196082's blog
GLIBC 2.35 hook
196082 慢慢好起来
  2022-11-04 19:13:08   2022-11-04 19:22:49    299 字  1 分钟  

引言

众所周知在高版本的glibc中取消了free_hook和malloc_hook都被删除掉了。

那么如果我们存在一个UAF漏洞但是只能申请size为0x20的chunk时就会显得十分窘迫,如果使用选择使用house of emma或者house of apple之类的攻击手法我们就需要花费大量的chunk来进行利用。

根据上述情况来说就目前我们已学的知识中可以使用exit_hook进行解决,不过就在今天在微信公众号中刷到一篇文章中提到了一篇文章,通过修改_rtld_global._dl_ns._ns_loaded实现劫持程序执行流。

分析

image-loader

如上图所示,在通过exit函数或者程序正常退出时会调用fini_array中的函数

image-20221104180544894

再从这张图中可以看到fini_array中的函数也正是house of banana中提到的_dl_fini函数中调用的,并且可以看到是在

_rtld_global._dl_ns._ns_loaded这个位置取出程序基地址,随后根据右边的偏移确定fini_array的位置,所以我们可以通过修改上述地址的内容到我们期望的位置即可劫持了。

参考文章:https://www.freebuf.com/articles/system/345968.html

 评论
评论插件加载失败
正在加载评论插件
  1. 引言
  2. 分析
© 2020 - 2025    196082
由 Hexo 驱动 & 主题 Keep
本站由 提供部署服务
总字数 335.6k 访客数 访问量
  1. 引言
  2. 分析