【pwn】未知libc版本利用的一个蠢方法

本文介绍了一种在CTF比赛中面对未知libc版本时,通过栈溢出和栈迁移寻找onegadget的方法。通过泄露libc中的任意地址,结合不同版本libc的相似性进行函数定位,使用二分法逐步逼近目标函数,如system或onegadget,实现漏洞利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前几天看了一道题,题目本身还是比较常规的,这题的预期解法是通过_dl_runtime_resolve来做的。但我就是想用栈溢出+栈迁移碰一碰,整了半天就差onegadget地址了,查了一下libc search发现找不到对应的版本,可能出题人就是想用一个比较偏的libc版本把这条路封死,但我最后还是硬怼出来了。以后如果遇到了数据库中找不到对应的libc版本的时候可以尝试一下这种方法(当然ctf题中一般不会出个很偏的libc版本)。

条件:1.libc中的一个任意地址(通过泄露got表就可得到)。2.可以通过rop进行任意地址泄露。
想法很简单,因为libc不同版本之间的差异并不会很大,粗粒度地无非是增删一些函数,细粒度地对函数内的基本块进行微调。造成的影响也只是偏移不同,并且不同函数在libc不同版本中的相对位置也是差不多的。那么首先就可以通过任意地址泄露去泄露libc中的任意一个地址,根据输出的内容可以进行大致的判断,比如这个地址是数据段,还是代码段。如果是数据段,那么这个地址偏大,就往小里调继续泄露,直到代码段为止。如果是代码段,那么输出的就是16进制机器码。这时我们可以在一个已知的libc中匹配有输出的指令的地方。

from pwn import *
libc=ELF('./libc-2.31.so')
#s='\x35\x0a'
s='\x31\xd2\xbf\x03'
p=list(libc.search(s))
print([hex(i) for i in p])

然后去已知libc中定位这个位置(不会匹配到很多),就可以知道当前这个地址是什么函数的什么位置,然后和目标函数(system,onegadget)的位置进行比较,高了还是低了,并对地址进行调整,继续进行泄露。然后不断地进行二分法查找,运气好的话很快就能定位到目标函数,进而微调就可以了。

from pwn import *

context.terminal 
### PWNLibc 版本差异及其使用场景 在渗透测试和CTF竞赛中,`libc` 的版本差异是一个非常重要的因素。不同的 `libc` 版本可能导致相同的漏洞利用脚本无法跨平台运行[^2]。 #### 1. **Libc 版本差异的影响** - 不同操作系统或发行版可能预装了不同版本的 `glibc` 库。这些库中的函数地址、堆管理器实现以及系统调用接口可能存在显著区别。 - 在某些情况下,即使两个系统都基于同一 Linux 发行版,但由于更新策略的不同,也可能安装了不兼容的 `libc` 版本[^3]。 #### 2. **常见 Libc 差异分析** - **堆分配机制**: 各种 `malloc` 实现(如 ptmalloc2 和 tcache)会因版本而异。较新的 `libc` 可能引入额外的安全特性,例如 tcache poisoning 防护[^4]。 - **符号偏移量变化**: 函数指针表的位置可能会随着新功能加入或者修复已知问题发生调整。这直接影响ROP链构建过程[^1]。 - **ASLR 支持强度**: 较新版通常具备更强随机化能力,增加了攻击难度;然而通过特定技术仍可绕过部分防护措施。 #### 3. **PWN 利用时如何处理 Libc 版本差异** 为了应对上述挑战,在实际操作过程中可以采取如下方法: ##### 使用工具辅助定位具体版本- 推荐采用专门开发用于此目的的应用程序比如 `one_gadget`, 它可以根据给定的目标二进制文件自动计算出所有可用的一键触发 shellcode 地址集合。 ##### 动态加载远程服务器上的真实共享对象副本 当本地缺乏匹配项时,则需下载对应架构下的官方包并提取其中的内容作为参考依据。 ```bash wget http://ftp.debian.org/debian/pool/main/g/glibc/libc6_*.deb ar xv data.tar.xz ./lib/x86_64-linux-gnu/ cp lib/x86_64-linux-gnu/* /your/local/path/ ``` ##### 自定义编写通用型Exploit框架 考虑到未来维护成本较低且适应范围广的优势所在,建议开发者自行搭建一套模块化的解决方案体系结构来满足多样化的需求情境。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值