scanf源码分析

最新推荐文章于 2021-05-19 04:12:34 发布
最新推荐文章于 2021-05-19 04:12:34 发布
阅读量1.1k 收藏 4
点赞数 5
分类专栏: CTF pwn 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chennbnbnb/article/details/109601710
版权
pwn 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
CTF
7 篇文章 1 订阅
订阅专栏

本文分析的是glibc2.31中的scanf相关源码,目的不是研究scanf的算法,而是说明scanf在IO attack中的利用方法,属于CTF的范畴

scanf.c

其实就是对__vscanf_internal的封装

__scanf (const char *format, ...)
{
  va_list arg;
  int done;

  va_start (arg, format);
  done = __vfscanf_internal (stdin, format, arg, 0);  //实际是对__vfscanf_internal的封装,arg指向可变参数
  va_end (arg);

  return done;
}
ldbl_strong_alias (__scanf, scanf)

vscanf-internal.c

  • 函数原型
int __vfscanf_internal(FILE *s, const char *format, va_list argptr, unsigned int mode_flags)
  • 原理:
    • 在vfscanf中有两个流:一个是指导读入格式的字符串流format,一个是被读入的流s
    • vfscanf先逐字符解析format,解析出一个要读入的格式后,就会调用inchar()从流s中逐字符读入
    • 例如format="%d%",输入"13\n"
      • vfcanf解析出%d后指导要从流s中读入一个十进制整数,于是调用inchar()得到字符'1',继续调用inchar()得到'2',再次调用inchar()得到字符'\n',vfscanf就知道一个整数已经结束了,就把'\n'放回流s中,然后把读入的"12"转化为int 12
      • 其余的同理
  • 总结:vfscanf与流的接口如下,搞CTF不需要了解这个解析算法是怎么实现的,因此下面专注于流相关调用过程
//向流s中放回一个字符c
#define ungetc(c, s) ((void)((int)c == EOF || (--read_in, \
											   _IO_sputbackc(s, (unsigned char)c))))
#define ungetc_not_eof(c, s) ((void)(--read_in, \
									 _IO_sputbackc(s, (unsigned char)c)))
//从流s中取出一个字符:c=_IO_getc_unlocked(s); ++read_in;
#define inchar() (c == EOF ? ((errno = inchar_errno), EOF)                  \
						   : ((c = _IO_getc_unlocked(s)),                   \
							  (void)(c != EOF                               \
										 ? ++read_in                        \
										 : (size_t)(inchar_errno = errno)), \
							  c))
  • inchar()函数通过_IO_getc_unlocked(s)从流中抽取字符

_IO_getc_unlocked(s)

#define _IO_getc_unlocked(_fp) __getc_unlocked_body (_fp)

__getc_unlocked_body()

  • 当流的read缓冲区不足时,就会调用__uflow(_fp)
#define __getc_unlocked_body(_fp)					\
  (__glibc_unlikely ((_fp)->_IO_read_ptr >= (_fp)->_IO_read_end)	\
   ? __uflow (_fp) : *(unsigned char *) (_fp)->_IO_read_ptr++)

__uflow()

  • 最终会转向stdin的虚表中的下溢函数
    int __uflow(FILE *fp)//流下溢,read不足
{
  if (_IO_vtable_offset(fp) == 0 && _IO_fwide(fp, -1) != -1)
    return EOF;

  if (fp->_mode == 0)
    _IO_fwide(fp, -1);

  if (_IO_in_put_mode(fp))  //如果是put模式,就转换为read模式
    if (_IO_switch_to_get_mode(fp) == EOF)
      return EOF;

  if (fp->_IO_read_ptr < fp->_IO_read_end) //如果read缓冲区中还有剩余
    return *(unsigned char *)fp->_IO_read_ptr++;

  if (_IO_in_backup(fp))
  {
    _IO_switch_to_main_get_area(fp);
    if (fp->_IO_read_ptr < fp->_IO_read_end)
      return *(unsigned char *)fp->_IO_read_ptr++;
  }

  if (_IO_have_markers(fp))
  {
    if (save_for_backup(fp, fp->_IO_read_end))
      return EOF;
  }
  else if (_IO_have_backup(fp))
    _IO_free_backup_area(fp);

  return _IO_UFLOW(fp); //最终调用fp虚表中的
}
libc_hidden_def(__uflow)

