fsop深入学习

最新推荐文章于 2022-10-25 08:22:33 发布
最新推荐文章于 2022-10-25 08:22:33 发布
阅读量1k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51474381/article/details/115836176
版权

1.相关结构复习

画成思维导图了:思维导图

2.相关代码复习

libc2.24以上的检查代码

static inline const struct _IO_jump_t *
IO_validate_vtable (const struct _IO_jump_t *vtable)
{
  /* Fast path: The vtable pointer is within the __libc_IO_vtables
     section.  */
  uintptr_t section_length = __stop___libc_IO_vtables - __start___libc_IO_vtables;
  const char *ptr = (const char *) vtable;
  uintptr_t offset = ptr - __start___libc_IO_vtables;
  if (__glibc_unlikely (offset >= section_length))
    /* The vtable pointer is not in the expected section.  Use the
       slow path, which will terminate the process if necessary.  */
    _IO_vtable_check ();
  return vtable;
}

vtable必须要满足 在 __stop___IO_vtables 和 __start___libc_IO_vtables 之间,而我们伪造的vtable通常不满足这个条件。但是_IO_str_jumps 与__IO_wstr_jumps就位于 __stop___libc_IO_vtables 和 __start___libc_IO_vtables 之间, 所以我们是可以利用他们来通过 IO_validate_vtable 的检测的,只需要将vtable填成_IO_str_jumps 或__IO_wstr_jumps就行。
利用方式两种:

    1.利用__IO_str_jumps中的_IO_str_finsh函数
    2.利用__IO_str_jumps中的_IO_str_overflow函数

3.利用方式

利用_IO_str_finsh函数实现函数调用

void _IO_str_finish (FILE *fp, int dummy)
{
  if (fp->_IO_buf_base && !(fp->_flags & 1))
    ((void (*)(void))fp + 0xE8 ) (fp->_IO_buf_base); // call qword ptr [fp+E8h]
  fp->_IO_buf_base = NULL;
  _IO_default_finish (fp, 0);
}

条件:

  1. fp->_IO_buf_base为真

  2. fp->_flags & 1 为假 // fp->_flags=0

fp+E8处填成system_addr ,还有 fp->_IO_buf_base填上binsh_addr地址主要是利用__IO_str_jumps地址错位的方法,通过_IO_str_jumps - 8来调用_IO_str_finish

利用_IO_str_overflow函数实现函数调用

__int64 __fastcall IO_str_overflow(_IO_FILE *fp, unsigned int a2)
{
  int v2; // ecx
  signed __int64 result; // rax
  _QWORD *v4; // rdx
  char *v5; // r12
  unsigned __int64 v6; // r13
  unsigned __int64 v7; // r14
  __int64 v8; // rax
  __int64 v9; // r15
  _QWORD *v10; // rax
  _QWORD *v11; // rax

  v2 = fp->_flags;
  if ( fp->_flags & 8 )
    return (unsigned int)-(a2 != -1);
  if ( (fp->_flags & 0xC00) == 0x400 )
  {
    v4 = fp->_IO_read_ptr;
    v11 = fp->_IO_read_end;
    BYTE1(v2) |= 8u;
    LODWORD(fp->_flags) = v2;
    fp->_IO_write_ptr = v4;
    fp->_IO_read_ptr = v11;
  }
  else
  {
    v4 = fp->_IO_write_ptr;
  }
  v6 = (char *)fp->_IO_buf_end - (char *)fp->_IO_buf_base
  if ( (char *)v4 - (char *)fp->_IO_write_base >= v6 + (a2 == -1) )
  {
    if ( v2 & 1 )
      return 0xFFFFFFFFLL;
    v7 = 2 * v6 + 100;
    if ( v6 > v7 )
      return 0xFFFFFFFFLL;
    v8 = ((__int64 (__fastcall *)(unsigned __int64)) fp + 0xE0)(2 * v6 + 100); // call
    v9 = v8;
    .........
  }
  .......
  .......
}

条件:

