IO_FILE:2018 HCTF the_end

最新推荐文章于 2023-05-26 17:53:35 发布
最新推荐文章于 2023-05-26 17:53:35 发布
阅读量1.7k 收藏 9
点赞数 11
分类专栏: linux pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mira_Hu/article/details/103736917
版权
本文详细分析了HCTF 2018 the_end挑战中利用glibc的三种方法:修改stdout函数表setbuf,修改stdout结构体中虚表的overflow函数指针,以及修改_dl_fini函数指针。通过在exit后遍历_IO_list_all,利用任意位置写5字节的漏洞,最终达到执行one gadget并获取shell的目的。
摘要由CSDN通过智能技术生成

kips: libc2.23

标准输入输出 定义顺序

#define DEF_STDFILE(NAME, FD, CHAIN, FLAGS) \
  static _IO_lock_t _IO_stdfile_##FD##_lock = _IO_lock_initializer; \
  struct _IO_FILE_plus NAME \
    = {FILEBUF_LITERAL(CHAIN, FLAGS, FD, NULL), &_IO_old_file_jumps};

DEF_STDFILE(IO_2_1_stdin, 0, 0, _IO_NO_WRITES);
DEF_STDFILE(IO_2_1_stdout, 1, &IO_2_1_stdin, _IO_NO_READS);
DEF_STDFILE(IO_2_1_stderr, 2, &IO_2_1_stdout, _IO_NO_READS+_IO_UNBUFFERED);

全局标准 IO 在 libc 中的偏移

XREF[76]:  stderr
003c5700    addr  _IO_2_1_stderr_ = Entry Point(*), [more]
XREF[37]:  stdout
003c5708    addr  _IO_2_1_stdout_ = Entry Point(*), [more]
XREF[39]:  stdin
003c5710    addr  _IO_2_1_stdin_  = Entry Point(*), [more]
   
_IO_2_1_stdin_  0x003c48e0
_IO_2_1_stderr_ 0x003c5540
_IO_2_1_stdout_ 0x003c5620

_IO_list_all 	0x003c5520
XREF[18]:  _IO_list_all
003c5520 40 55 3c 00 00 00 00 00 addr  _IO_2_1_stderr_  = Entry Point(*),[more]

基本信息

mira@ubuntu:~/test/pwn/io_file/2018_hctf_the_end$ checksec ./the_end 
[*] '/home/mira/test/pwn/io_file/2018_hctf_the_end/the_end'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
   
  signed int i; // [rsp+4h] [rbp-Ch]
  void *buf; // [rsp+8h] [rbp-8h]

  sleep(0);
  printf("here is a gift %p, good luck ;)\n", &sleep);
  fflush(_bss_start);
  close(1);
  close(2);
  for ( i = 0; i <= 4; ++i )
  {
   
    read(0, &buf, 8uLL);
    read(0, buf, 1uLL);
  }
  exit(1337);
}

分析题目,利用点和明确在main函数中,且:

  • 除了canary 保护全开

  • libc 基地址和libc版本

  • 能够任意位置写5字节

    struct _IO_FILE_plus *_IO_list_all = &_IO_2_1_stderr_;

思路

  • 利用的是在程序调用exit 后,会遍历 _IO_list_all ,调用 _IO_2_1_stdout 下的 vatable 中 _setbuf 函数。
  • 可以先修改两个字节在当前 vtable 附近伪造一个 fake_vtable,然后使用 3 个字节修改 fake_vtable 中 _setbuf 的内容为 one_gadget.
    我们先调试找出 IO_2_1_stdout 和 libc 的偏移,借助 ida 或者 libcsearch 工具找出 vtables 偏移 0x3C56F8 如下:
.data:00000000003C48E0                                         public _IO_2_1_stdin_
.data:00000000003C48E0 88 20 AD FB 00 00 00 00+_IO_2_1_stdin_  dq 0FBAD2088h, 0Eh dup(0), 0FFFFFFFFFFFFFFFFh, 0
.data:00000000003C4968 90 67 3C 00 00 00 00 00                 dq offset unk_3C6790
.data:00000000003C4970 FF FF FF FF FF FF FF FF+                dq 0FFFFFFFFFFFFFFFFh, 0
.data:00000000003C4980 C0 49 3C 00 00 00 00 00                 dq offset qword_3C49C0
.data:00000000003C4988 00 00 00 00 00 00 00 00+                dq 6 dup(0)
.data:00000000003C49B8 E0 36 3C 00 00 00 00 00                 dq offset _IO_file_jumps

.data:00000000003C5520                                         public _IO_list_all
.data:00000000003C5520 40 55 3C 00 00 00 00 00 _IO_list_all    dq offset _IO_2_1_stderr_
.data:00000000003C5528 00 00 00 00 00 00 00 00+                align 20h