_IO_file_jumps

  • stdin的默认虚表为_IO_file_jumps,uflow表项为_IO_default_uflow()
const struct _IO_jump_t _IO_file_jumps libio_vtable =
{
  JUMP_INIT_DUMMY,
  JUMP_INIT(finish, _IO_file_finish),
  JUMP_INIT(overflow, _IO_file_overflow),
  JUMP_INIT(underflow, _IO_file_underflow),
  JUMP_INIT(uflow, _IO_default_uflow),
  JUMP_INIT(pbackfail, _IO_default_pbackfail),
  JUMP_INIT(xsputn, _IO_file_xsputn),
  JUMP_INIT(xsgetn, _IO_file_xsgetn),
  JUMP_INIT(seekoff, _IO_new_file_seekoff),
  JUMP_INIT(seekpos, _IO_default_seekpos),
  JUMP_INIT(setbuf, _IO_new_file_setbuf),
  JUMP_INIT(sync, _IO_new_file_sync),
  JUMP_INIT(doallocate, _IO_file_doallocate),
  JUMP_INIT(read, _IO_file_read),
  JUMP_INIT(write, _IO_new_file_write),
  JUMP_INIT(seek, _IO_file_seek),
  JUMP_INIT(close, _IO_file_close),
  JUMP_INIT(stat, _IO_file_stat),
  JUMP_INIT(showmanyc, _IO_default_showmanyc),
  JUMP_INIT(imbue, _IO_default_imbue)
};
libc_hidden_data_def (_IO_file_jumps)

_IO_default_uflow()

  • 其实也就是对虚表中的underflow函数的封装,因此进入_IO_file_underflow()
int _IO_default_uflow(FILE *fp)
{
  int ch = _IO_UNDERFLOW(fp);
  if (ch == EOF)
    return EOF;
  return *(unsigned char *)fp->_IO_read_ptr++;
}
libc_hidden_def(_IO_default_uflow)

_IO_file_underflow()

  • 这个函数是_IO_new_file_underflow()的别名
  • 这个函数也就是本次旅程的终点了,最终通过系统调用read来读入
int _IO_new_file_underflow(FILE *fp) //stdin发生下溢时调用的函数
{
  ssize_t count;

  /* C99 requires EOF to be "sticky".  */
  if (fp->_flags & _IO_EOF_SEEN)
    return EOF;

  if (fp->_flags & _IO_NO_READS)  //如果不可读,那么就报错
  {
    fp->_flags |= _IO_ERR_SEEN;
    __set_errno(EBADF);
    return EOF;
  }

  if (fp->_IO_read_ptr < fp->_IO_read_end) //如果read缓冲区还有剩余,那么就从中获取字符
    return *(unsigned char *)fp->_IO_read_ptr;

  if (fp->_IO_buf_base == NULL) //如果还没有缓冲区,那么就分配一个
  {
    /* Maybe we already have a push back pointer.  */
    if (fp->_IO_save_base != NULL)
    {
      free(fp->_IO_save_base);
      fp->_flags &= ~_IO_IN_BACKUP;
    }
    _IO_doallocbuf(fp);
  }

  /* FIXME This can/should be moved to genops ?? */
  if (fp->_flags & (_IO_LINE_BUF | _IO_UNBUFFERED)) //针对行缓冲的特殊操作,不用管
  {
    /* We used to flush all line-buffered stream.  This really isn't
	 required by any standard.  My recollection is that
	 traditional Unix systems did this for stdout.  stderr better
	 not be line buffered.  So we do just that here
	 explicitly.  --drepper */
    _IO_acquire_lock(stdout);

    if ((stdout->_flags & (_IO_LINKED | _IO_NO_WRITES | _IO_LINE_BUF)) == (_IO_LINKED | _IO_LINE_BUF))//如果是linked、line_buf、并且可写,那么就刷新流
      _IO_OVERFLOW(stdout, EOF);

    _IO_release_lock(stdout);
  }

  _IO_switch_to_get_mode(fp); //对于三个标准流,不存在put与get模式切换的问题

  /* This is very tricky. We have to adjust those
     pointers before we call _IO_SYSREAD () since
     we may longjump () out while waiting for
     input. Those pointers may be screwed up. H.J.*/

