下载某个版本的glibc,我是在这里下载的:https://mirrors.tuna.tsinghua.edu.cn/ubuntu/pool/main/g/glibc/
我把它解压到lib00文件夹里:dpkg -x libc6_2.31-0ubuntu9.1_amd64.deb lib00
利用pwntools工具,指定ld.so和libc.so.6,来运行程序,脚本是这样的:
from pwn import * context.log_level="debug" sh = process(["./lib00/lib/x86_64-linux-gnu/ld-2.31.so", "./hello"],env={"LD_PRELOAD":"./lib00/lib/x86_64-linux-gnu/libc.so.6"}) pwnlib.gdb.attach(sh) sh.interactive()
libc2.23和libc2.31的堆块特征有所不同,做pwn题会碰到,我们写个例子,来测试一下:
#include<stdlib.h> #include<unistd.h> int main(){ char * s = malloc(0x20); char * s1 =malloc(0x20); free(s); read(0,s1,0x10); return 0; }
编译它:gcc -g hello.c -o hello
默认libc运行,我们看下它的堆块布局:
指定libc 运行时,堆布局是这样的:
可以看到,libc2.31会在申请的chunk前加上一个大小为0x290的chunk,并且在堆块释放后,会在chunk_addr+0x18的地方存储一个堆址。