.data:00000000003C5540                                         public _IO_2_1_stderr_
.data:00000000003C5540 86 20 AD FB 00 00 00 00+_IO_2_1_stderr_ dq 0FBAD2086h, 0Ch dup(0)
.data:00000000003C55A8 20 56 3C 00 00 00 00 00                 dq offset _IO_2_1_stdout_
.data:00000000003C55B0 02 00 00 00 00 00 00 00+                dq 2, 0FFFFFFFFFFFFFFFFh, 0
.data:00000000003C55C8 70 67 3C 00 00 00 00 00                 dq offset unk_3C6770
.data:00000000003C55D0 FF FF FF FF FF FF FF FF+                dq 0FFFFFFFFFFFFFFFFh, 0
.data:00000000003C55E0 60 46 3C 00 00 00 00 00                 dq offset unk_3C4660
.data:00000000003C55E8 00 00 00 00 00 00 00 00+                dq 6 dup(0)
.data:00000000003C5618 E0 36 3C 00 00 00 00 00                 dq offset _IO_file_jumps

.data:00000000003C5620                                         public _IO_2_1_stdout_
.data:00000000003C5620 84 20 AD FB 00 00 00 00+_IO_2_1_stdout_ dq 0FBAD2084h, 0Ch dup(0)
.data:00000000003C5688 E0 48 3C 00 00 00 00 00                 dq offset _IO_2_1_stdin_
.data:00000000003C5690 01 00 00 00 00 00 00 00+                dq 1, 0FFFFFFFFFFFFFFFFh, 0
.data:00000000003C56A8 80 67 3C 00 00 00 00 00                 dq offset unk_3C6780
.data:00000000003C56B0 FF FF FF FF FF FF FF FF+                dq 0FFFFFFFFFFFFFFFFh, 0
.data:00000000003C56C0 A0 47 3C 00 00 00 00 00                 dq offset unk_3C47A0
.data:00000000003C56C8 00 00 00 00 00 00 00 00+                dq 6 dup(0)
.data:00000000003C56F8 E0 36 3C 00 00 00 00 00                 dq offset _IO_file_jumps

.data:00000000003C5700                                         public stderr
.data:00000000003C5700 40 55 3C 00 00 00 00 00 stderr          dq offset _IO_2_1_stderr_

