4.6 one-gadget RCE

one-gadget RCE 是在 libc 中存在的一些执行 execve('/bin/sh', NULL, NULL) 的片段。当我们知道 libc 的版本,并且可以通过信息泄露得到 libc 的基址,则可以通过控制 EIP 执行该 gadget 来获得 shell。这个方法的优点是不需要控制调用函数的参数,在 64 位程序中,也就是 rdi、rsi、rdx 等寄存器的值。

可以使用工具 one_gadget 很方便地查找 one-gadget:

  1. $ sudo gem install one_gadget
  1. $ file /usr/lib/libc-2.26.so
  2. /usr/lib/libc-2.26.so: ELF 64-bit LSB shared object, x86-64, version 1 (GNU/Linux), dynamically linked, interpreter /usr/lib/ld-linux-x86-64.so.2, BuildID[sha1]=466056d0995495995ad1a1fe696c9dc7fb3d421b, for GNU/Linux 3.2.0, not stripped
  3. $ one_gadget -f /usr/lib/libc-2.26.so
  4. 0x41e92 execve("/bin/sh", rsp+0x30, environ)
  5. constraints:
  6. rax == NULL
  7. 0x41ee7 execve("/bin/sh", rsp+0x30, environ)
  8. constraints:
  9. [rsp+0x30] == NULL
  10. 0xe2c20 execve("/bin/sh", rsp+0x60, environ)
  11. constraints:
  12. [rsp+0x60] == NULL

经过验证,第一个似乎不可用,另外两个如下,通常,我们都使用 do_system 函数里的那个:

  1. [0x00021080]> pd 7 @ 0x41ee7
  2. | 0x00041ee7 488b056aff36. mov rax, qword [0x003b1e58] ; [0x3b1e58:8]=0
  3. | 0x00041eee 488d3d409313. lea rdi, str._bin_sh ; 0x17b235 ; "/bin/sh"
  4. | 0x00041ef5 c70521253700. mov dword [obj.lock_4], 0 ; [0x3b4420:4]=0
  5. | 0x00041eff c7051b253700. mov dword [obj.sa_refcntr], 0 ; [0x3b4424:4]=0
  6. | 0x00041f09 488d742430 lea rsi, [local_30h] ; sym.lm_cache ; 0x30
  7. | 0x00041f0e 488b10 mov rdx, qword [rax]
  8. | 0x00041f11 67e8c9260800 call sym.execve
  9. [0x00021080]> pd 5 @ 0xe2c20
  10. | 0x000e2c20 488b0531f22c. mov rax, qword [0x003b1e58] ; [0x3b1e58:8]=0
  11. | 0x000e2c27 488d742460 lea rsi, [local_60h] ; sym.buffer_14 ; 0x60 ; "0\x02"
  12. | 0x000e2c2c 488d3d028609. lea rdi, str._bin_sh ; 0x17b235 ; "/bin/sh"
  13. | 0x000e2c33 488b10 mov rdx, qword [rax]
  14. | 0x000e2c36 67e8a419feff call sym.execve

当然,你也可以通过 build ID 来查找对应 libc 里的 one-gadget。

  1. $ one-gadget -b 466056d0995495995ad1a1fe696c9dc7fb3d421b

参考资料