glibc-文件读缓存的EOF判定坑

最新推荐文章于 2022-08-31 20:12:35 发布
最新推荐文章于 2022-08-31 20:12:35 发布
阅读量734 收藏
点赞数
分类专栏: 源码分析 文章标签: 缓存 libc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/InsZVA/article/details/75094623
版权

本文基于glibc2.24版本。问题起源于一个学弟的代码:

#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>

int main() {
    int rec = dup(0);
    int fd = open("./a.txt", O_RDONLY, 0644 );
    dup2(fd, 0);
    putchar(getchar());
    dup2(rec, 0);
    putchar(getchar());
    putchar(getchar());
    putchar(getchar());
    putchar(getchar());
    putchar(getchar());
    putchar(getchar());
    close(fd);
}
``

a.txt的内容是`123456`,本来想先把0号(就是原来是stdin)fd重定向到文件a.txt,然后读出第一个字符,
然后回复到正常的stdin,并读入6个字符,结果当输入`123456`,得到结果是`1234561`而不是预期的`1123456`,
或者是`123456`然后全部eof。这么看来,应该是跟glibc的输入缓存有关,于是查看源码看看原理。

结果找了好久没找到,然后看这个哥们 http://blog.csdn.net/u012927281/article/details/51932563 也是没找到,
然后我定位找了一下IO_FILE结构体的read指针的引用,最终发现在`/libio/fileops.c`中的`_IO_new_file_underflow`:

```c
int
_IO_new_file_underflow (_IO_FILE *fp)
{
  _IO_ssize_t count;




<div class="se-preview-section-delimiter"></div>

#if 0
  /* SysV does not make this test; take it out for compatibility */
  if (fp->_flags & _IO_EOF_SEEN)
    return (EOF);




<div class="se-preview-section-delimiter"></div>

#endif

  if (fp->_flags & _IO_NO_READS)
    {
      fp->_flags |= _IO_ERR_SEEN;
      __set_errno (EBADF);
      return EOF;
    }
  if (fp->_IO_read_ptr < fp->_IO_read_end)
    return *(unsigned char *) fp->_IO_read_ptr;

  if (fp->_IO_buf_base == NULL)
    {
      /* Maybe we already have a push back pointer.  */
      if (fp->_IO_save_base != NULL)
    {
      free (fp->_IO_save_base);
      fp->_flags &= ~_IO_IN_BACKUP;
    }
      _IO_doallocbuf (fp);
    }

  /* Flush all line buffered files before reading. */
  /* FIXME This can/should be moved to genops ?? */
  if (fp->_flags & (_IO_LINE_BUF|_IO_UNBUFFERED))
    {




<div class="se-preview-section-delimiter"></div>

#if 0
      _IO_flush_all_linebuffered ();




<div class="se-preview-section-delimiter"></div>

#else
      /* We used to flush all line-buffered stream.  This really isn't
     required by any standard.  My recollection is that
     traditional Unix systems did this for stdout.  stderr better
     not be line buffered.  So we do just that here
     explicitly.  --drepper */
      _IO_acquire_lock (_IO_stdout);

      if ((_IO_stdout->_flags & (_IO_LINKED | _IO_NO_WRITES | _IO_LINE_BUF))
      == (_IO_LINKED | _IO_LINE_BUF))
    _IO_OVERFLOW (_IO_stdout, EOF);

      _IO_release_lock (_IO_stdout);




<div class="se-preview-section-delimiter"></div>

