安装一个pwn的环境,以后打pwn题使用
one_gadget用法|攻防世界pwn进阶区babystack
Kni9hT's Blog
03-25 8903
文章目录0x00.检查保护 0x00.检查保护 devil@ubuntu:~/adworld/pwn$ checksec babystack [*] '/home/devil/adworld/pwn/babystack' Arch: amd64-64-little RELRO: Full RELRO ;无法修改got表 Stack: Canary fou...
190702 安卓-Frida-gadget
热门推荐
whklhhhh的博客
07-02 3万+
开始鹅厂实习的社畜搬砖生活(°∀°)ノ frida-gadget的优势在于通过对应用重打包,加入gadget.so的调用,从而实现frida的hook 这种途径避免了注入所需要的root权限 发现了一个现成的脚本,但测了一下似乎有一些问题,明天修一下看看 以下是手动流程 解包 apktool d xxx.apk -r选项可以使得不解析资源,但AndroidManifest.xml也不会解析,此时无...
在安装one_gadget遇到 one_gadget requires Ruby version >= 2.4. 的问题解决
半岛铁盒的博客
06-28 1221
需要更新 2.6,方法如下,先添加仓库: sudo add-apt-repository ppa:brightbox/ruby-ng sudo apt-get update 删除低版本的 ruby: sudo apt-get purge --auto-remove ruby 安装 ruby-2.6 版本: sudo apt-get install ruby2.6 ruby2.6-dev ...
one_gadget的安装与使用
weixin_62675330的博客
03-04 4737
0x0 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 没有ROP_gadget的赶快了。 ROP_gadget 下载安装与使用 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 one_gadget 是libc中存在的一些执行execve(“bin/sh",NULL,NULL)的片段。当我们知道libc的版本,并且通过信息泄露得到libc的基址,就可以通过控制EIP/RIP( 覆盖.go
BUUCTF【hitcontraining_magicheap】
weixin_51055545的博客
02-13 1803
BUUCTF【hitcontraining_magicheap】刷题 例行检查: 程序为64位,除了pie,其他保护机制都开了。放到IDA中分析 漏洞分析: 首先看到一个菜单, 发现程序是没有输出功能的,这里我们想到了去打stdout结构体来leak出地址, 这里是有一个后门的,我设置了满足的条件发现没出flag,应该比赛的环境下flag路径是对的,但buuctf路径是不对的,所以我们就去get shell拿flag。 漏洞点在edit()函数中, creat_heap()函数获取我们的大小后,在ed
pwn本地打不通
03-21
<think>嗯,用户问的是“pwn本地打不通”,这个问题在CTF比赛或者二进制安全研究中挺常见的。首先,我得回想一下自己之前遇到类似问题的经验。本地打不通可能有多种原因,得一步步排查。 首先想到的是,用户可能在本地运行漏洞利用代码时没有成功触发预期的效果,比如没有拿到shell或者程序崩溃了,但远程却能成功。这种情况通常有几个常见原因。比如,本地环境和远程环境不一致,这包括libc版本、程序保护机制(如ASLR、NX、Canary)是否开启,或者程序本身的编译选项不同。用户可能没注意到这些差异,导致本地测试时无法复现远程环境的情况。 接下来,用户可能没有正确设置环境。比如,ASLR(地址随机化)在本地是默认开启的,但远程可能关闭了,或者反之。这时候需要检查/proc/sys/kernel/randomize_va_space的值,或者使用setarch命令来关闭ASLR进行测试。另外,有时候需要确保本地运行的libc版本和远程一致,否则偏移量计算会有问题,导致利用失败。 然后是漏洞利用脚本的问题。比如,用户可能在脚本中硬编码了一些地址,比如libc基址或者函数的GOT表地址,但这些地址在本地和远程可能不同,导致本地无法正确跳转。这时候需要使用动态获取的方法,比如泄漏地址后再计算偏移。另外,利用逻辑中的某些步骤可能在本地环境下不适用,比如某些gadget在本地不存在,或者栈布局不同,导致ROP链构造失败。 还有可能是输入方式的问题。本地执行时,用户可能用python2的exp.py的方式生成输入,但python3的字符串处理不同,导致payload不正确。或者使用了管道符| 来连接输入,但程序可能需要更精确的输入方式,比如使用process()之后进行交互,或者需要处理标准输入输出的缓冲问题。 另外,程序本身的行为可能有差异。比如,本地编译的程序可能有调试信息或者优化选项不同,导致漏洞触发条件不同。或者本地测试时程序是32位的,而远程是64位的,导致结构体对齐、函数调用约定等差异,影响利用。 还有可能用户没有正确处理程序的崩溃情况。比如,在溢出后程序崩溃时,某些情况下需要保持标准输入输出流的打开,或者需要重新连接,而本地测试时没有正确处理,导致利用失败。 针对这些问题,用户需要逐一排查。