IO_file attack

最新推荐文章于 2025-12-06 19:52:12 发布
原创 最新推荐文章于 2025-12-06 19:52:12 发布 · 872 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #linux

IO_FILE attack

IO_file struct 认识

FILE在linux的标准IO库中用于描述文件的结构,称为文件流。FILE结构在程序执行fopen等函数是才会创建,并将其分配到中。

我们通常定义一个指向FILE结构体的指针来接受这样一个返回值

FILE struct
struct _IO_FILE {
   
   
  int _flags;       /* 文件流的状态标志,包括控制、状态和错误信息等。高阶字包含魔数(_IO_MAGIC),其余字节包含其他标志。 */
#define _IO_file_flags _flags/*对 _flags 进行重命名,用于简化使用。*/

  /* 用于支持 C++ streambuf 协议的指针, */
  /* Note:  Tk uses the _IO_read_ptr and _IO_read_end fields directly. */
  char* _IO_read_ptr;   /* Current read pointer */
  char* _IO_read_end;   /* End of get area. */
  char* _IO_read_base;  /* 表示当前读取位置、读取区域的结束和读取区域的起始位置。 */
  char* _IO_write_base; /* Start of put area. */
  char* _IO_write_ptr;  /* Current put pointer. */
  char* _IO_write_end;  /* End of put area. */
  char* _IO_buf_base;   /* Start of reserve area. */
  char* _IO_buf_end;    /* End of reserve area. */
  /* The following fields are used to support backing up and undo. */
  char *_IO_save_base; /* Pointer to start of non-current get area. */
  char *_IO_backup_base;  /* Pointer to first valid character of backup area */
  char *_IO_save_end; /* 用于支持备份和撤销的指针,表示非当前读取区域的起始位置、备份区域的起始位置和非当前读取区域的结束位置。 */

  struct _IO_marker *_markers;/*指向 _IO_marker 结构体的指针,用于支持标记操作。*/

  struct _IO_FILE *_chain;/*指向下一个文件流结构体的指针,用于构成一个链表。*/

  int _fileno;
#if 0
  int _blksize;
#else
  int _flags2;
#endif
  _IO_off_t _old_offset; /* This used to be _offset but it's too small.  */

#define __HAVE_COLUMN /* temporary */
  /* 1+column number of pbase(); 0 is unknown. */
  unsigned short _cur_column;
  signed char _vtable_offset;/*虚函数表(vtable)的偏移量。*/
  char _shortbuf[1];/*一个字符的缓冲区,用于性能优化。*/

  /*  char* _save_gptr;  char* _save_egptr; */

  _IO_lock_t *_lock;
#ifdef _IO_USE_OLD_IO_FILE
};
struct _IO_FILE_complete
{
   
   
  struct _IO_FILE _file;
#endif
#if defined _G_IO_IO_FILE_VERSION && _G_IO_IO_FILE_VERSION == 0x20001
  _IO_off64_t _offset;
# if defined _LIBC || defined _GLIBCPP_USE_WCHAR_T
  /* Wide character stream stuff.  */
  struct _IO_codecvt *_codecvt;
  struct _IO_wide_data *_wide_data;
  struct _IO_FILE *_freeres_list;
  void *_freeres_buf;
# else
  void *__pad1;
  void *__pad2;
  void *__pad3;
  void *__pad4;

  size_t __pad5;
  int _mode;
  /* Make sure we don't get into trouble again.  */
  char _unused2[15 * sizeof (int) - 4 * sizeof (void *) - sizeof (size_t)];
#endif
};

如注释所说,对于进程中的FILE结构,他会通过_chain域彼此链接将所有的FILE结构体连接成一个链表,链表头部是全局变量 _IO_LIST_ALL表示,并且可以依靠该变量来遍历整个链表中的所有FILE结构

