bin/sh也不行开始泄露libc突然发现泄露出来后got表发生了点奇怪的变化回不去main了然后就调试了好久呜呜呜呜呜最后用了0x401216来控制rsi把寄存器布置完后栈迁移把r12pop成0强行用one_gadget

然后利用UAF漏洞修改malloc_hook为one_gadget，此时进行申请操作便可获取权限！frompwnimport*context(log_level='debug',os

Ubuntu虚拟机镜像下载安装VMware创建新的虚拟机配置基本pwn环境更换软件源python和pip安装pwntools安装git安装pwndbg安装配置pwn做题辅助工具LibcSearcher安装one_gadget

00开始当有了ROP_gadget之后就会发现one_gadget也是必须的。没有ROP_gadget的赶快了。

文章目录一、查看libc版本二、安装git、vim、checksec三、安装gdb1、插件pwndbg2、插件pwngdb四、安装pwntools五、安装ROP_gadget六、安装One_gadget

文章目录前言环境准备系统安装安装VMtoolsapt换源安装pip并换源安装pwntools安装gdb插件安装one_gadget安装LibcSearcher后记参考前言重新装了一下pwn环境，踩到了好多坑

程序漏洞情况程序溢出点很好找，但是没有提供/bin/sh和system后门函数，考虑ROP（one_gadget或者ROPchain）。

Pwnpwn1Run函数有个条件竞争，可以泄漏libc，后面libc换了2.27，所以条件竞争配合uaf写fd指针到__malloc_hook然后改为one_gadget即可frompwnimport*

1.题目描述只有任意5字节地址写入可用,且给了libc基址.除了canary保护全开2.思路写入2字节修改vtable指向别的可写可读处.写入3字节修改某函数为one_gadget知识点:exit中会调用

目标：利用dl_resolve执行libc内任意gadget（不需泄露libc地址）实验代码下载地址：https://github.com/bsauce/CTF/tree/master/dl_resolve_64分析：0CTF的题目blackhole2，很简单的栈溢出，但是远程不允许回显，所以不能泄露libc_base，不能返回shell。程序本身所含有的gadget有限，所以能不能不泄露libc

checksec一下，栈溢出IDA打开看看，明显的栈溢出漏洞题目给了libc文件，使用printf把read的got地址打印出来即可泄露libc地址，然后one_gadget拿shellfrompwnimport

思路：调试时发现在栈中有一个libc_start_main的地址可以根据这个地址算出距one_gadget的偏移得到这个偏移后再让libc_start_main这个地址加上这个偏移即可得到one_gaget

canary，程序有个输出puts()，有read(),并且read()有一个非常明显的溢出(s的大小只有0x90，但是read读取了0x100大小的数据)我们用one_gadgetlibc文件名来查找one_gadget

考察点：one_gadget题目给出了printf的地址，由此可算得libc基址，然后找one_gadget、计算libc中one_gadget地址printf("Givemeyouronegadget

watevr_2019_5x5_lightsout根据这里的越界异或，将返回地址改为one_gadget。

思路首先申请一个smallbin大小的trunk然后释放打印得到libc基址,然后doublefree打fastbinattack之后写到libc去__malloc_hook写入one_gadget再次

法一LibcSearcher与one_gadget特点：安装简单，好理解，构造思路清晰。frompwnimport*#pwntool生成shellcodeshellcode=asm(sh

保护然后这个题思路就是找到canary的偏移然后泄露libc库然后获取system地址x64要找pop这里获取到puts函数的地址但是这个题并没有给我lib库我只能自己用文件夹找然后找到了find但是呢我看我志琦哥用的是one_gadget

这里主要是用到了这个工具，但是这个工具的原理我还不了解，但是我调试了一下，最主要的是这个工具提供的shell需要满足它下面给的约束条件，对于这个题目而言要利用这个shell的条件就是[rsp+0x70]==NULLexpfrompwnimport*context(log_level='debug')libc=ELF('./libc/libc-2.29.64.so')p=remote('node3.

然后写到malloc_hook就ok不过这个题我一开始出了一个问题在malloc_hook里面我只是找到了7f然后我用了0x30的堆块然后不行malloc的直接在堆块了没有到我们想要的地方只能又重新规划然后one_gadget

程序输出printf函数地址可以利用工具one_gadget计算libc基址frompwnimport*#p=process('.

文章目录0x00.检查保护0x01.one_gadget0x02.ida调试0x03.解题思路：0x04.exp0x00.检查保护devil@ubuntu:~/adworld/pwn$checksecbabystack[*]'/home/devil/adworld/pwn/babystack'Arch:amd64-64-littleRELRO:FullRELRO;无法修改got表Stack:Can

index进行大小的检查，我们可以超过数组的范围到达main函数的返回地址处，就可以实现泄露和改变啊利用所以思路是先泄露__libc_start_main函数的地址然后计算出libc_base的地址，利用one_gadget

r2t3最简单的一道题，可是我竟然没有做出来，无语了，，，文件保护没啥好说的，，，很正常进入name_check函数255==>255256==>0，257==>1，258==>2，259==>3，260==>4，261==>5，262==>6，263==>7，264==>8我觉得应该是260-264，，，但是试了一下，发现最后的长度介于256-262都可以，，，我也不知道为什么差了这么几个，，，

如果能找到一处可控的调用，直接修改程one_gadget就可以了。