  //根据_IO_buf_base设置空的read与空的write缓冲区
  fp->_IO_read_base = fp->_IO_read_ptr = fp->_IO_buf_base;
  fp->_IO_read_end = fp->_IO_buf_base;
  fp->_IO_write_base = fp->_IO_write_ptr = fp->_IO_write_end = fp->_IO_buf_base;

  //调用read函数,向_IO_buf_base中读入字符,如果可以控制_IO_buf_base就可以进行任意写
  count = _IO_SYSREAD(fp, fp->_IO_buf_base, //虚表中的__read函数为_IO_file_read
                      fp->_IO_buf_end - fp->_IO_buf_base);

  if (count <= 0) //读入失败
  {
    if (count == 0)
      fp->_flags |= _IO_EOF_SEEN;
    else
      fp->_flags |= _IO_ERR_SEEN, count = 0;
  }

  fp->_IO_read_end += count;    //设置read缓冲区
  if (count == 0)
  {
    /* If a stream is read to EOF, the calling application may switch active
	 handles.  As a result, our offset cache would no longer be valid, so
	 unset it.  */
    fp->_offset = _IO_pos_BAD;
    return EOF;
  }
  if (fp->_offset != _IO_pos_BAD)
    _IO_pos_adjust(fp->_offset, count);
  return *(unsigned char *)fp->_IO_read_ptr;
}
libc_hidden_ver(_IO_new_file_underflow, _IO_file_underflow)

