遇到use after free之類的漏洞時,利用small bin可以獲取libc的基址,類似這種格式
p1=malloc(200);
p2=malloc(200);
free(p1);
print(*(unsigned long long*)p1);
然後算一下偏移即可。
或者申請一大片的內存來觸發mmap,mmap 分配的內存與 libc 之間存在固定的偏移。
p1=malloc(0x21000);
print(p1)
無法獲取elf基址時,可以通過獲取的libc基址修改so庫的symbol爲one gadget地址
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc.symbols["__free_hook"]