攻防世界(pwn)echo_back + magic (_IO_FILE文件流攻击初探)

最新推荐文章于 2023-05-26 17:53:35 发布
最新推荐文章于 2023-05-26 17:53:35 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/104816255
版权

前言:

这两题都是关于_IO_FILE文件流攻击的题目,如果对_IO_FILE文件流不是很清楚,可以看ctfwiki中的_IO_FILE介绍——传送门

echo_back——关于_IO_2_1_stdin结构的利用

在这里插入图片描述

文件保护全开,不能got覆写。
在这里插入图片描述

进入IDA,发现程序有两个功能,一个是setname,一个是echo back。
在这里插入图片描述

查看setname功能,发现此功能只能输入7个字节,不具备ROP和栈帧转移的能力。
我们只能看第二个功能echo back功能。
在这里插入图片描述

进入功能内,我们发现这个程序里边同样有输入功能,但是最大输入仍然只有7个字节,不具备ROP和栈帧转移的能力,我们只能另寻他法。继续往下看,我们发现底下有明显的格式化字符串漏洞,我可以通过他来泄露数据和改写地址。
我们打开gdb来看看栈上是否有可利用的地址:
在这里插入图片描述

我们发现在偏移19的地方有__libc_start_main的数据,我这边由于程序链接的是libc2.29的库,所以偏移为234个字节,但是远端肯定不是这样的。我们知道远端libc库位2.23,通过对libc2.23库的了解,我们知道栈上__libc_start_main地址偏移位240。所以我们泄露出来后要减去的是240才能打通远端。
由于程序开了PIE,拿到了libc的基址,我们还需要拿到elf文件的基地址:这里标红的地址选一个减去后三位就可以了。
由于程序开了Full RELRO,所以我们不能覆写got表的地址,而我们可输入字节只有7个,我们这里就只有攻击scanf函数来绕过7字节输入的限制了。
这里我们就要了解一些scanf内部的知识:
其中最重要的就属_IO_new_file_underflow函数,他揭示了scanf输入的内部结构:

int _IO_new_file_underflow (_IO_FILE *fp)
{
  _IO_ssize_t count;
#if 0
  /* SysV does not make this test; take it out for compatibility */
  if (fp->_flags & _IO_EOF_SEEN)
    return (EOF);
#endif

  if (fp->_flags & _IO_NO_READS)
    {
      fp->_flags |= _IO_ERR_SEEN;
      __set_errno (EBADF);
      return EOF;
    }
  /
  if (fp->_IO_read_ptr < fp->_IO_read_end)              //
    return *(unsigned char *) fp->_IO_read_ptr;        //

  if (fp->_IO_buf_base == NULL)
    {
      /* Maybe we already have a push back pointer.  */
      if (fp->_IO_save_base != NULL)
    {
      free (fp->_IO_save_base);
      fp->_flags &= ~_IO_IN_BACKUP;
    }
      _IO_doallocbuf (fp);
    }

  /* Flush all line buffered files before reading. */
  /* FIXME This can/should be moved to genops ?? */
  if (fp->_flags & (_IO_LINE_BUF|_IO_UNBUFFERED))
    {
#if 0
      _IO_flush_all_linebuffered ();
#else
      /* We used to flush all line-buffered stream.  This really isn't
     required by any standard.  My recollection is that
     traditional Unix systems did this for stdout.  stderr better
     not be line buffered.  So we do just that here
     explicitly.  --drepper */
      _IO_acquire_lock (_IO_stdout);

      if ((_IO_stdout->_flags & (_IO_LINKED | _IO_NO_WRITES | _IO_LINE_BUF))
      == (_IO_LINKED | _IO_LINE_BUF))
    _IO_OVERFLOW (_IO_stdout, EOF);

