【pwn】未知libc版本利用的一个蠢方法

最新推荐文章于 2025-06-15 18:36:18 发布
最新推荐文章于 2025-06-15 18:36:18 发布
阅读量1.5k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: pwn 文章标签: pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/github_36788573/article/details/108063060
本文介绍了一种在CTF比赛中面对未知libc版本时,通过栈溢出和栈迁移寻找onegadget的方法。通过泄露libc中的任意地址,结合不同版本libc的相似性进行函数定位,使用二分法逐步逼近目标函数,如system或onegadget,实现漏洞利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前几天看了一道题,题目本身还是比较常规的,这题的预期解法是通过_dl_runtime_resolve来做的。但我就是想用栈溢出+栈迁移碰一碰,整了半天就差onegadget地址了,查了一下libc search发现找不到对应的版本,可能出题人就是想用一个比较偏的libc版本把这条路封死,但我最后还是硬怼出来了。以后如果遇到了数据库中找不到对应的libc版本的时候可以尝试一下这种方法(当然ctf题中一般不会出个很偏的libc版本)。

条件:1.libc中的一个任意地址(通过泄露got表就可得到)。2.可以通过rop进行任意地址泄露。
想法很简单,因为libc不同版本之间的差异并不会很大,粗粒度地无非是增删一些函数,细粒度地对函数内的基本块进行微调。造成的影响也只是偏移不同,并且不同函数在libc不同版本中的相对位置也是差不多的。那么首先就可以通过任意地址泄露去泄露libc中的任意一个地址,根据输出的内容可以进行大致的判断,比如这个地址是数据段,还是代码段。如果是数据段,那么这个地址偏大,就往小里调继续泄露,直到代码段为止。如果是代码段,那么输出的就是16进制机器码。这时我们可以在一个已知的libc中匹配有输出的指令的地方。

from pwn import *
libc=ELF('./libc-2.31.so')
#s='\x35\x0a'
s='\x31\xd2\xbf\x03'
p=list(libc.search(s))
print([hex(i) for i in p])

然后去已知libc中定位这个位置(不会匹配到很多),就可以知道当前这个地址是什么函数的什么位置,然后和目标函数(system,onegadget)的位置进行比较,高了还是低了,并对地址进行调整,继续进行泄露。然后不断地进行二分法查找,运气好的话很快就能定位到目标函数,进而微调就可以了。

