前言

本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274

最新版的 libc 中会对 vtable 检查,所以之前的攻击方式,告一段落。下面介绍一种,通过修改 _IO_FILE 实现任意地址读和任意地址写的方式。

正文

_IO_FILE 通过这些指针,来读写数据。

如果我们修改了它们,然后通过一些文件读写函数时,我们就能实现 任意地址读写。

任意地址读

代码示例

#include <stdio.h>

#include <stdlib.h>

int main(int argc, char * argv[])

{

   FILE *fp;

   char *msg = "hello_file";

   char *buf = malloc(100);

   read(0, buf, 100);

   fp = fopen("key.txt", "rw");

   // 设置 flag 绕过 check

   fp->_flags &= ~8;

   fp->_flags |= 0x800;

   // _IO_write_base write数据的起始地址, _IO_write_ptr  write数据的终止地址

   fp->_IO_write_base = msg;

   fp->_IO_write_ptr = msg + 6;

   //绕过检查

   fp->_IO_read_end = fp->_IO_write_base;

   // write 的目的 文件描述符, 1 --> 标准输出

   fp->_fileno = 1;

   fwrite(buf, 1, 100, fp);

   return 0;

}

任意地址写



#include <stdio.h>

#include <stdlib.h>

int main(int argc, char * argv[])

{

   FILE *fp;

   char msg[100];

   char *buf = malloc(100);

   fp = fopen("key.txt", "rw");

   // 设置 flag 绕过 check

   fp->_flags &= ~4;

   // _IO_buf_base buffer 的起始地址, _IO_buf_end  buffer 的终止地址

   // fread 先把数据读入 [_IO_buf_base, _IO_buf_end] 形成的 buffer

   // 然后复制到目的 buffer

   fp->_IO_buf_base = msg;

   fp->_IO_buf_end = msg + 100;

   // 设置 文件描述符, 0---> stdin, 从标准输入读数据

   fp->_fileno = 0;

   fread(buf, 1, 6, fp);

   puts(msg);

   puts(buf);

   return 0;

}

利用 stdin / stdout 任意地址写/ 读

puts, scanf 等一批系统函数默认使用的 stdin , stdout ,stderr 等结构体进行操作,通过修改这些结构体的内容,可以更方便的实现任意地址读,任意地址写。

stdin 也是 _IO_FILE 结构体



#include <stdio.h>

#include <stdlib.h>

int global_val = 0xaabbccdd;

int main(int argc, char * argv[])

{

   FILE *fp;

   int var;

   fp = stdin;

   fp->_flags &= ~4;

   fp->_IO_buf_base = stdout;

   fp->_IO_buf_end = stdout + 100;

   scanf("%d",&var);

   printf("0x%x\n", global_val);

   return 0;

}

运行之

成功修改 stdout 结构体

#include <stdio.h>

#include <stdlib.h>

int main(int argc, char * argv[])

{

   FILE *fp;

   char *msg = "hello_stdout";

   char *buf = malloc(100);

   fp = stdout;

   // 设置 flag 绕过 check

   fp->_flags &= ~8;

   fp->_flags |= 0x800;

   // _IO_write_base write数据的起始地址, _IO_write_ptr  write数据的终止地址

   fp->_IO_write_base = msg;

   fp->_IO_write_ptr = msg + 12;

   //绕过检查

   fp->_IO_read_end = fp->_IO_write_base;

   // write 的目的 文件描述符, 1 --> 标准输出

   fp->_fileno = 1;

   puts("<----->this is append on msg ");

   return 0;

}

成功读到了, msg 的内容。

参考:

https://www.slideshare.net/AngelBoy1/play-with-file-structure-yet-another-binary-exploit-technique

Pwn with File结构体(二)的更多相关文章

  1. Pwn with File结构体(一)

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 利用 FILE 结构体进行攻击,在现在的 ctf 比赛中也经常出现 ...

  2. Pwn with File结构体(四)

    前言 前面几篇文章说道,glibc 2.24 对 vtable 做了检测,导致我们不能通过伪造 vtable 来执行代码.今天逛 twitter 时看到了一篇通过绕过 对vtable 的检测 来执行代 ...

  3. Pwn with File结构体(三)

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 前面介绍了几种 File 结构体的攻击方式,其中包括修改 vtab ...