首先检查环境和保护机制是否一致,使用checksec工具查看。然后确认libc版本是否匹配,可以用ldd命令查看本地依赖,或者使用Docker模拟远程环境。接着,检查利用脚本中的地址是否动态计算,避免硬编码。此外,使用调试工具如gdb,配合peda或pwndbg插件,观察程序崩溃时的寄存器状态、栈布局,确认payload是否正确覆盖返回地址或修改关键数据。 还有,可能用户没有正确处理程序的交互,比如在发送payload后需要接收一些输出,或者需要等待一段时间才能继续输入,这时候使用pwntools的send、sendline、recvuntil等方法时,顺序或超时设置不正确,导致本地测试时流程出错。 另外,有时候本地测试时,程序的行为会因为附加了调试器而改变,比如某些反调试机制被触发,或者信号处理不同,导致漏洞无法触发。这时候可以尝试在不调试的情况下直接运行exp,看是否成功。 最后,用户可能遇到的是一些细节问题,比如文件路径问题、权限问题(比如需要root权限运行某些操作),或者本地测试时使用的漏洞利用技术本身存在问题,需要重新审视漏洞的原理和利用步骤。 总之,解决本地打不通的问题需要系统性地对比本地和远程环境,仔细检查利用脚本的每个步骤,使用调试工具逐步分析程序执行流程,并确保所有依赖和配置一致。可能需要多次尝试和验证,逐步排除可能的原因,最终找到问题所在并进行修复。</think>在CTF二进制安全领域,当遇到"本地漏洞利用(pwn)打不通"的情况时,通常需要系统化排查以下原因。以下是分步骤的解决方案: --- ### **一、环境差异排查** 1. **保护机制对比** ```bash checksec ./pwnfile # 本地检查 readelf -a ./pwnfile | grep 'NX\|Canary' # 远程对比(需有文件) ``` - 若远程开启`ASLR`而本地关闭: ```bash echo 2 | sudo tee /proc/sys/kernel/randomize_va_space # 开启ASLR setarch `uname -m` -R ./pwnfile # 临时启用 ``` 2. **libc版本一致性** - 本地查看:`ldd ./pwnfile | grep libc` - 远程匹配:通过`Docker`构建相同环境或使用`patchelf`修改加载器: ```bash patchelf --set-interpreter /path/to/ld.so ./pwnfile patchelf --replace-needed libc.so.6 /path/to/libc.so ./pwnfile ``` --- ### **二、利用脚本调试** 1. **动态地址处理** 避免硬编码地址,改用动态计算: ```python from pwn import * libc = ELF('/path/to/libc.so') offset = libc.sym['system'] - libc.sym['puts'] ``` 2. **调试观察** 使用`gdb`附加进程观察崩溃点: ```python p = process('./pwnfile') gdb.attach(p, ''' b *main+10 continue ''') ``` - 检查关键寄存器值(`$rip`, `$rsp`) - 验证栈溢出长度是否正确 --- ### **三、输入方式修正** 1. **输入管道优化** 使用`pwntools`的标准化输入: ```python payload = flat([ cyclic(100), # 用于定位溢出偏移 p64(gadget_addr), ]) p.sendlineafter(b'> ', payload) ``` 2. **缓冲区问题处理** 添加`clean()`函数清空缓冲区: ```python def clean(): p.recv(timeout=1) clean() p.send(payload) ``` --- ### **四、常见错误场景** 1. **栈对齐问题(x64架构)** 在ROP链中添加`ret`指令调整对齐: ```python rop = ROP(elf) rop.raw(rop.ret) # 对齐栈 rop.system(next(elf.search(b'/bin/sh'))) ``` 2. **onegadget条件不满足** 通过`gdb`验证约束条件: ```bash gdb-pwndbg> x/10gx $rsp+0x40 # 检查onegadget所需寄存器状态 ``` --- ### **五、远程验证准备** 1. **本地模拟远程** 使用`socat`模拟监听: ```bash socat tcp-listen:9999,reuseaddr,fork exec:./pwnfile ``` 修改脚本连接本地测试: ```python p = remote('127.0.0.1', 9999) ``` --- ### **六、日志分析** 启用`pwntools`完整日志: ```python context.log_level = 'debug' ``` 观察输出是否符合预期(如地址泄漏是否正确、交互时序是否匹配)。 --- 通过以上步骤,90%的本地利用失败问题可被定位。若仍不成功,建议在`CTF`社区(如CTFtime、攻防世界论坛)分享代码片段求助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值