总结

  • 要向通过scanf实现任意写,需要控制_IO_buf_base,并且read缓冲区为空,这样才会触发_IO_new_file_underflow()函数,进而调用read(fd, _IO_buf_base, len)
  • 如果scanf从流中读入失败,那么他会把读入的字符放回流中,当输入不合法时scanf就会死循环,读不出数据,因此如果题目需要通过scanf实现任意写,那么多会在scanf后面加上一个getchar()来帮助我们清空read缓冲区
一只狗20000402
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
STM32实现printf和scanf源代码,保证能运行
08-14
STM32实现printf和scanf源代码,保证能运行
scanf的实现源码
aeg84268的博客
06-30 421
/*** *scanf.c - read formatted data from stdin * * Copyright (c) 1985-1997, Microsoft Corporation. All rights reserved. * *Purpose: * defines scanf() - reads formatted data ...
浅析Scanf源码
热门推荐
Jovi’s Blog
06-16 1万+
记得当初从C语言学习开始就使用scanf,关于scanf的用法也略知一二,对使用scanf出现的问题并未进行深刻探究,故笔者打算对scanf实现进行探究。 如何找到scanf源码 关于VC中的CRT代码在 VS目录下的\VC\crt\src中,我们就先把scanf.c扒出来。 int __cdecl scanf ( const char *format,
scanf及printf的源代码
lzm420241的专栏
04-29 8169
首先是scanf的源代码: #include #include #include int my_scanf(char* fmt,...) { int ret=0; va_list args; va_start(args,fmt); vscanf(fmt,args); va_end(args); return ret; } int main
c语言scanf函数源代码,C语言之可变参实现scanf函数(示例代码)
weixin_35831315的博客
05-19 1133
既然有printf函数可变参实现,那就一定有scanf函数的可变参实现。废话不多说,源码奉上:本源码不过多分析,如要明白原理,请翻本博客以往的文章看说明。欢迎关注新浪微博:http://weibo.com/u/1896293701/home?topnav=1&wvr=6#include #include int myscanf(const char *fmt , ...) ;int mai...
C语言经典源码大全.doc
08-17
C语言经典源码大全.doc 程序1】 题目:有1、2、3、4个数字,能组成多少个互不相同且无重复数字的三位数?都是多少? 1.程序分析:可填在百位、十位、个位的数字都是1、2、3、4。组成所有的排列后再去掉不满足条件...
积分java源码-IPC-144-NOO:使用C课程编程基础-研讨会和作业
06-06
积分java源码IPC 144 NOO 本课程涵盖计算机编程的基本原理,重点是使用结构化编程技术解决问题的策略。 广泛使用的 C 编程语言是 C++、C# 和 Java 等面向对象语言的句法基础,用于介绍问题分析、算法设计和程序实现...
经典C程序100例.chm
06-27
scanf("%ld",&i); bonus1=100000*0.1;bonus2=bonus1+100000*0.75; bonus4=bonus2+200000*0.5; bonus6=bonus4+200000*0.3; bonus10=bonus6+400000*0.15;  if(i)  bonus=i*0.1;  else if(i)  bonus=bonus1+(i-...
简易C语言编译器Java源代码
10-31
、for循环、while循环、支持scanf和printf以及一些复合语句。该程序的功能是:(1)词法分析;(2)语法分析;(3)产生中间代码四元式;(4)产生x86汇编代码。更神奇的是,这些过程都通过java的GUI来实现的,所有...
C和C++经典程序100例
10-26
C和C++经典程序100例,有题目,并给出源码,例如: 【程序89】 题目:某个公司采用公用电话传递数据,数据是四位的整数,在传递过程中是加密的,加密规则如下:  每位数字都加上5,然后用和除以10的余数代替该数字,...
scnlib:现代C ++的scanf
01-28
scnlib # include < scn> # include < cstdio> int main () { int i; // Read an integer from stdin // with an accompanying message scn::prompt ( " What's your favorite number? " , " {} " , i); printf ( " Oh, cool, %d! " , i); } // Example result: // What's your favorite number? 42 // Oh, cool, 42! 这是什么? scnlib是一个现代的C ++库,用于替换scanf和std::istream 。 这个库试图使我们更加接近完全替代iostream和C stdio。 与scanf不同,它比iostream (请参阅基准)和类型安全更快。 考虑但方向。 该库是ISO C ++标准提案的参考实现。 该库当前具有预发行质量(0.4版),但是其界面和行为
【C语言】scanf函数
Miraitowax
04-15 1217
函数名:scanf函数功能:执行格式化输入用法scanf函数是通用终端格式化输入函数,它从标准输入设备(键盘)读取输入信息,可以读入任何固有类型的数据并自动把数值转换成适当的机内形式。调用格式scanf(“ < 格式化字符串 > ”, < 地址表 >);格式化函数返回成功赋值的数据项数,出错时则返回EOF.控制字符串由三类字符构成1:格式化说明符2:空白符3:非空白符。
vscanf用法解析
swif_N_F的博客
12-05 2595
int vscanf ( const char * format, va_list arg ); 描述: 将格式化数据读入可变参数列表 从标准输入(stdin)读取数据,并根据参数格式将它们存储到由arg标识的变量参数列表中的元素指向的位置。 在内部,函数从arg标识的列表中检索参数,就好像va_arg被使用了一样,因此arg的状态很可能被调用所改变。 在任何情况下,arg都应该在调用之
统治世界的缓存 --- glibc源码拜读 - printf
InsZVA的专栏
01-08 2538
问题由来有这么一段代码:int main() { printf("aaa\n"); pid_t pid = fork(); if (pid < 0) { printf("an error occur\n"); } else if (pid == 0) { printf("i am child\n"); } else {
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4000
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
ctf-pwn:canary绕过
chennbnbnb的博客
01-19 2926
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
如何从libc地址得到栈地址
chennbnbnb的博客
01-19 2235
在libc中保存了一个函数叫_environ,存的是当前进程的环境变量 得到libc地址后,libc基址+_environ的偏移量=_environ的地址 在内存布局中,他们同属于一个段,开启ASLR之后相对位置不变,偏移量之和libc库有关 通过_environ的地址得到_environ的值,从而得到环境变量地址,环境变量保存在栈中,所以通过栈内的偏移量,可以访问栈中任意变量 ...
scanf
最新发布
05-29
scanf是C语言中的一个函数,用于从标准输入设备(通常是键盘)中读取数据。其函数原型为: ```c int scanf(const char *format, ...); ``` 其中,format是格式控制字符串,用于指定读取数据的类型和格式。如: - %d:读取整数 - %f:读取浮点数 - %c:读取字符 - %s:读取字符串 在格式控制字符串中,还可以包含空格、制表符、换行符等空白字符,用于跳过输入中的空白字符。例如: ```c scanf("%d %f %c %s", &a, &b, &c, str); ``` 该语句将从标准输入设备中读取一个整数、一个浮点数、一个字符和一个字符串,分别存储在变量a、b、c和str中。在读取时,scanf会自动跳过输入中的空白字符。 scanf函数返回成功读取的数据项数,如果读取失败或到达文件结尾,返回EOF(-1)。在使用scanf时,需要注意输入数据的格式和类型,以避免出现输入错误或类型转换错误等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值