2021年6月8日 · 释放掉这个进程打开的文件描述符, 释放掉task结构体, … //退出时调用__exit_funcs链表中的函数，__exit_funcs位于libc的.data段 . __run_exit_handlers(status, &__exit_funcs, true); . /* 函数类型, 可以是{ef_free, ef_us, ef_on, ef_at, ef_cxa} - ef_free表示此位置空闲. - ef_us表示此位置被使用中, 但是函数类型不知道. - ef_on, ef_at, ef_cxa 分别对应三种不同的析构函数类型, 主要是参数上的差异. void *arg; void *dso_handle;

2013年12月18日 · ‘exit ()’与‘_exit ()’的基本区别在于前一个调用与实施库里用户状态结构 (user-mode constructs)有关的清除工作 (clean-up)，而且调用用户自定义的清除程序 (译者注：自定义清除程序由atexit函数定义，可定义多次，并以倒序执行)，相对 应，后一个函数只为进程实施内核清除工作。 在由‘fork ()’创建的子进程分支里，正常情况下使用‘exit ()’是不正确的，这是 因为使用它会导致标准输入输出 (译者注：stdio: Standard Input Output)的缓冲区被 清空两次，而且临时 …

在exit调用run_exit_handlers()时下断点, 找到exit_funcs指针 查看里面保存的数据, 发现最重要的函数指针fns[0].on.fn是类似于乱码一样的东西, 这是因为libc为了安全, 对其进行的加密

2023年10月24日 · fns 数组存储的 exit_function 记录可以包含三种不同类型的函数原型： 其中 quick_exit 调用 __run_exit_handlers 的后两个参数为 false，少清理了一些内容，以达到"快速退出"的目的。

exit_hook函数介绍. 使用版本：glibc2.34之前. 链子：__run_exit_handlers---> _dl_fini. 存在情况通过libc_start_main进入 或者 使用了exit函数. 动态调试过程： 我们通过观看_dl_fini的源码来看里面发生了什么：

2023年4月2日 · at：一个指向无参数无返回值函数的指针，用于表示一种特殊的退出处理函数，该函数不需要传递任何参数，只需在程序退出时执行即可。 on：一个带有两个参数的函数指针，第一个参数是退出状态码，第二个参数是一个指针类型，用于传递函数的参数。 cxa：一个带有三个参数的函数指针，第一个参数是一个指针类型，用于传递函数的参数，第二个参数是退出状态码，第三个参数是一个指向动态共享对象句柄的指针。 */ } on; } cxa; } func; }; /* First, call the TLS …

2023年4月5日 · return __cxa_atexit((void (*)(void *))func, NULL, &__dso_handle == NULL ? NULL : __dso_handle); 参数: - func 析构函数指针. - arg 参数指针. - d DSO. - listp 析构函数数组链表指针. PTR_MANGLE(func); new->func.cxa.fn = (void (*)(void *, int))func; //函数指针. new->func.cxa.arg = arg; //参数. new->func.cxa.dso_handle = d;

2022年1月5日 · 之前经常改 malloc_hook ， realloc_hook，free_hook 为 one_gadget 来 get shell ，最近看到一种利用是改 exit hook（winmt师傅告诉我 其实没有exit hook，它是函数指针）。 改 exit_hook 有两种改法，一个是改为 on

执行命令：docker run –name centos8 -d centos /bin/bash，通过docker ps查看正在运行中容器，找不到centos8。

2023年9月18日 · 下面有一次任意写，改exit为ogg就可以通了. 改rtld_lock_default_lock_recursive 或 rtld_lock_default_unlock_recursive 为 one_gadget. 我们获取rtld_lock_default_lock_recursive地址后直接将ogg写入. 可惜当时远程没出，没时间试libc版本了 全场唯一解是amazh师傅tql. exp: