概要

one_gadget是libc中存在的一些执行execve("/bin/sh", NULL, NULL)的片段，当可以泄露libc地址，并且可以知道libc版本的时候，可以使用此方法来快速控制指令寄存器开启shell。

相比于system("/bin/sh")，这种方式更加方便，不用控制RDI、RSI、RDX等参数。运用于不利构造参数的情况。

安装及使用方式

首先需要安装Ruby（Ruby < 2.4 会导致one_gadget无法安装，最好是通过添加仓库的方式安装）

# 添加仓库

sudo add-apt-repository ppa:brightbox/ruby-ng

sudo apt-get update

# 指定ruby 2.6版本

sudo apt-get install ruby2.6 ruby2.6-dev 

# 贴一条删除旧版本ruby的命令

sudo apt-get purge --auto-remove ruby

然后安装one_gadget
```
sudo gem install one_gadget
```
使用方法很简单
```
one_gadget libc.so.6
```

踩坑记录

one_gadget并不总是可以获取shell，它首先要满足一些条件才能执行成功（如果没有满足条件也执行成功了，那纯粹就是靠脸了）

unravel@unravel:~/Desktop/note$ one_gadget libc-2.23.so

0x45226 execve("/bin/sh", rsp+0x30, environ)

constraints:

  rax == NULL                                # 这个提示的意思就是在调用one_gadget前需要满足的条件

0x4527a execve("/bin/sh", rsp+0x30, environ)

constraints:

  [rsp+0x30] == NULL

0xf03a4 execve("/bin/sh", rsp+0x50, environ)

constraints:

  [rsp+0x50] == NULL

0xf1247 execve("/bin/sh", rsp+0x70, environ)

constraints:

  [rsp+0x70] == NULL

这次祥云杯我就是遇到这种情况，one_gadget无法调用，原因是我将one_gadget写入了_malloc_hook中，_malloc_hook会使用jmp rax来执行代码，所以在执行one_gadget时，rax必定不为NULL，只能排除第一个one_gadget。而其他三个one_gadget均无法满足要求，后来是利用realloc 函数来多push几个参数到栈上，而此时恰好满足one_gadget的条件，也就可以获取shell了。

总结

以前从来没注意过one_gadget的调用过程，借这次比赛机会了解了一下，也学到了很多小技巧，在这里记录一下。

如果是使用_malloc_hook来调用one_gadget，那么需要配合realloc来构造所需参数，realloc在libc中的符号是__libc_realloc
如果是使用其他方式调用one_gadget，比如说修改GOT表，那么需要在栈上提前构造好参数，或者将rax寄存器清零
在泄露libc地址的时候，最好是泄露read函数的地址，因为read函数距离one_gadget的偏移是不会变的，只需要将read函数真实地址减去0x6109，就可以使用one_gadget了，具体可以自行调试一下便知。那这么做的好处就是不用去知道libc的版本，省了很大一部分时间和精力，libc版本是个坑，懂的都懂。

巴特西

one_gadget的一些姿势

概要

安装及使用方式

踩坑记录

总结

最新文章

热门文章