from pwn import *

context.terminal
最低0.47元/天 解锁文章

200万优质内容无限畅学
ctf】 关于确定靶机上的libc版本
qq_31808893的博客
02-07 593
记录一下经验,有时候通过泄露的单一地址 如 puts printf 等用工具查或者手动查会查出很多libc版本一个个试是一种办法,不过有一种方法可以更精确确定libc版本
pwn】ROP--retlibc
Joaus的博客
04-27 718
ROP中对retlibc技术的一些学习心得 漏洞利用思路: 1.找到泄露库函数地址的漏洞,获取libc版本(因为一般不会给你libc.so文件) 查询libc版本一般有三种方法1.libcsearcher库。在编写exp的时候用from LibcSearcher import LibcSearcher导入 通过libc.dump('system')可以得到system函数的偏移,libc.du...
pwn 查看陌生libc版本
yongbaoii的博客
05-07 1901
我们经常在做一些pwn题的时候需要知道它的libc版本 因为不同的版本会有不同的影响,libc-2.24之后vtable多了检查,libc-2.27之后多了tcache。 那么题目给一个陌生的libc怎么知道它对应的版本? 拖到IDA里面。然后在字符串窗口搜索GNU就好了。 ...
C语言:Linux libc和glibc的历史
最新发布
前进,才知道自己的渺小
06-15 693
libc用通常被用来指代标准C库的简称,即满足C语言标准的库,可供其他程序使用。但由于一些历史原因,它的概念出现了一些模糊,本文旨在帮助读者厘清这些概念。
LibcSearch报错 LibcSearcher找不到合适libc 最新解决方案
csdn546229768的博客
11-06 4224
如果大家在执行Libcsearch 的pyload时发生报错信息翻译过来时找不到适合的libc,这是因为极大可能你使用的环境是python3而你参照网上的pwn环境搭建时,你下载的LibcSearch它不支持py3!! 解决方式:用pip3下载另一个大佬更新的版本 命令如下: pip3 install LibcSearcher 安装完成后用py3运行payload,由原来的本地libc查找改为了云端,也就是说需要联网才可以执行这个库,但是不影响平时练习,除非你进入了CTF决赛。。 我安装新版后用py3执行
pwn libc之Dynelf工具
清霂的博客
04-02 598
目录pwn-100pwn-200welpwn Dynelf工具可以根据泄露出的地址找到相应libc版本的其他函数地址,但缺点时不能查找字符串也就是"/bin/sh"的地址,所以找到system函数后,往往还需要找到一个可写的地方用read函数读取"/bin/sh" pwn-100 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="amd64", log_level="debug") contentt = 1 #elf e
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
bugku pwnlibc
11-06
bugku pwnlibcpwn3做题时可在里面查找system、binsh等
CTF pwn利用pwntools加载不同版本libc调试程序的方法
Assassin
04-09 5292
在网上找到了很多加载libc的帖子,终于自己走通了一次,现在把方法和资源都整理一下 一、解决方案 python利用pwntools的代码 from pwn import * import pwnlib context(os='linux',arch='amd64',log_level='debug') if __name__ == '__main__': conn = process(['./ld-2.23.so','./pwn'], env = {'LD_PRELOAD' : './libc-2.2
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
PWN入门之libc
weixin_44681716的博客
03-24 2884
这次的实验的前提的我们不知道system和bin/sh的函数,然后通过泄露某个函数在libc表中的地址,再加上这几个函数的偏移量来计算system和bin/sh的地址,最后将这个地址覆盖到ret上,以便能跳至我们想要的函数,最终获得shellcode 我们还是以pwn举例 1...
arm64 libc 库。可解决libc版本过低问题。
04-22
arm64 libc 库。可解决libc版本过低问题。arm64 libc 库。可解决libc版本过低问题。
解决usrlib64libstdc++.so.6和lib64libc.so.6版本过低问题
02-28
解决usrlib64libstdc++.so.6和lib64libc.so.6版本过低问题
CTF必备技能丨Linux Pwn入门教程——利用漏洞获取libc
dfdhxb995397的博客
07-26 682
Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程。 教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会封装在Docker镜像当中,并提供调试用的教学程序,来自历年赛事的原题和带有...
pwn 更改pwnlibc保姆级教程★
YX-hueimie
09-21 3673
现在市面上有很多关于改libc的教程,但是基本有以下几个问题:没有符号表、错误、过时、繁琐、高版本不适用。于是我找了一种最简单并且全libc通用的方法。现分享如下。
日行一PWN之ciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 913
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc版本,我们需要自己暴漏libc版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
从根源上解决libc.so.6版本问题版本问题
Goto___的博客
05-02 1407
从根源上解决libc.so.6版本问题版本问题 /lib64/libc.so.6:version‘GLIBC_XXX’ not found不知道你们是不是有时候也跟我一样,在安装完不知道你们是不是有时候也跟我一样,在安装完python某些包的时候,在某些包的时候,在import的时候总会报错的时候总会报错 libc.so.6的版本问题,在网的版本问题,在网上查找了上查找了N种方式,不是没有资源下载就是没用,偶尔也会遇到一些有用的,但是是实在是有点烦。于是就去找了公司的运维小哥帮忙看下,结果三两下就解决了。
CTF中关于pwn题如何加载目标libc方法
weixin_30345577的博客
09-20 856
问题:在做pwn题的过程中,我们经常会遇到题目提供libc,但是本地调试的时候加载的是本地libc。 解决方法方法1: 可以用添加环境变量的方法,如下:    export LD_LIBRARY_PATH=`pwd` #当前目录为加载目录export LD_PRELOAD=你的libc #加载本地pwn题目下的libc 最后不用了在:unset LD_PRELOAD #调...
浅谈GNU LIBC版本间的变化
yeholmes的专栏
06-10 1054
本文记录了调试过程中发现的一些glibc多线程库libpthread的变化
pwn libc版本
03-14
### PWNLibc 版本差异及其使用场景 在渗透测试和CTF竞赛中,`libc` 的版本差异是一个非常重要的因素。不同的 `libc` 版本可能导致相同的漏洞利用脚本无法跨平台运行[^2]。 #### 1. **Libc 版本差异的影响** - 不同操作系统或发行版可能预装了不同版本的 `glibc` 库。这些库中的函数地址、堆管理器实现以及系统调用接口可能存在显著区别。 - 在某些情况下,即使两个系统都基于同一 Linux 发行版,但由于更新策略的不同,也可能安装了不兼容的 `libc` 版本[^3]。 #### 2. **常见 Libc 差异分析** - **堆分配机制**: 各种 `malloc` 实现(如 ptmalloc2 和 tcache)会因版本而异。较新的 `libc` 可能引入额外的安全特性,例如 tcache poisoning 防护[^4]。 - **符号偏移量变化**: 函数指针表的位置可能会随着新功能加入或者修复已知问题发生调整。这直接影响ROP链构建过程[^1]。 - **ASLR 支持强度**: 较新版通常具备更强随机化能力,增加了攻击难度;然而通过特定技术仍可绕过部分防护措施。 #### 3. **PWN 利用时如何处理 Libc 版本差异** 为了应对上述挑战,在实际操作过程中可以采取如下方法: ##### 使用工具辅助定位具体版本- 推荐采用专门开发用于此目的的应用程序比如 `one_gadget`, 它可以根据给定的目标二进制文件自动计算出所有可用的一键触发 shellcode 地址集合。 ##### 动态加载远程服务器上的真实共享对象副本 当本地缺乏匹配项时,则需下载对应架构下的官方包并提取其中的内容作为参考依据。 ```bash wget http://ftp.debian.org/debian/pool/main/g/glibc/libc6_*.deb ar xv data.tar.xz ./lib/x86_64-linux-gnu/ cp lib/x86_64-linux-gnu/* /your/local/path/ ``` ##### 自定义编写通用型Exploit框架 考虑到未来维护成本较低且适应范围广的优势所在,建议开发者自行搭建一套模块化的解决方案体系结构来满足多样化的需求情境。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值