  4. Pwn with File结构体之利用 vtable 进行 ROP

    前言 本文以 0x00 CTF 2017 的 babyheap 为例介绍下通过修改 vtable 进行 rop 的操作 (:-_- 漏洞分析 首先查看一下程序开启的安全措施 18:07 haclh@u ...

  5. Linux_Struct file()结构体

    struct file结构体定义在/linux/include/linux/fs.h(Linux 2.6.11内核)中,其原型是:struct file {        /*         * f ...

  6. Linux--struct file结构体

    struct file(file结构体): struct file结构体定义在include/linux/fs.h中定义.文件结构体代表一个打开的文件,系统中的每个打开的文件在内核空间都有一个关联的  ...

  7. 2018.5.2 file结构体

    f_flags,File Status Flag f_pos,表示当前读写位置 f_count,表示引用计数(Reference Count): dup.fork等系统调用会导致多个文件描述符指向同一 ...

  8. fd与FILE结构体

    文件描述符 fd 概念:文件描述符在形式上是一个非负整数.实际上,它是一个索引值,指向内核为每一个进程所维护的该进程打开文件的记录表.当程序打开一个现有文件或者创建一个新文件时,内核向进程返回一个文件 ...

  9. file结构体中private_data指针的疑惑

    转:http://www.360doc.com/content/12/0506/19/1299815_209093142.shtml hi all and barry, 最近在学习字符设备驱动,不太明 ...

随机推荐

  1. POJ 2243

    #include <iostream> #include <queue> using namespace std; ][] = {-,-,-,,,-,,,,-,-,-,,,-, ...

  2. System.Thread.TImer控件——http://www.360doc.com/content/11/0812/11/1039473_139824496.shtml

    http://www.360doc.com/content/11/0812/11/1039473_139824496.shtml

  3. php 常见图片处理函数封装

    <?php /** * 常见图像处理函数的封装 */ class Image{ private $info=[]; private $width;//原始图片宽度 private $height ...

  4. (转)MySQL优化笔记(八)--锁机制超详细解析(锁分类、事务并发、引擎并发控制)

    当一个系统访问量上来的时候,不只是数据库性能瓶颈问题了,数据库数据安全也会浮现,这时候合理使用数据库锁机制就显得异常重要了. 原文:http://www.jianshu.com/p/163c96983 ...

  5. EJB3 阶段总结+一个EJB3案例 (1)

    经过一段时时间的学习,对EJB3的相关知识和jboss8的配置有了大概的了解. 网上对EJB的评论很多,基本都是负面的,都表示EJB太过于沉重,不容易维护.但通过这段时间的学习,私下认为,EJB3在某 ...

  6. Linux下超级命令htop的学习使用

    top作为日常管理工作中最常用也是最重要的Linux系统监控工具之一,可以动态观察系统进程状况.但其缺点就是只支持键盘操作,显示也单调.作为刚才Windows转到Linux的我来说,现在有了一个更好的 ...

  7. 2018春招-美团后台开发方向编程题 (python实现)

    第一题:字符串距离 题目: 给出两个相同长度的由字符 a 和 b 构成的字符串,定义它们的距离为对应位置不同的字符的数量.如串”aab”与串”aba”的距离为 2:串”ba”与串”aa”的距离为 1: ...

  8. 【C#小知识】C#中一些易混淆概念总结(五)---------继承 分类: C# 2014-02-06 22:05 1106人阅读 评论(0) 收藏

    目录: [C#小知识]C#中一些易混淆概念总结--------数据类型存储位置,方法调用,out和ref参数的使用 [C#小知识]C#中一些易混淆概念总结(二)--------构造函数,this关键字 ...

  9. 【jQuery源码】DOM Ready

    一直以来,各种JS最佳实践都会告诉我们,将JS放在HTML的最后,即</body>之前,理由就是:JS会阻塞下载,而且,在JS中很有可能有对DOM的操作,放在HTML的最后,可以尽可能的保 ...

  10. CDH版本大数据集群下搭建Hue(hadoop-2.6.0-cdh5.5.4.gz + hue-3.9.0-cdh5.5.4.tar.gz)(博主推荐)

    不多说,直接上干货! 我的集群机器情况是 bigdatamaster(192.168.80.10).bigdataslave1(192.168.80.11)和bigdataslave2(192.168 ...