  1. fp->_flags = 0
  2. fp->_IO_buf_base = 0
  3. fp->_IO_buf_end = (bin_sh_addr - 100) / 2#如果bin/sh地址以奇数结尾可以+1以避免向下取整
  4. fp->_IO_write_ptr = 0xffffffff
  5. fp->_IO_write_base = 0
  6. fp->_mode = 0
  7. fp+0xe0 = system
     

fp->_flags & 8 得为0,(fp->_flags & 0xC00) == 0x400 得为0 , fp->_flags & 1 得为0, 所以我这里就将fp->_flags设置为0 ; 并设置fp->_IO_write_ptr - fp->_IO_write_base > fp->_IO_buf_end - fp->_IO_buf_base
这样我们才能够绕过检查,来到函数调用(fp + 0xE0)(2 * v6 + 100)也就是 (fp + 0xE0)(2 * (fp->_IO_buf_end - fp->_IO_buf_base) + 100)
我们可以将 fp + 0x E0设置成 system函数地址 ,fp->_IO_buf_base设置成0,fp->_IO_buf_end设置成 (binsh_addr-100)/2这样就设置了system参数,fp->_IO_write_ptr设置成一个很大的正值
这里有个坑,就是(binsh_addr-100)/2, 当/bin/sh地址存在于libc中,它/2再*2 若是除不尽有余数的话 会影响最后的参数地址,我们为了避免这种情况我们尽量在堆内存中填入"/bin/sh\x00", 因为堆内存往往都是2的倍数对齐。

 

进行任意地址读写

大佬的详细博客


 

 

NN小弟
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IO_FILE——FSOP、house of orange
「 虚幻私塾」
01-20 322
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 FSOP 是 File Stream Oriented  Programming 的缩写。所有的 _IO_FILE 结构会由 _chain 字段连接形成一个链表,由 _IO_list_all 来维护。而 FSOP 的核心思想就是劫持通过 _IO_list_all 的值
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP
weixin_44145820的博客
04-27 1568
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
FSOP
qq_45595732的博客
11-26 1554
FSOP ​   进程内所有的_IO_FILE结构会使用_chain域相互连接形成一个链表,这个链表的头部由_IO_list_all维护。 ​   FSOP的核心思想就是劫持_IO_list_all的值来伪造链表和其中的_IO_FILE项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all链表中所有项的文件流,相当于对每个FILE调用fflush,也
IO_FILE hack FSOP
qq_46441427的博客
08-21 443
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录概述hack例题:House of orange 2016-pwn450思路exp: 概述 来自CTFwiki FSOP是File Stream Oriented Programming 的缩写,根据前面对 FILE 的介绍得知进程内所有的_IO_FILE 结构会使用_chain 域相互连接形成一个链表,这个链表的头部由_IO_list_all 维护。 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中
2.24-2.28的fsop
qq_51474381的博客
04-11 449
2.24-2.28的fsop: 2.23的fsop对这个版本段的glibc是无效的,多加的保护机制如下: 新版本(libc2.24以上)的防御机制会检查vtable的合法性,不能再像之前那样改vatable为堆地址,但是_IO_str_jumps是一个符合条件的 vtable,改 vtable为 _IO_str_jumps即可绕过检查。 _IO_str_jumps是一个方向,使用比较简单,这里就只讲这个方向了。 利用: 新版本(libc2.24以上)的防御机制会检查vtable的合法性,不能.
一种用於空间光通信系统的FSOP及应用 (2005年)
05-15
提出一种可用于空间光通信系统的通信协议(FSOP)。该协议在光路的物理连接之上建立一种可进行数据传输的逻辑链路,该链路具有数据实时备份、出错即时恢复等机制以保证传输数据的安全与可靠。本文提供的通信协议可以...
spring boot+spring-security-saml2-core实现下面步骤的全部代码 1、用户访问https://~/fsop/external /sso?id=[company_id] 2、从DB调用认证请求目的地URL (IdP)的信息,进行HTTP重定向 3.、IdP在认证后通过POST绑定向SSO登录处理画面(新)请求 4、验证SAML判定,并在认可后进行登录处理
最新发布
05-30
用户访问https://~/fsop/external/sso?id=[company_id]时,需要从数据库中查询目的地URL(IdP)的信息,并进行HTTP重定向。具体实现可以通过Spring MVC的RedirectView来实现。 2) 验证SAML判定并进行登录处理 当SAML...
FE8_1_SSOP16_V1_3.pdf
01-27
文档"FE8_1_SSOP16_V1_3.pdf"是关于TERMIN汤铭公司生产的FE8.1 USB 2.0 Hub芯片的应用设计参考资料。这个芯片主要用于扩展USB接口,允许多个设备同时连接到一个单一的USB端口。这份资料详细介绍了如何正确设计和布局...
2016-HitCon-Pwn-house_of_orange学习(附赠FSOP基础知识)
a2590035252的博客
10-25 611
[md]这里开始著名的house of orange利用方式讲解 house of orange 介绍 House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。 概述 House of Orange 的利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free
2021 bytectf pwn bytecmsc
yongbaoii的博客
10-21 476
保护显然是全绿 我们来分析程序 首先会进入一个验证环节。 里面会将那一串字符串进行一个随机,随机的种子是time。 那么我们显然不能够用常规方法过掉检查,因为毕竟是会跟时间为种子的随机数随机起来。 那么我们要知道,time这里的种子是秒级的,不是毫秒,那么我们可以在写exp的时候也同时启动一个time的种子,然后来将字符串进行同样的随机,以此来达到一个预测随机的目的。 因为time种子是秒级的,基本上都可以过。 下面是一个堆。 我们逐个分析。 add函数 是一个while循环,输入1可以继续加。 里
【PWN】House of Orange&House of Pig(待完整例题)
u014377094的博客
05-06 659
House of Orange House of Orange的利用背景在缺少free条件。为了达到free的效果,通过修改top chunk的size位,当malloc的空间大于top chunk时触发brk,使top chunk被放置在unsorted bin。 利用条件: 1.堆有 mmap 和 brk 两种分配方式,我们需要让堆以 brk 的形式拓展,之后原有的 top chunk 会被置于 unsorted bin 中。要实现 brk 拓展 top chunk,但是要实现这个目的需要绕过一.
pwn入门小技巧
qq_36918532的博客
05-24 2789
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
IO_file attack(_IO_str_finish)以及 free_hook用法
carol2358的博客
08-04 1079
题目是0ctf_2017_babyheap 漏洞是堆溢出 free_hook 参考链接: https://xz.aliyun.com/t/7020 https://bbs.pediy.com/thread-230028.htm https://bbs.pediy.com/thread-246786.htm free_hook在libc2.23中用起来比较费劲,2.27中用的比较多 free_hook可以在og用不了的时候来system(binsh),但我为什么不realloc_hook呢? 因为f
[总结型]记CTF PWN中过气的堆利用
easy_level1的博客
04-15 1534
目录前言不再好用的unsorted bin attack不可能的tcache double free 前言 how2heap(https://github.com/shellphish/how2heap)可以说是目前"权威"的glibc中的heap exploitation techniques文档。在学术界近年的一些顶会文章也有引用这个github项目。 攻防对抗是一直持续发展的,很容易在学习中,复现一些过时的攻击技术出现困难,原因就是已经有补丁打上了。本文大致总结一些在比赛中常见的过时技术,持续更新…吧
GYctf-BFnote IO_FILE还可以这样利用
蚁景网安学院
02-27 230
这次感受到了自己是多么的菜,打完hgame再来打这个感觉完全不是一个等级的pwn题,第一天只做出来一个,算是比较有质量的题吧,从比赛开始卡到我比赛结束,幸亏最后做出来了。有两个很明显的溢...
overflow知多少
dgk62408的博客
06-27 191
最近在研究OOCSS,当打开template.css阅读第一行时,震惊了,第一眼居然没看懂。。。。。。以下就是OOCSS下的template.css第一行代码: 1 2 .body{overflow:hidden; _overflow:visible; _zoom:1;} .main{overflow:hidden; _overflow:vis...
IO输入溢出(转载+整理)
zjc742206723的专栏
07-27 883
gets(); 防止缓冲区溢出    描述了高水平的缓冲区溢出攻击,以及讨论了为什么缓冲区溢出是如此严重的安全性问题。本专栏文章的主题是,通过防御性编程保护代码不受缓冲区溢出攻击。我们将论及 C编程语言中的主要安全性陷阱,显示应该避免特殊构造的原因,以及演示推荐的编程实践。最后,将讨论有助于有效防止缓冲区溢出的其它技术。 C 中大多数缓冲区溢出问题可以直接追溯到标准 C 库。最有害的罪魁祸
攻防世界 pwn 进阶 bufoverflow_a
yongbaoii的博客
03-13 439
保护一片绿。 菜单堆。 alloc delete fill show
IO_vtable和IO_FILE结构
snowleopard_bin的博客
04-05 824
void attribute_hidden _IO_vtable_check (void) { #ifdef SHARED /* Honor the compatibility flag. */ void (*flag) (void) = atomic_load_relaxed (&IO_accept_foreign_vtables); #ifdef PTR_DEMANGLE ...
FSOP项目Java与数据库开发规范
第一章概述指出,编写开发规范的目的是为了规范FSOP项目的开发实施工作,提升软件质量,缩短开发周期,并增强代码的可重用性和可读性,便于维护和团队间的沟通协作。规范面向参与FSOP项目开发和实施的所有相关人员。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值