[CTF]-PWN:C++文件更换libc方法（WSL）

news2024/11/27 15:53:34

C++文件与C文件更换libc有很多不一样的地方，我是在写buu的ciscn_2019_final_3才意识到这个问题，C文件只需要更换libc和ld就可以了，但是C++文件不同，除了更换libc和ld，它还需要更换libstdc++.so.6和libgcc_s.so.1

更换libc和ld的方法我在那篇文章里讲了，这里就不重复讲了。主要是把更换libstdc++和libgcc的方法讲一下。

ld：
patchelf --set-interpreter 新的ld路径 文件名
例如：
64位（约ubuntu16）：patchelf --set-interpreter /root/glibc-all-in-one/libs/2.23-0ubuntu3_amd64/ld-2.23.so babyrop2
32位（约ubuntu16）：patchelf --set-interpreter /root/glibc-all-in-one/libs/2.23-0ubuntu3_i386/ld-2.23.so hacknote

libc：
patchelf --replace-needed 原来第二行的==>前的libc名 要更换成的libc 文件名
例如：
64位（约ubuntu16）：patchelf --replace-needed libc.so.6 /root/glibc-all-in-one/libs/2.23-0ubuntu3_amd64/libc-2.23.so babyrop2
32位（约ubuntu16）：patchelf --replace-needed libc.so.6 /root/glibc-all-in-one/libs/2.23-0ubuntu3_i386/libc-2.23.so hacknote

ld：
64位（约ubuntu18）：patchelf --set-interpreter /root/glibc-all-in-one/libs/2.27-3ubuntu1_amd64/ld-2.27.so babyheap

libc：
64位（约ubuntu18）：patchelf --replace-needed libc.so.6 /root/glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc-2.27.so babyheap

如果是用虚拟机的话也可以根据wsl的方法改一下路径，也是可以按照这个方法改的

我们就以buu的ciscn_2019_final_3为例

在更换了libc和ld之后可以发现程序依旧没法启动，ldd查看之后发现报错

这表示我们还需要更换libstdc++和libgcc_s.so.1

更换libstdc++：

更换libstdc++可以用patchelf实现

先讲如何获取libstdc++

在glibc-all-in-one里面我们是找不到libcstdc++的，同样也没有libgcc，所以我们可以用docker来获取（这里参考了其他师傅的博客），流程如下。

更改流程：

第一步先用docker创建容器（往linux命令行输入）

docker run -it ubuntu:18.04 /bin/bash

第二步根据自己原有的ubuntu版本的路径来找libstdc++的位置

我这里就是/usr/lib/x86_64-linux-gnu

所以用docker cp命令把文件拷贝下来，这里建议不要只拷贝libstdc++，而是把它所在的整个文件下下来，因为不一定所有文件都可以使用。

docker cp ee50a7998286:/lib/x86_64-linux-gnu /
#这里记得根据你的容器改一下

第三步在拷贝下来的文件里找到libstdc++，但是要注意，这个libstdc++文件可能没法用（不知道是不是我自己的问题，但这里还是要说一下）用vscode可以看到，libstdc++.so.6没法用，改了之后会发现not found，并且当你尝试打开它时会发现不在路径中，相当于根本没有这个文件。

但我们可以用libstdc++.so.6.0.25，效果差不多了。

第四步更换libstdc++

patchelf --replace-needed libstdc++.so.6 /root/libc/18/usr-x86_64-linux-gnu/libstdc++.so.6 final3

注意依照自己的路径改一下命令。

更换libgcc：

更换完libstdc++之后就要更换libgcc了，但是libgcc好像没法用patchelf --replace-needed来替换，正常一点的方法我暂时还没想到，但鉴于这种c++文件在正常比赛中不常见，这里采用了个简单粗暴的方法，那就是照着路径去把原来的libgcc改名，然后把ubuntu18的libgcc换到原来libgcc的位置（不是替换，不是删除）而是把原来改名，让新的占原来的位置就行了。

我暂时也没更好的方法了。

改完之后就是这样了