.data:00000000003C5708                                         public stdout
.data:00000000003C5708 20
最低0.47元/天 解锁文章
Mira1127
关注
专栏目录
HCTF-xorgame&theend详细wp
Peanuts
11-12 2147
Hctf-xorgame&amp;theend详细wp 本文首发于安全客 这次比赛只做出了这两个题,其中我觉的the_end的思路还是可以借鉴一下的。 xor_game 文件分析 题目给出了两个文件一个是加密脚本,一个是加密后输出的文件。打开加密的脚本,就能看出和2017suctf的一个题目很像。 加密脚本 from Crypto.Util.strxor import strx...
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1637
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
hctf[pwn] the-end
九层台
11-12 2038
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { signed int i; // [rsp+4h] [rbp-Ch] void *buf; // [rsp+8h] [rbp-8h] sleep(0); printf(&quot;here is a gift %p, good luck ;)\n&quot;, &amp;a...
劫持rtld_global中的函数指针&&hctf2018_the_end
azraelxuemo的博客
04-11 1179
文章目录前言劫持rtld_global中的函数指针exit_function_list__run_exit_handlers调用_dl_fini_rtld_global结构攻击 前言 在libc-2.23之后,加入了对IO vtable的check机制,所以有本用IO打的hctf2018_the_end转而使用另一种方法,也就是要介绍的劫持rtld_global中的函数指针 劫持rtld_global中的函数指针 ld相关函数在使用rtld_global时都需要先上锁, 以避免多进程下的条件竞争问题 相关函
2018-HCTF
11-14 197
Pwn The_end 可利用点:任意地址写5个字节的数据,已经得知libc的基址 漏洞点:通过IDA F7单步步入exit函数的实现可以发现,exit中会call一个ld.so段的地址,因此我们可以修改ld.so中的那个地址为one_gadget,从而getshell。 babyprintf_ver2 FILE_IO还没有开始学习,待补充! 转载于:https://w...
IO_File
一颗洛米
06-21 293
Filefile:文件和路径名的抽象表示形式。也就是指的一个联系,Java程序和硬盘上的资源的一种联系两个常用常量: * 1、路径分隔符 ; * 2、文件分隔符 \相对路径:绝对路径:String relativePath = "src/main/resources/mybatis-config.xml"; String absolutePath = "E:\Code\Mybatis\Myba...
IO-File
qq_30245525的博客
08-15 218
概念 文件和目录路径名的抽象表示形式。 构造方法 //构造方法1 File dir = new File("F://Test"); //构造方法2 File file = new File(dir,"1.txt"); file.createNewFile(); //构造方法3 File file1 = new File("F://Test","2.txt"); file1.createNew
ctf-pwn-堆—IO_FILE
xy_369的博客
05-26 368
ctf-pwn-堆—文件IO 教程
IO_FILE hack 修改vtable
qq_46441427的博客
08-19 481
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 IO_file hackIO调用的vtable函数freadfwritefclose思路例题2018 HCTF the end分析思路:利用 IO调用的vtable函数 fread _IO_sgetn函数调用了vtable的_IO_file_xsgetn。 _IO_doallocbuf函数调用了vtable的_IO_file_doallocate以初始化输入缓冲区。 vtable中的_IO_file_doallocate调用了vtable中
浅析IOFILE结构及利用
Peanuts
11-21 3326
浅析IOFILE结构及利用 本文首发于先知社区 在hctf中遇到了这么一个题,也借这个题专门去补了补自己在IOFILE这一块知识点的知识。 libio.h中的结构 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _...
Java IO _File
韩世雷 程序员专栏
08-23 2986
1、掌握File 类的作用 2、可以使用File 类中的方法对文件进行操作 所有的 io 操作都保存在 java.io 包中。 构造方法: public File (String pathname) 直接根据路径找到文件。 常量
2018 hctf seven
qq_41071646的博客
07-30 301
本来是看 2018 hctfio pwn题 也就是 the_end 题目 那个题目其实我是看的懂的,,但是不知道为啥本地打不通,, 自己 的 va 还有 伪造的 还有 one 都写进去了 ,,, 都没搞定,, 最后发现了 有个题目很好玩, 算是迷宫 题目 而且还是驱动的 重点在 read 函数里面 这里注册了一个驱动函数 我推测是 键盘过滤,, 后来分析了一下...
IO_FILE利用
yms0211的博客
09-20 287
IO_FILE 利用
IO_FILE fread
qq_46441427的博客
08-18 343
文章目录前言流程源码分析对缓冲区初始化总结 前言 跟着raycp师傅学IO_FILE。 提示:以下是本篇文章正文内容,下面案例可供参考 流程 整体流程为fread调用_IO_sgetn,_IO_sgetn调用vtable中的_IO_XSGETN也就是_IO_file_xsgetn,_IO_file_xsgetn是fread实现的核心函数。 判断fp->_IO_buf_base输入缓冲区是否为空,如果为空则调用的_IO_doallocbuf去初始化输入缓冲区。 在分配完输入缓冲区或输入缓冲区不.
IO File
qq_43382750的博客
07-20 293
IO File类 概述 I:Input输入,指向内存导入数据 O:Output 输出,指从内存写入数据 流是对数据传输的总称,也就是两台设备之间进行数据传输,称为流,根据流传输的特性抽象为各个类 分类 按处理数据类型的不同,分为字节流和字符流 按数据流向的不同,分为输入流和输出流。(入和出是相对于内存来讲的) 按功能不同,分为节点流和处理流 节点流:直接操作数据源 处理流:对其他流进行处理 抽象类定义 InputStream 蓝色为节点流, 黑色为处理流 常用方法 void close() 关
IO_FILE——FSOP、house of orange
「 虚幻私塾」
01-20 349
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 FSOP 是 File Stream Oriented  Programming 的缩写。所有的 _IO_FILE 结构会由 _chain 字段连接形成一个链表,由 _IO_list_all 来维护。而 FSOP 的核心思想就是劫持通过 _IO_list_all 的值
linux IO_FILE 利用
热门推荐
sky123博客
03-29 4万+
基本结构 _IO_FILE_plus 定义如下: struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; 包括一个结构体 file 和一个指针 vtable 。 其中 vtable 指向一个函数指针表,很多 IO_FILE 的攻击都是围绕它展开的。 _IO_FILE_plus 类型的结构有 _IO_2_1_stdin_ 、 _IO_2_1_stdout_ 和 _IO_2_1_stderr_ 。另外有头指针 _IO_
【PWN】IO_FILE的利用
u014377094的博客
05-05 1331
IO_FILE 的结构 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ streambuf protocol. */ /* Note: Tk uses the _IO_read_ptr and _IO_read
IO_file 文件基础,常用方法,字节流基础,文件拷贝 第一节
qq_38965140的博客
02-24 204
在日常工作中,经常需要操作一些文件,包括文件的读取和保存!下面简单的了解下file类和字节流!最后再通过一个文件拷贝的小功能,来实践一下! File-&gt;&gt;&gt;&gt;是一种文件和文件路径的一种抽象表示                 主要用于建立连接 File类的常用方法 File file = new File("D:/Game/1.png"); Boolean exi...
Slave_IO_Running: Connecting
最新发布
09-22
Slave_IO_Running: Connecting的问题可能有几个原因。首先,可能是网络不通,检查一下网络连接是否正常。其次,可能是主机IP设置错误或者有防火墙未关闭。你可以尝试停止防火墙来解决问题。另外,还有可能是master_password、master_log_pos或者master_log_file设置错误。你可以逐个检查这些参数是否正确。最后,你还可以尝试注释掉bind-address这个参数来解决问题,确保它已经被正确注释。希望这些方法能够帮到你解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值