one_gadget介绍

很多新手在栈溢出的时候会手动输入/bin/sh地址和system等函数的地址，这样不仅麻烦而且很容易出错。其实libc中带有很多gadget，控制程序跳转到这些位置执行并满足一定的条件就可以拿到shell。

栈上的万能one_gadget

最常见的用法是one_gadget后面跟libc文件，就可以拿到one_gadget的地址了，上图我以libc 2.27为例，这里有一个小技巧，就是可以看到one_gadget是需要满足一定条件的，这里我认为最好满足的是 rsp+0x40==NULL 这个条件，要求栈上的这个位置为null，这里随便拿一个程序来看一下。我在返回地址处填充了0x4f3c2这个gadget。

然后跟进去运行， ，发现程序将rsp+0x40赋值给了rsi，那么显然这个值是需要是null的，这也跟刚才one_gadget给我们提示的满足条件相符合。看一下这个值，
这个值并不是null，这样的话运行下去显然是会出错的，修改这个值显然也很麻烦，但是我们可以观察到0x7fffb5b9e0d0 + 0x60是null，符合我们的要求，而且刚才溢出的时候我们是可以控制rsp的，我们可以在输入one_gadget之前多个ret指令的addr，这样就可以增加rsp的值了。修改后的payload如下

payload = 0x78 * 'a' + p64(ret_addr) + p64(ret_addr) + p64(ret_addr) + p64(ret_addr) + p64(one_addr)

此时

这样就可以满足我们的要求了

其他技巧

后面加-l2参数可以找到更多的gadget。

另外还有一个near功能也很管用，可以找最靠近某个函数的gadget，这里我以libc 2.23为例。

one_gadget /lib/x86_64-linux-gnu/libc.so.6 --near read

可以看到这两个地址只相差了两个字节。利用这一点我们可以在泄露不了libc的情况下采用尾字节覆盖的方式来强行修改read函数地址成为我们的one_gadget地址。我们看到libc函数在随机时最后倒数两个字节中只有前半个字节随机。
第一次

第二次

因此在这里我们只要覆盖尾部的两个字节，我们就有1/16的概率命中。
one_gadget的介绍到这里就结束了，如果有不足的地方，欢迎大家指正。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界