FSOP

最新推荐文章于 2022-11-18 01:54:18 发布
最新推荐文章于 2022-11-18 01:54:18 发布
阅读量1.4k 收藏 6
点赞数
分类专栏: FILE_related
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45595732/article/details/110173579
版权

FSOP

​   进程内所有的_IO_FILE结构会使用_chain域相互连接形成一个链表,这个链表的头部由_IO_list_all维护。

在这里插入图片描述

​   FSOP的核心思想就是劫持_IO_list_all的值来伪造链表和其中的_IO_FILE项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all链表中所有项的文件流,相当于对每个FILE调用fflush,也对应着会调用_IO_FILE_plus.vtable中的_IO_overflow。

在这里插入图片描述

_IO_flush_all_lockp的触发方式

1.当libc执行abort流程时

2.当执行exit函数时

3.当执行流从main函数返回时

_IO_flush_all_lockp的触发流程图

在这里插入图片描述

由源码可以知道为了在执行_IO_flush_all_lockp函数时能够跳转到vtable上的__overflow(64位下偏移为0x18),我们需要伪造的地方

1,_IO_list_all指针的值 使其指向我们伪造的_IO_FILE_plus结构

2,fp->_mode 满足条件fp->_mode<=0

3,fp->_IO_write_ptr ,fp->_IO_write_base 满足条件fp->_IO_write_ptr > fp->_IO_write_base

4,vtable偏移量为0x18的地方 填入onegadget或者system

FSOP攻击图解

在这里插入图片描述

演示代码

#define mode_offset 0xc0
#define writeptr_offset 0x28
#define writebase_offset 0x20
#define vtable_offset 0xd8

int main(void)
{
    void *ptr;
    long long *list_all_ptr;

    ptr=malloc(0x200);

    *(long long*)((long long)ptr+mode_offset)=0x0;
    *(long long*)((long long)ptr+writeptr_offset)=0x1;
    *(long long*)((long long)ptr+writebase_offset)=0x0;
    *(long long*)((long long)ptr+vtable_offset)=((long long)ptr+0x100);

    *(long long*)((long long)ptr+0x100+24)=0x41414141;

    list_all_ptr=(long long *)_IO_list_all;

    list_all_ptr[0]=ptr;

    exit(0);
}



执行到exit(0)的时候触发了_IO_flush_all_lockp,gdb运行结果:

在这里插入图片描述

TTYflag
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IO_FILE——FSOP、house of orange
「 虚幻私塾」
01-20 294
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 FSOP 是 File Stream Oriented  Programming 的缩写。所有的 _IO_FILE 结构会由 _chain 字段连接形成一个链表,由 _IO_list_all 来维护。而 FSOP 的核心思想就是劫持通过 _IO_list_all 的值
libc死机问题二(free死机)
u011605208的专栏
09-16 2046
一、简介 c语言本身并没有对内存的管理,在标准并没有明确的给出行为规定 本文只讨论glibc下的情况 1)glibc库提供了有限的管理,在操作非法时,会触发abort信号,或者由操作系统触发segmentfault信号 2)当程序的代码量较大时,内存问题的查找极为艰难 二、glibc free死机的分类 1)glibc detected *** f
fsop深入学习
qq_51474381的博客
04-18 1039
呜呜,来补课了。 之前io_file学的不扎实,现在来深入了解一下。 IO_file相关结构 _IO_list_all 是一个 _IO_FILE_plus 结构体定义的一个指针,如下: extern struct _IO_FILE_plus *_IO_list_all; 1 它存在在符号表内,所以pwntools是可以搜索到的,查看结构体_IO_FILE_plus内部: struct _IO_FILE_plus { _IO_FILE file; const struct _IO...
一种用於空间光通信系统的FSOP及应用 (2005年)
05-15
提出一种可用于空间光通信系统的通信协议(FSOP)。该协议在光路的物理连接之上建立一种可进行数据传输的逻辑链路,该链路具有数据实时备份、出错即时恢复等机制以保证传输数据的安全与可靠。本文提供的通信协议可以弥补空间光通信系统的通信质量易受外部环境影响而容易出错的不足,使光通信系统真正具有和光纤可相比较的传输稳定性和可靠性。同时可用於具有移动平台之光通信系统上。
FE8_1_SSOP16_V1_3.pdf
01-27
TERMIN汤铭 FE8.1USB2.0hub芯片产考设计资料
house of apple2(改进)
m0_63437215的博客
11-18 786
house_of_apple2
IO_FILE hack FSOP
qq_46441427的博客
08-21 330
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录概述hack例题:House of orange 2016-pwn450思路exp: 概述 来自CTFwiki FSOP是File Stream Oriented Programming 的缩写,根据前面对 FILE 的介绍得知进程内所有的_IO_FILE 结构会使用_chain 域相互连接形成一个链表,这个链表的头部由_IO_list_all 维护。 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中
2016-HitCon-Pwn-house_of_orange学习(附赠FSOP基础知识)
a2590035252的博客
10-25 405
[md]这里开始著名的house of orange利用方式讲解 house of orange 介绍 House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。 概述 House of Orange 的利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free
linux IO_FILE 利用
sky123博客
03-29 4291
基本结构 _IO_FILE_plus 定义如下: struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; 包括一个结构体 file 和一个指针 vtable 。 其中 vtable 指向一个函数指针表,很多 IO_FILE 的攻击都是围绕它展开的。 _IO_FILE_plus 类型的结构有 _IO_2_1_stdin_ 、 _IO_2_1_stdout_ 和 _IO_2_1_stderr_ 。另外有头指针 _IO_
IO_file结构、FSOP、house of orange总结
qq_39153421的博客
03-30 2329
占个坑 总结目录: IO_file相关结构 FSOP libc2.23利用方式 修改vtable libc2.24 添加check 利用io_str_jumps io_str_overflower io_str_finish io_buf_base scanf libc2.27 利用方式 例子:2018suctf note(libc2.24) clear_note(io_str_overflows、io_str_finish有一定几率失败) 参考文章 https://xz.aliyun.co
CTF-PWN-house-of-orange (unsortedbin attack+IO_FILE文件结构利用)
SuperGate的博客
02-22 806
程序综述 [*] '/home/supergate/Desktop/Pwn/houseoforange' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled FORTIFY: ...
linux 内核io操作,操作系统与存储:解析Linux内核全新异步IO引擎io_uring设计与实现(上)...
weixin_39798031的博客
04-30 155
来源:腾讯技术工程微信号作者:draculaqian,腾讯后台开发工程师引言存储场景中,我们对性能的要求非常高。在存储引擎底层的IO技术选型时,可能会有如下讨论关于IO的讨论。http://davmac.org/davpage/linux/async-io.htmlSo from the above documentation, it seems that Linux doesn't have a...
PWN技巧之_IO_FILE结构体利用house of orange
aptx4869_li的博客
02-16 944
PWN技巧之_IO_FILE结构体利用house of orange
新姿势Get:覆写_IO_list_all 来getshell ,0CTF2016 zerostorage 的exp以及心得体会
哒君的博客
08-11 1086
先看大佬的总结 -> https://www.jianshu.com/p/a6354fa4dbdf 关于FSOP的要点就是: FSOP选择的触发方法是调用_IO_flush_all_lockp IO_flush_all_lockp函数触发条件: 当libc执行abort流程时 abort可以通过触发malloc_printerr来触发 当执行exit函数时 当执行流从main函数返...
【PWN】House of Orange&House of Pig(待完整例题)
u014377094的博客
05-06 543
House of Orange House of Orange的利用背景在缺少free条件。为了达到free的效果,通过修改top chunk的size位,当malloc的空间大于top chunk时触发brk,使top chunk被放置在unsorted bin。 利用条件: 1.堆有 mmap 和 brk 两种分配方式,我们需要让堆以 brk 的形式拓展,之后原有的 top chunk 会被置于 unsorted bin 中。要实现 brk 拓展 top chunk,但是要实现这个目的需要绕过一.
coredump 续---abort,addr2line
3-Number
06-06 2237
0x01缘由      在项目实际开发中,当出现段错误时,为了定位问题的代码行。必须保留程序运行上下文、根据linux内核日志定位代码行等。      有时当程序自己发现问题时,自动退出程序释放资源,如发现系统内存耗尽时,退出程序,又得自动将文件流刷新到磁盘等。 0x02 abort介绍       信号量:SIGABRT   6    程序自己发现错误并调用 abort 时产生。  
the house of orange解析
小强的博客
11-24 2190
先以这个最简单的例子举例: https://github.com/shellphish/how2heap/blob/master/house_of_orange.c 编译生成ELF文件(64位) p1 = malloc(0x400-16); 每次创建堆都是从top chunk上切割堆块,由于top chunk默认是0x21000,因为我们已经申请了0x400大小的堆,所以此时to
abort()函数不是多线程安全的,但它是异步信号安全的。
我可能长大了
07-26 3017
今天遇到了工作以来最深入的问题,就是关于abort函数的多线程安全性问题,应该写一篇文章,纪念一下,希望自己以后能够学到更多关于Linux内核的知识,祝愿自己以后工作越来越顺利。首先,需要说明一下,什么是多线程安全以及异步信号安全。所谓多线程安全,我们称为MT-Safe,就是指同一个函数,同时被多个线程并行调用时,不会出现问题,也就是说,其执行结果就和该函数被串行执行多次的结果一样。打个比方,如果一个函数在不加锁的情况下使用了全局变量或静态变量,那么,当它被多个线程同时调用时,有可能出现结果不一致的情况,这
html5调用系统声音1s响一次_OPPO内核性能追踪平台技术实践——记一次奇怪的IO 100%忙问题定位过程...
weixin_29230059的博客
12-06 242
我们通过监控发现,线上多台机器周期性出现IO 100%忙问题,该案例用常规的IO忙排查方法很难解决,最后从文件系统层一直跟到磁盘控制器那部分代码,才确认最终原因。本文首先简单介绍使用iostat/iotop/strace这些工具,如何排查常规的IO忙问题。然后结合ext4文件系统层、块设备block层、磁盘控制器层内核代码,介绍本案例的排查过程,希望看过本文的小伙伴会有新的内核技能增长。...
spring boot+spring-security-saml2-core实现下面步骤的全部代码 1、用户访问https://~/fsop/external /sso?id=[company_id] 2、从DB调用认证请求目的地URL (IdP)的信息,进行HTTP重定向 3.、IdP在认证后通过POST绑定向SSO登录处理画面(新)请求 4、验证SAML判定,并在认可后进行登录处理
最新发布
05-30
用户访问https://~/fsop/external/sso?id=[company_id]时,需要从数据库中查询目的地URL(IdP)的信息,并进行HTTP重定向。具体实现可以通过Spring MVC的RedirectView来实现。 2) 验证SAML判定并进行登录处理 当SAML...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值