abuse file struct 阅读记录

最新推荐文章于 2021-11-10 13:36:35 发布
最新推荐文章于 2021-11-10 13:36:35 发布
阅读量235 收藏
点赞数
分类专栏: ctf知识阅读记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35467337/article/details/79488638
版权

搞file struct

angleboy大佬的博客阅读记录,下次看的时候不至于懵笔

fread比read更高层,read是最接近kernel的函数

_IO_FILE 大致分成三个部分

  1. flags
  2. stream buffer pointers
  3. _fileno:file discripter, reuturn by sys_open

_IO_FILE_plus, stdin, stderr, stdout,fopen的返回值都属于该结构
包括一个_IO_FILE结构体和_IO_jump_t*(指向虚表结构体的指针),任何的文件操作都是通过虚表
指针

_IO_list_all为链表头部,新打开的文件得到的filestruct放到头节点后面,后面依次是stderr, stdout, stdin

fopen步骤:

  1. malloc分配内存
  2. 初始化file struct
  3. 链接file struct
  4. 打开文件

fread步骤:

  1. 如果stream buffer为空则vtable->doallocate
  2. 读取数据到stream buffer(_IO_buf_base, _IO_buf_end)函数_IO_file_underflow
  3. 拷贝stream buffer内容到目标缓存区(_IO_read_ptr, _IO_read_end)函数_IO_file_xsgetn

fwrite工作流程:

  1. 如果stream buffer为空则vtable->doallocate
  2. 拷贝目标缓存区的stream bufffer,函数_IO_file_xsputn
  3. stream buffer写入文件

fclose工作流程:

  1. unlink file 结构体
  2. _IO_new_file_close_it(内部调用_IO_do_flush)释放stream buffer
  3. 关闭文件
  4. 释放结构体

_lock
1. _IO_lock_t*
2. 避免多线程race condition
3. 通常需要建立这样一个结构体

除了更改fopen获得的file struct外还可以搞stdin, stdout, stderr

FSOP

file-stream oriented programing

  1. 控制file struct链方式: _chain和_IO_list_all
  2. 搞事函数:_IO_flush_all_lockp(该函数不在虚表中),当glibc发生错误时会调用该函数,会遍历所有file struct链,调用_IO_OVERFLOW(vtable中)

