2.24-2.28的fsop

最新推荐文章于 2022-10-25 08:22:33 发布
最新推荐文章于 2022-10-25 08:22:33 发布
阅读量465 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51474381/article/details/115597578
版权

2.24-2.28的fsop:

2.23的fsop对这个版本段的glibc是无效的,多加的保护机制如下:

新版本(libc2.24以上)的防御机制会检查vtable的合法性,不能再像之前那样改vatable为堆地址,但是_IO_str_jumps是一个符合条件的 vtable,改 vtable为 _IO_str_jumps即可绕过检查。

_IO_str_jumps是一个方向,使用比较简单,这里就只讲这个方向了。

 

利用:

新版本(libc2.24以上)的防御机制会检查vtable的合法性,不能再像之前那样改vatable为堆地址,但是_IO_str_jumps是一个符合条件的 vtable,改 vtable为 _IO_str_jumps即可绕过检查。其定义如下

const struct _IO_jump_t _IO_str_jumps libio_vtable =

{

JUMP_INIT_DUMMY,

JUMP_INIT(finish, _IO_str_finish),

JUMP_INIT(overflow, _IO_str_overflow),

JUMP_INIT(underflow, _IO_str_underflow),

JUMP_INIT(uflow, _IO_default_uflow),

JUMP_INIT(pbackfail, _IO_str_pbackfail),

JUMP_INIT(xsputn, _IO_default_xsputn),

JUMP_INIT(xsgetn, _IO_default_xsgetn),

JUMP_INIT(seekoff, _IO_str_seekoff),

JUMP_INIT(seekpos, _IO_default_seekpos),

JUMP_INIT(setbuf, _IO_default_setbuf),

JUMP_INIT(sync, _IO_default_sync),

JUMP_INIT(doallocate, _IO_default_doallocate),

JUMP_INIT(read, _IO_default_read),

JUMP_INIT(write, _IO_default_write),

JUMP_INIT(seek, _IO_default_seek),

JUMP_INIT(close, _IO_default_close),

JUMP_INIT(stat, _IO_default_stat),

JUMP_INIT(showmanyc, _IO_default_showmanyc),

JUMP_INIT(imbue, _IO_default_imbue)

};

其中 IO_str_overflow 函数会调用 FILE+0xe0处的地址。这时只要我们将虚表覆盖为 IO_str_jumps将偏移0xe0处设置为one_gadget即可。(不常见的情况)

还有一种就是利用io_finish函数,同上面的类似, io_finish会以 IO_buf_base处的值为参数跳转至 FILE+0xe8处的地址。执行 fclose( fp)时会调用此函数,但是大多数情况下可能不会有 fclose(fp),这时我们还是可以利用异常来调用 io_finish,异常时调用 IO_OVERFLOW是根据IO_str_overflow在虚表中的偏移找到的, 我们可以设置vtable为IO_str_jumps-0x8异常时会调用io_finish函数。(就是执行FILE+0xe8,且此时参数为 IO_buf_base(就是rdi指向的地址))

 

