遇到use after free之类的漏洞时,利用small bin可以获取libc的基址,类似这种格式
p1=malloc(200);
p2=malloc(200);
free(p1);
print(*(unsigned long long*)p1);
然后算一下偏移即可。
或者申请一大片的内存来触发mmap,mmap 分配的内存与 libc 之间存在固定的偏移。
p1=malloc(0x21000);
print(p1)
无法获取elf基址时,可以通过获取的libc基址修改so库的symbol为one gadget地址
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc.symbols["__free_hook"]