vtable虚表验证(在house of orange中还没有出现),很难绕过

利用stream buffer和file descriptor

fwrite制造

qq_35467337
关注
专栏目录
Linux内存管理(二十七):buddy 分配器之慢速分配
私房菜
09-25 769
在buddy 系统简介一文中,详细的对 buddy 系统的分配原理进行简单地说明,并详细的剖析了 mem_init() 开始 buddy 系统的初始化过程。在buddy 分配器前篇一文中,详细的说明了分配掩码的含义、分配物理内存的入口函数,并最终得知核心的处理函数是。本函数中,会根据分配掩码和分配order 进行快速分配,若快速分配过程并不能分配到内存时,会进入慢速分配内存的过程。快速分配(1)、快速分配(2)、快速分配(3),而本文将继续分配分配器的另外一个过程——慢速分配。
#include<stdio.h>源代码
cz123_的博客
05-06 1228
#include<stdio.h>源代码
【词汇】ab-前缀、al-后缀、norm-词根
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-03 6828
ab 前缀、al 后缀、norm 词根
新姿势Get:覆写_IO_list_all 来getshell ,0CTF2016 zerostorage 的exp以及心得体会
哒君的博客
08-11 1155
先看大佬的总结 -> https://www.jianshu.com/p/a6354fa4dbdf 关于FSOP的要点就是: FSOP选择的触发方法是调用_IO_flush_all_lockp IO_flush_all_lockp函数触发条件: 当libc执行abort流程时 abort可以通过触发malloc_printerr来触发 当执行exit函数时 当执行流从main函数返...
[_IO_FILE] 原理解析
huzai9527的博客
11-10 3719
FSOP CFF-WIKI中有如下描述 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中的_IO_FILE 项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP 选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用 fflush,也对应着会调用_IO_FILE_plus.vtable 中的_IO_overflow。 触发条件 梳理一下 FSOP 利用的条件,首先需
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5321
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
FSOP
qq_45595732的博客
11-26 1571
FSOP ​   进程内所有的_IO_FILE结构会使用_chain域相互连接形成一个链表,这个链表的头部由_IO_list_all维护。 ​   FSOP的核心思想就是劫持_IO_list_all的值来伪造链表和其中的_IO_FILE项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all链表中所有项的文件流,相当于对每个FILE调用fflush,也
ctf glibc file struct
qq_35467337的博客
03-08 1218
file struct pwn glibc
linux下键盘记录程序,书写基于内核的linux键盘纪录器(三)
weixin_34603379的博客
05-01 647
3 - 基于内核的键盘纪录器的实现步骤我们论述两种实现方法,一个是书写我们自己的键盘中断句柄,另一个是劫持输入进程函数.----[ 3.1 - 中断句柄要纪录击键信息,我们就要利用我们自己的键盘中断。在Intel体系下,控制键盘的IRQ值是1。当接受到一个键盘中断时,我们的键盘中断器会读取scancode和键盘的状态。读写键盘事件都是通过0x60端口(键盘数据注册器)和0x64(键盘状态注册器)来...
第16章 USB主机、设备与Gadget驱动之USB设备驱动(二)
xiezhi123456的博客
06-06 728
3.简单的批量与控制URB    有时USB设备驱动程序只是从USB设备上接收(读取)或向USB设备发送(写入)简单的数据,没有必要将URB(USB请求块)创建、初始化、提交、完成处理的整个流程走一遍,可以使用两个更简单的函数,如下所示。(1)usb_bulk_msg()该函数创建一个USB批量URB并将它发送到特定设备,这个函数是同步的,它一直等待URB完成后才返回。其函数原型:linux/us...
libev库的用法
标题
11-19 283
libev是一个高性能的事件循环库,比libevent库的性能要好。Nodejs就是采用它作为底层库。libev的官方文档在这里,文档比较长。本文结合里面的例子对它的用法做些简单的总结。 目录 例子 首先从官方的例子开始: // a single header file is required#include <ev.h>#include <stdio.h&gt...
file struct 利用总结——百度杯总决赛线上赛try to pwn write up
jmp esp
04-08 2152
简介file stream overflow是pwn的一种常用方法(至少最近几次比赛变得有点常用了),主要是通过利用libc的FILE结构体中的一些特点达到控制流劫持的效果。一般来说劫持控制流的方式主要是: 1. 更改栈上返回地址,这种方法在堆相关的利用和格式化字符串利用时需要知道栈地址,或者有栈溢出等方法,才能够更改到栈地址 2. 更改got表地址,这种方法在开启了full relro的时候就
abort()函数不是多线程安全的,但它是异步信号安全的。
我可能长大了
07-26 3072
今天遇到了工作以来最深入的问题,就是关于abort函数的多线程安全性问题,应该写一篇文章,纪念一下,希望自己以后能够学到更多关于Linux内核的知识,祝愿自己以后工作越来越顺利。首先,需要说明一下,什么是多线程安全以及异步信号安全。所谓多线程安全,我们称为MT-Safe,就是指同一个函数,同时被多个线程并行调用时,不会出现问题,也就是说,其执行结果就和该函数被串行执行多次的结果一样。打个比方,如果一个函数在不加锁的情况下使用了全局变量或静态变量,那么,当它被多个线程同时调用时,有可能出现结果不一致的情况,这
HengCe-18900-2024-2030中国金属-陶瓷封装管壳市场现状研究分析与发展前景预测报告 -样本.docx
10-08
HengCe-18900-2024-2030中国金属-陶瓷封装管壳市场现状研究分析与发展前景预测报告 -样本.docx
【超强组合】基于人工蜂群优化算法ABC-BP-Adaboost的数据分类预测算法Matlab实现.rar
10-08
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
2024年普通高等学校招生“圆梦杯”统一模拟考试试题(六).pdf
最新发布
10-08
2024年普通高等学校招生“圆梦杯”统一模拟考试试题(六).pdf
【超强组合】基于VMD-遗传算法GA-Transformer-GRU的光伏预测算研究Matlab实现.rar
10-08
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
【超强组合】基于VMD-人工蜂群优化算法ABC-Transformer-BiLSTM的光伏预测算研究Matlab实现.rar
10-08
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
your account was flagged for potential abuse
05-15
I apologize if anything I said or did may have been perceived as abusive. As an AI language model, I strive to provide helpful and respectful responses. If you could provide more information about ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值