NN小弟
关注
IO_FILE——FSOP、house of orange
「 虚幻私塾」
01-20 362
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 FSOP 是 File Stream Oriented  Programming 的缩写。所有的 _IO_FILE 结构会由 _chain 字段连接形成一个链表,由 _IO_list_all 来维护。而 FSOP 的核心思想就是劫持通过 _IO_list_all 的值
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP
weixin_44145820的博客
04-27 1611
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
FSOP
qq_45595732的博客
11-26 1625
FSOP ​   进程内所有的_IO_FILE结构会使用_chain域相互连接形成一个链表,这个链表的头部由_IO_list_all维护。 ​   FSOP的核心思想就是劫持_IO_list_all的值来伪造链表和其中的_IO_FILE项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all链表中所有项的文件流,相当于对每个FILE调用fflush,也
IO_FILE hack FSOP
qq_46441427的博客
08-21 483
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录概述hack例题:House of orange 2016-pwn450思路exp: 概述 来自CTFwiki FSOP是File Stream Oriented Programming 的缩写,根据前面对 FILE 的介绍得知进程内所有的_IO_FILE 结构会使用_chain 域相互连接形成一个链表,这个链表的头部由_IO_list_all 维护。 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中
fsop深入学习
qq_51474381的博客
04-18 1124
呜呜,来补课了。 之前io_file学的不扎实,现在来深入了解一下。 IO_file相关结构 _IO_list_all 是一个 _IO_FILE_plus 结构体定义的一个指针,如下: extern struct _IO_FILE_plus *_IO_list_all; 1 它存在在符号表内,所以pwntools是可以搜索到的,查看结构体_IO_FILE_plus内部: struct _IO_FILE_plus { _IO_FILE file; const struct _IO...
FE8_1_SSOP16_V1_3.pdf
01-27
文档"FE8_1_SSOP16_V1_3.pdf"是关于TERMIN汤铭公司生产的FE8.1 USB 2.0 Hub芯片的应用设计参考资料。这个芯片主要用于扩展USB接口,允许多个设备同时连接到一个单一的USB端口。这份资料详细介绍了如何正确设计和布局...
一种用於空间光通信系统的FSOP及应用 (2005年)
05-15
提出一种可用于空间光通信系统的通信协议(FSOP)。该协议在光路的物理连接之上建立一种可进行数据传输的逻辑链路,该链路具有数据实时备份、出错即时恢复等机制以保证传输数据的安全与可靠。本文提供的通信协议可以...
FSOP项目Java与数据库开发规范
第一章概述指出,编写开发规范的目的是为了规范FSOP项目的开发实施工作,提升软件质量,缩短开发周期,并增强代码的可重用性和可读性,便于维护和团队间的沟通协作。规范面向参与FSOP项目开发和实施的所有相关人员。...
2016-HitCon-Pwn-house_of_orange学习(附赠FSOP基础知识)
a2590035252的博客
10-25 680
[md]这里开始著名的house of orange利用方式讲解 house of orange 介绍 House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。 概述 House of Orange 的利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free
C++ 头文件系列(streambuf)
weixin_30256901的博客
02-20 614
1. 简介 该头文件定义了basic_streambuf模版,从字面上看是作为流缓冲区之用。 2. basic_streambuf模版 The class template basic_stream< charT, traits > serves as an abstract base class for deriving various stream buffers whose o...
C++中的文件file和流缓冲streambuf操作
halazi100
01-15 6738
1.引入头文件fstream #include &lt;fstream&gt; fstream头文件定义了用于文件输入的类ifstream和文件输出的类ofstream 参考文档 http://www.cplusplus.com/reference/fstream/ ofstream: 写操作(输出)的文件类 (由ostream引申而来)  ifstream: 读操作(输入)的文件类(由istr...
攻防世界 pwn 进阶 bufoverflow_a
yongbaoii的博客
03-13 460
保护一片绿。 菜单堆。 alloc delete fill show
js中的new file_buuoj刷题——ciscn_final_2看_IO_FILE
weixin_39845221的博客
11-29 166
题目概览标准菜单堆,64位题,没有去掉符号表,保护全开。首先nop掉alarm没有edit函数Sandbox_Loading这个函数中调用了prctl函数,然后定义了一大堆变量函数原型int prctl(int option, unsigned long arg2, unsigned long arg3,unsigned long arg4, unsigned long arg5);通过阅读手册,...
Linux 基础IO(系统调用/文件描述符/重定向)
爱上小公举
12-12 1332
目录 Linux 系统 . 文件IO Linux 系统调用与C库函数对比记忆 fopen & open fclose & close fwrite & write fread & read fleek & leek stdin &stdout& strerr 文件描述符fd str...
sprintf与snprintf的区别
一直在路上
09-02 1733
今天在项目中使用snprintf时遇到一个比较迷惑的问题,追根溯源了一下,在此对sprintf和snprintf进行一下对比分析。 因为sprintf可能导致缓冲区溢出问题而不被推荐使用,所以在项目中我一直优先选择使用snprintf函数,虽然会稍微麻烦那么一点点。这里就是sprintf和snprintf最主要的区别:snprintf通过提供缓冲区的可用大小传入参数来保证缓冲区的不溢出,如果
2022强网杯pwn部分wp
N1rvana的博客
08-02 1594
2022强网杯pwn
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1657
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
C#基础笔记(5)—— C#IO操作
Dukenone的博客
09-15 1568
C#的IO操作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值