glibc中的one gadget技术详解<\/h1>

一、one gadget概念<\/h2>
one gadget是glibc中调用`execve('\/bin\/sh', NULL, NULL)<\/code>的一段非常有用的代码片段。在能够控制指令指针(IP\/PC)时，使用one gadget可以方便地实现远程代码执行(RCE)。<\/p>`

典型应用场景<\/h3>

能够执行任意函数但无法控制第一个参数时<\/li>
无法直接调用system("sh")<\/code>的情况<\/li>
需要绕过某些安全限制执行shell时<\/li>
<\/ul>
二、one gadget识别条件<\/h2>
64位系统中的识别条件<\/h3>

能够访问到'\/bin\/sh'字符串<\/li>
调用了exec*系列的函数<\/li>
参数设置符合要求<\/li>
<\/ol>
示例分析(64位)<\/h3>
4526a: mov rax,QWORD PTR [rip+0x37dc47]  # 3c2eb8 <_IO_file_jumps@@GLIBC_2.2.5+0x7d8>
45271: lea rdi,[rip+0x146eff]            # 18c177 <_libc_intl_domainname@@GLIBC_2.2.5+0x197>
45278: lea rsi,[rsp+0x30]
45278: mov DWORD PTR [rip+0x380219],0x0  # 3c54a0 <__abort_msg@@GLIBC_PRIVATE+0x8c0>
45287: mov DWORD PTR [rip+0x380213],0x0  # 3c54a4 <__abort_msg@@GLIBC_PRIVATE+0x8c4>
45291: mov rdx,QWORD PTR [rax]
45294: call cbbc0 <execve@@GLIBC_2.2.5>
<\/code><\/pre>
关键点：<\/p>

rdi = libc_base + 0x18c177<\/code>指向'\/bin\/sh'字符串<\/li>
rsi = rsp + 0x30<\/code>设置第二个参数<\/li>
调用execve<\/code>函数<\/li>
约束条件：[rsp + 0x30] == NULL<\/code><\/li>
<\/ul>
三、32位与64位差异<\/h2>
主要区别<\/h3>


数据访问方式不同<\/strong><\/p>

64位：使用RIP相对偏移访问数据段<\/li>
32位：使用[<reg> - 0x??]<\/code>形式访问只读数据<\/li>
<\/ul>
<\/li>

调用约定不同<\/strong><\/p>

64位：参数通过寄存器传递<\/li>
32位：参数通过栈传递<\/li>
<\/ul>
<\/li>
<\/ol>
32位示例分析<\/h3>
3ac69: mov eax,DWORD PTR [esi-0xb8]
3ac6f: add esp,0xc
3ac72: mov DWORD PTR [esi+0x1620],0x0
3ac7c: mov DWORD PTR [esi+0x1624],0x0
3ac86: push DWORD PTR [eax]
3ac88: lea eax,[esp+0x2c]
3ac8c: push eax
3ac8d: lea eax,[esi-0x567d5]
3ac93: push eax
3ac94: call b0670 <execve@@GLIBC_2.0>
<\/code><\/pre>
关键点：<\/p>

需要特定寄存器(ebx或esi)指向libc的GOT区域<\/li>
参数通过push指令设置<\/li>
栈操作复杂，需要仔细计算偏移<\/li>
<\/ul>
四、one_gadget工具<\/h2>
工具功能<\/h3>

自动查找glibc中的one gadget<\/li>
分析并显示使用约束条件<\/li>
支持符号执行分析复杂约束<\/li>
<\/ol>
安装方法<\/h3>
gem install one_gadget
<\/span><\/span><\/code><\/pre>查找策略<\/h3>

查找所有访问'\/bin\/sh'的代码<\/li>
筛选附近调用execve的代码段<\/li>
分析参数设置指令(如lea rsi, [rsp+0x??]<\/code>)<\/li>
使用符号执行确定约束条件<\/li>
<\/ol>
五、常见one gadget示例<\/h2>
glibc-2.19(64位)<\/h3>
0x4647c execve('\/bin\/sh', rsp+0x30, environ)
0xe5765 execve('\/bin\/sh', rsp+0x50, environ)
0xe66bd execve('\/bin\/sh', rsp+0x70, environ)
<\/code><\/pre>
glibc-2.23(64位)<\/h3>
0x4526a execve('\/bin\/sh', rsp+0x30, environ)
0xef6c4 execve('\/bin\/sh', rsp+0x50, environ)
0xf0567 execve('\/bin\/sh', rsp+0x70, environ)
<\/code><\/pre>
glibc-2.23(32位)<\/h3>
0x3ac69 execve('\/bin\/sh', esp+0x34, environ)
<\/code><\/pre>
六、符号执行技术<\/h2>
实现原理<\/h3>

将寄存器和栈位置视为符号变量<\/li>
模拟指令执行过程<\/li>
跟踪数据流和约束条件<\/li>
解析最终调用的参数形式<\/li>
<\/ol>
示例分析<\/h3>
对于以下汇编：<\/p>
mov edx, [eax]
lea esi, [edx + 4]
push esi
call func
<\/code><\/pre>
如果要func<\/code>的第一个参数为0，约束条件就是[[eax]+4] == 0<\/code><\/p>
七、实际应用建议<\/h2>

64位系统<\/strong>：优先使用one gadget，约束条件较简单<\/li>
32位系统<\/strong>：需要确保特定寄存器指向GOT区域<\/li>
多尝试<\/strong>：不同版本的glibc中one gadget位置不同<\/li>
约束验证<\/strong>：使用工具提供的约束条件确保可用性<\/li>
<\/ol>
八、版本差异<\/h2>
不同glibc版本中的one gadget数量：<\/p>

glibc-2.23(64位)：6个one gadget<\/li>
glibc-2.23(32位)：3个one gadget<\/li>
glibc-2.19(64位)：6个one gadget<\/li>
glibc-2.19(32位)：4个one gadget<\/li>
<\/ul>
九、总结<\/h2>
one gadget技术是漏洞利用中的重要技巧，掌握其原理和使用方法可以：<\/p>

绕过参数控制限制<\/li>
简化ROP链构造<\/li>
提高漏洞利用成功率<\/li>
适应不同环境下的利用场景<\/li>
<\/ol>
建议结合one_gadget工具进行自动化查找和分析，特别是在面对不同版本的glibc时。<\/p>

glibc中的one gadget技术详解<\/h1>

一、one gadget概念<\/h2> one gadget是glibc中调用execve('\/bin\/sh', NULL, NULL)<\/code>的一段非常有用的代码片段。在能够控制指令指针(IP\/PC)时，使用one gadget可以方便地实现远程代码执行(RCE)。<\/p>

二、one gadget识别条件<\/h2>

三、32位与64位差异<\/h2>

四、one_gadget工具<\/h2>

五、常见one gadget示例<\/h2>

六、符号执行技术<\/h2>

一、one gadget概念<\/h2>
one gadget是glibc中调用`execve('\/bin\/sh', NULL, NULL)<\/code>的一段非常有用的代码片段。在能够控制指令指针(IP\/PC)时，使用one gadget可以方便地实现远程代码执行(RCE)。<\/p>`