#endif
    }

  _IO_switch_to_get_mode (fp);

  /* This is very tricky. We have to adjust those
     pointers before we call _IO_SYSREAD () since
     we may longjump () out while waiting for
     input. Those pointers may be screwed up. H.J. */
  fp->_IO_read_base = fp->_IO_read_ptr = fp->_IO_buf_base;
  fp->_IO_read_end = fp->_IO_buf_base;
  fp->_IO_write_base = fp->_IO_write_ptr = fp->_IO_write_end
    = fp->_IO_buf_base;

  count = _IO_SYSREAD (fp, fp->_IO_buf_base,
               fp->_IO_buf_end - fp->_IO_buf_base);
  if (count <= 0)
    {
      if (count == 0)
    fp->_flags |= _IO_EOF_SEEN;
      else
    fp->_flags |= _IO_ERR_SEEN, count = 0;
  }
  fp->_IO_read_end += count;
  if (count == 0)
    {
      /* If a stream is read to EOF, the calling application may switch active
     handles.  As a result, our offset cache would no longer be valid, so
     unset it.  */
      fp->_offset = _IO_pos_BAD;
      return EOF;
    }
  if (fp->_offset != _IO_pos_BAD)
    _IO_pos_adjust (fp->_offset, count);
  return *(unsigned char *) fp->_IO_read_ptr;
}

比较关键的是count = _IO_SYSREAD这里,读入缓冲区,然后他只判断了count为0和负的时候,
认为count为零是EOF,count<缓冲区大小的时候居然不会标记为EOF。。。

所以当最后一次缓冲a.txt的时候,不会认为文件已经读完,然后缓冲里面的123456读完后,会再去
预读,然后发现fd还有内容(握草,你上次读的时候发现读出来的没缓冲区大,居然不觉得有问题,这次
还去读),然后就变成这个样子了。

NOTE:我觉得glibc这样是一种偷懒的行为,写代码可以方便一些,否则得再预读一位或者用offset和stat
做比较。而且应该也是为了stdin的特殊之处,没有EOF处理,又不想单独处理下stdin。

InsZVA
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
glibc源码分析之普通文件
pk_20140716的专栏
08-18 2137
glibc中关于普通文件写的函数有open,close,read,write,lseek,lseek64。它们分别封装了open,close,read,write,lseek,_llseek系统调用。 lseek用于在32位长度的文件中跳转,_llseek用于在64位长度的文件中跳转。 open函数的封装在前文中已经介绍了。close函数定义在sysdeps/unix/sysv/linux/c
glibc的头文件 linux_Glibc、系统调用和C库函数
weixin_36015213的博客
01-12 1030
一、概述之所以要写这个,是因为发现了一个很有趣的问题:我在SecureCRT开了两个终端登陆系统,一个是串口,一个是telnet,无论我在哪个终端调用printk,信息都会被打印在串口终端,巴特无论在哪个终端调用printf信息都会被打印在这个终端上(类似的还有echo命令,但没去研究这个命令的源码),为什么会产生这种现象,printf最后调用了什么。首先要引入glibc的概念二、glibc2.1...
read系统调用
Tryturned
01-24 3323
对系统调用函数sys_read()进行源码级别的剖析,在VFS层以ext4文件系统为例进行解析。
glibc-2.23 puts源码分析
qq_34010404的博客
04-22 2773
glibc-2.23 puts函数源码分析
攻防世界(pwn)echo_back + magic (_IO_FILE文件流攻击初探)
PLpa的博客
03-14 1294
前言: 这两题都是关于_IO_FILE文件流攻击的题目,如果对_IO_FILE文件流不是很清楚,可以看ctfwiki中的_IO_FILE介绍——传送门。 echo_back——关于_IO_2_1_stdin结构的利用 文件保护全开,不能got覆写。 进入IDA,发现程序有两个功能,一个是setname,一个是echo back。 查看setname功能,发现此功能只能输入7个字节,不具备RO...
攻防世界PWN之Magic题解
seaaseesa的博客
12-10 1357
Magic 本题知识点,FILE结构体的攻击 首先,检查一下程序的保护机制,发现PIE和RELRO没有开启,或许我们可以很方便的修改GOT表 然后,我们用IDA分析一下,发现wizard_spell函数存在数组下标向负数越界的漏洞 然后是create函数 然后,我们用IDA调试一下,发现wizards[-2]处就是log_file的地址,而这句可以修改FILE结构体的第40字...
