本文介绍了一种在CTF比赛中面对未知libc版本时,通过栈溢出和栈迁移寻找onegadget的方法。通过泄露libc中的任意地址,结合不同版本libc的相似性进行函数定位,使用二分法逐步逼近目标函数,如system或onegadget,实现漏洞利用。
前几天看了一道题,题目本身还是比较常规的,这题的预期解法是通过_dl_runtime_resolve来做的。但我就是想用栈溢出+栈迁移碰一碰,整了半天就差onegadget地址了,查了一下libc search发现找不到对应的版本,可能出题人就是想用一个比较偏的libc版本把这条路封死,但我最后还是硬怼出来了。以后如果遇到了数据库中找不到对应的libc版本的时候可以尝试一下这种方法(当然ctf题中一般不会出个很偏的libc版本)。
条件:1.libc中的一个任意地址(通过泄露got表就可得到)。2.可以通过rop进行任意地址泄露。
想法很简单,因为libc不同版本之间的差异并不会很大,粗粒度地无非是增删一些函数,细粒度地对函数内的基本块进行微调。造成的影响也只是偏移不同,并且不同函数在libc不同版本中的相对位置也是差不多的。那么首先就可以通过任意地址泄露去泄露libc中的任意一个地址,根据输出的内容可以进行大致的判断,比如这个地址是数据段,还是代码段。如果是数据段,那么这个地址偏大,就往小里调继续泄露,直到代码段为止。如果是代码段,那么输出的就是16进制机器码。这时我们可以在一个已知的libc中匹配有输出的指令的地方。
from pwn import *
libc=ELF('./libc-2.31.so')
#s='\x35\x0a'
s='\x31\xd2\xbf\x03'
p=list(libc.search(s))
print([hex(i) for i in p])
然后去已知libc中定位这个位置(不会匹配到很多),就可以知道当前这个地址是什么函数的什么位置,然后和目标函数(system,onegadget)的位置进行比较,高了还是低了,并对地址进行调整,继续进行泄露。然后不断地进行二分法查找,运气好的话很快就能定位到目标函数,进而微调就可以了。
from pwn import *
context.terminal 
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