      _IO_release_lock (_IO_stdout);
#en
最低0.47元/天 解锁文章
PLpa、
关注
专栏目录
2020-11-09学习记录:攻防世界pwnecho_back
eeeeeight的博客
11-09 290
今天就算是世界毁灭,我也要更新博客,容我先睡一觉
攻防世界-PWN进阶区-echo_back(CISCN-2018-Quals)
weixin_44145820的博客
03-03 855
本题考查的是对格式化字符串漏洞的利用以及修改_IO_2_1_stdin来实现任意写 题目分析 checksec: 发现保护全开 源码分析: echo函数: 在该函数中有明显的格式化字符串漏洞,但是格式化字符串的长度有限制,最长只能为7,这使得许多利用格式化字符串进行任意内存写的方式不能使用,不过泄露信息还是能够做到的 对于信息泄露,首先我们需要获取libc的基地址,这样我们才能计算system...
攻防世界echo_back
weixin_43960998的博客
04-05 442
1.程序逆向 程序读起来很简单,提供了两个功能,设置姓名和可以一直循环进行 echo_back,在 echo_back 中存在一个格式化字符串漏洞,但是每次最多读取 7 字节: 首先想到是写返回地址,但是最多只写 7 字节导致不能输送完整的 rop ,所以这里需要学习一个新的知识点。 2.漏洞利用&知识点 一个可以循环利用的格式化字符串,但是有字符限制 程序通过 scanf 输入 先是通过栈上的一些数据来泄漏 libc_base,elf_base,还要泄漏存放 main 的返回地址的栈地址,这
PWN技巧之攻防世界echo_back
aptx4869_li的博客
02-20 650
PWN技巧之攻防世界echo_back
CTF-Pwn echo_back(文件IO指针利用+格式化字符串漏洞)
SuperGate的博客
12-19 1177
程序综述 supergate@ubuntu:~/Desktop/Pwn$ checksec echo_back [*] '/home/supergate/Desktop/Pwn/echo_back' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX e...
攻防世界PWNecho_back题解
seaaseesa的博客
11-17 2655
echo_back 首先,检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下, 在功能2有一个明显的格式化输出字符串漏洞 但是,我们能够输入的字符串长度最多为7个字符 好啦,不管怎么说,首先得用这个漏洞泄露一些地址 当我们要执行printf时,我们发现,距离当前栈顶13个位置处,有__libc_start_main+F0的地址,但是,这不是说要输出它的值...
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1653
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
这种技术常用于栈溢出攻击中,因为攻击者可以通过溢出填充栈上的数据,来改变"rsp"的值,从而控制程序执行。 1. **栈溢出漏洞**:当程序处理用户输入的数据时,如果未进行足够的边界检查,可能导致缓冲区溢出,...
PWNIO_FILE的利用
u014377094的博客
05-05 1355
IO_FILE 的结构 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ streambuf protocol. */ /* Note: Tk uses the _IO_read_ptr and _IO_read
ctf-pwn-堆—IO_FILE
最新发布
xy_369的博客
05-26 380
ctf-pwn-堆—文件IO 教程
pwn-chanllege1-IO_file-XMAN
Peanuts
08-14 393
##xman-个人排位赛 ###pwn-chanllege1-IO_file 链接:https://pan.baidu.com/s/1vSrgF4iQ-2X6gQSciEPi9Q 密码:g2hc #####这是一道简单的io_file的题,通过这个题大概可以知道io_file的机制,总的来说其实就是控制fd指针导致最后指针指向我们需要控制的函数 ######先拖入ida:     __int6...
echo_back(xctf)
weixin_43868725的博客
08-16 756
0x0 程序保护和程 保护: 程: main() echo_back() 存在一个格式化字符串漏洞。 0x1 利用过程 1.题目保护全开,程序中又没有可用的字符串,函数。所以只能通过格式化字符串漏洞泄露地址,写入有限数据。 2.既然有格式化字符串漏洞,肯定是要泄露栈上的信息。但是由于限制了字符串最长为7,所以只能逐位泄露。 选择使用ida的远程调试,因为可以丢弃alarm()发出的signal。选择在echo_back()的retn处下断点 直到到输入%6$p时在栈上发现了被输出的数据(为什么是
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5388
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
IO_FILE——leak 任意读
虚幻私塾
02-23 372
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在堆题没有show函数时,我们可以用 IO_FILE 进行leak,本文就记录一下如何实现这一手法。 拿一个输出函数 puts 来说,它在源码里的表现形式为 _IO_puts 。 \_IO\_puts (const char *str) { int result = EOF;
好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc
hollk’s blog
02-19 5618
前言 这道题是wiki上tcache attack部分的第二道例题,原题在wiki那个题包里,需要自己找一下,忘记在哪了。。。。。其实个人感觉这道题的考点并不是tcache attack,而是在于IO_FILE的利用。因为这道题与以往所见并不太相同,并没有输出函数,也就意味着无法通过往常的方式利用程序自身的输出函数进行泄露内存地址,所以这时候就需要利用IO_FILE的方式进行输出(我也是第一次遇到,肝了好几天)。这篇文章主要分为两个部分,前半部分主要讲解IO_FILE泄露libc的方式,后半部分是HITCO
[BUUCTF] picoctf_2018_echo back
zyxx_wjc的博客
03-15 2891
BUUCTF picoctf_2018_echo back
linux IO_FILE 利用
热门推荐
sky123博客
03-29 4万+
基本结构 _IO_FILE_plus 定义如下: struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; 包括一个结构体 file 和一个指针 vtable 。 其中 vtable 指向一个函数指针表,很多 IO_FILE攻击都是围绕它展开的。 _IO_FILE_plus 类型的结构有 _IO_2_1_stdin_ 、 _IO_2_1_stdout_ 和 _IO_2_1_stderr_ 。另外有头指针 _IO_
BUUCTF【PicoCTF_2018_echo_back】(格式化字符串)
weixin_51055545的博客
04-26 459
文章目录PicoCTF_2018_echo_back例行检查:IDA分析:exp: PicoCTF_2018_echo_back 例行检查: 开了部分relro,没开pie, IDA分析: 函数主逻辑在vul()函数中: 先打印出一句话,然后让我们输入,大小控制在0x7f,然后很明显一个格式化字符串,然后下边直接puts完后,程序结束. 程序中存在system,并且没开pie,这里我们考虑直接改got表,我选择的是改printf()_got为system_plt,下边程序直接结束了,这里我们没办法去输入
【分析】一种新的File Stream Overflows(FSO)
FreeXploiT
03-30 1249
一种新的File Stream Overflows(FSO)创建时间:2003-04-10文章属性:整理文章来源:http://www.xfous.org/文章提交:alert7 (sztcww_at_sina.com)一种新的File Stream Overflows(FSO)        by alert7 主页: http://www.xfocus.org/  http://www.whi
攻防世界Pwn题:利用FSA漏洞执行cat_flag
在"攻防世界pwn题:forgot.doc"文档中,我们探讨了一个关于利用有限状态自动机(FSA)中的漏洞来实现电子邮件地址验证的挑战。福克斯设计了一个题目,其中包含了一个32位的可执行文件,具有canary和PIE保护机制关闭,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值