glibc-2.17-260.zip
09-26
glibc-2.17-260.el7.x86_64 glibc-common-2.17-260.el7.x86_64 glibc-devel-2.17-260.el7.x86_64 glibc-headers-2.17-260.el7.x86_64
glibc-ports-2.12.1.tar.gz
07-16
glibc-port及s-2.12.1.tar.gz此资源用于升级glibc版本到glibc-2.12.1的附属文件
CentOS下glibc-2.17离线安装rpm包
07-18
CentOS7下glibc离线安装rpm包,安装方式,解压上传到...rpm -ivh glibc-headers-2.17-307.el7.1.x86_64.rpm rpm -ivh glibc-devel-2.17-307.el7.1.x86_64.rpm rpm -ivh nss-softokn-freebl-3.44.0-8.el7_7.x86_64.rpm
glibc-2.28.tar.gz
07-24
glibc-2.28.tar.gz 已验证可用,请放心下载。The Glibc package contains the main C library. This library provides the basic routines for allocating memory, searching directories, opening and closing ...
glibc-2.17-307.el7.1.i686_libc文件_依赖glibc安装_源码
10-01
centos7的rpm依赖包,可以安装文件
基于read函数分析linux系统调用流程
生活需要深度
08-31 2293
这里名称变掉了,但是我们理解还是sys_read其实在老版本的linux内核里面,确实还是sys_read,但是由于在09年,随着大批量的64位处理器的出现,很多用户在调用的时候,无法填充64位的系统调用,就会被黑客利用,导致系统奔溃和权限升级,所以linux大牛们相处了一套通用的方法,开发出了这一套宏来避免这个bug,这个宏会对参数和系统调用名进行展开解析,从而变成我们需要的sys_read,具体如何做到的,网上有帖子,可以去参看。这里面也包含了各个系统调用的系统调用号,和calls.S是一致的。...
C语言标准IO: [先再feof] VS [先feof]
我心永恒
11-01 2961
刚学习C语言文件的时候,可能都遇到过这个“bug”,到末尾时数据有重复。解决方案也是五花八门,甚至有人把数据先缓存了,再忽略掉最后一组....不妨看一段代码,两种解决方案,猜猜看,究竟哪一个方案是正确的。/* *方案一:先判断,后取 */while (!feof(fp)) { fread(buf, 1, 100, fp); //do_so
CTF-Pwn echo_back(文件IO指针利用+格式化字符串漏洞)
SuperGate的博客
12-19 1062
程序综述 supergate@ubuntu:~/Desktop/Pwn$ checksec echo_back [*] '/home/supergate/Desktop/Pwn/echo_back' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX e...
ubuntu环境下vlcj报错:A fatal error has been detected #C [libc.so.6+0x121024] _IO_file_underflow+0x64
托尼的博客
08-25 1910
最近采用vlcj进行播放软件的开发过程中遇到了一些问题,记录下来以做参考。
gdb attach到已经存在的进程进行在线调试------能获取当前栈的所有变量值!
热门推荐
认知 行动 坚持
03-26 5万+
不久前, 我们玩过valgrind定位程序的各类内存问题, 当时非常希望valgrind能对一个已经存在的进程进行attach在线调试, 后来看了valgrind的原理, 发现这样不可行。 只能让valgrind重新拉取新进程进行调试。 在前面的文章中, 也介绍了kill -6和abort函数, 让程序core dump来获取当时栈的值, 其实, 这样似乎没有必要。 ...
C语言中关于获取EOF
ever_evil的博客
02-14 1650
首先简述一下我的编程环境采用WIN10系统,编译器是编译设置是在一次做一道蓝桥杯编程题时我遇到了一个那就是需要获取文件结束符EOF一开始我以为可以用while(scanf("%c",&amp;c),c!=EOF)这种方法获取然后我发现获取不到,通过不了样例数据然后我查询网上的资料,一开始发现都是获取字符然后与EOF对比,但是他们的代码可行,我的却不行然后我发现他们获取字符的方式是c=getcha...
针对IO的利用
钞sir的博客
02-05 1万+
简介 正常情况下我们用户的输入长度和写入位置都在受到程序限制的,不可能让用户任意地址任意长度写入; 但是利用特定的漏洞,我们可以修改到IO结构体中的指针,就可以绕过上面的那些约束从而getshell… _IO_FILE 在结构体_IO_FILE当中有很多关键指针: 结合源码: int _IO_new_file_underflow (_IO_FILE *fp) { _IO_ssize_t co...
glibc-2.14降级到glibc-2.12
最新发布
01-13
在某些情况下,用户或开发人员可能需要将glibc-2.14降级到glibc-2.12。这可能是因为某些软件或应用程序与glibc-2.12兼容,但在glibc-2.14上运行出现问题。 要将glibc-2.14降级到glibc-2.12,首先需要查找并下载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值