在标准I/O库中,在每个程序启动时会有三个文件流是自动打开的,分别是 stdin,stdout,stderr。所以一开始_IO_list_all会指向这样一个拥有这些文件流的链表, 但是,这里我们需要注意的是文件流位于libc.so的数据段,而我们通过fopen函数创建的文件流是分配在堆上面的

在libc文件中我们可以找到stdin,stdout,stderr以及_IO_2_1_stderr_ IO_2_1_stdout _IO_2_1_stdin这些符号,而他们之间有分别是指向关系,stdin -> _IO_2_1_stdin(这才是真正的结构file)

事实上_IO_FILE结构外围还包裹着一层 _IO_FILE_plus结构:

struct _IO_FILE_plus
{
   
   
    _IO_FILE    file;
    IO_jump_t   *vtable;
}
/*其中*vtable的偏移在libc.2.23下:32位:偏移为0x94;64位:偏移为0xd8*/

可以看到*vtable指针被定义为IO_jump_t类型,其中保存了一些函数指针,在后面我们会看到一些标准IO函数调用这里面的的一些函数指针。

void * funcs[] = {
   
   
   1 NULL, // "extra word"
   2 NULL, // DUMMY
   3 exit, // finish
   4 NULL, // overflow
   5 NULL, // underflow
   6 NULL, // uflow
   7 NULL, // pbackfail
   
   8 NULL, // xsputn  #printf
   9 NULL, // xsgetn
   10 NULL, // seekoff
   11 NULL, // seekpos
   12 NULL, // setbuf
   13 NULL, // sync
   14 NULL, // doallocate
   15 NULL, // read
   16 NULL, // write
   17 NULL,
最低0.47元/天 解锁文章
IO_file attack(_IO_str_finish)以及 free_hook用法
carol2358的博客
08-04 1237
题目是0ctf_2017_babyheap 漏洞是堆溢出 free_hook 参考链接: https://xz.aliyun.com/t/7020 https://bbs.pediy.com/thread-230028.htm https://bbs.pediy.com/thread-246786.htm free_hook在libc2.23中用起来比较费劲,2.27中用的比较多 free_hook可以在og用不了的时候来system(binsh),但我为什么不realloc_hook呢? 因为f
IO_file结构、FSOP、house of orange总结
qq_39153421的博客
03-30 4086
占个坑 总结目录: IO_file相关结构 FSOP libc2.23利用方式 修改vtable libc2.24 添加check 利用io_str_jumps io_str_overflower io_str_finish io_buf_base scanf libc2.27 利用方式 例子:2018suctf note(libc2.24) clear_note(io_str_overflows、io_str_finish有一定几率失败) 参考文章 https://xz.aliyun.co
linux IO_FILE 利用
热门推荐
sky123博客
03-29 4万+
基本结构 _IO_FILE_plus 定义如下: struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; 包括一个结构体 file 和一个指针 vtable 。 其中 vtable 指向一个函数指针表,很多 IO_FILE 的攻击都是围绕它展开的。 _IO_FILE_plus 类型的结构有 _IO_2_1_stdin_ 、 _IO_2_1_stdout_ 和 _IO_2_1_stderr_ 。另外有头指针 _IO_
glibc 2.24 下 IO_FILE 的利用
yjh_fnu_ltn的博客
08-22 1301
在 2.24 版本的 glibc 中,全新加入了针对 IO_FILE_plus 的vtable 劫持的检测措施,glibc 会在调用虚函数之前首先检查 vtable 地址的合法性。首先会验证 vtable 是否位于_IO_vtable 段中,如果满足条件就正常执行,否则会调用_IO_vtable_check 做进一步检查。otherwise,if (__glibc_unlikely (offset >= section_length)) // 超出范围#endifreturn;
【我的 PWN 学习手札】IO_FILE 之 FSOP
Mr_Fmnwon的博客
01-06 1640
我们将着重关注vtable中的_IO_file_overflow函数指针。当函数exit时,程序执行_IO_flush_all_lockp 函数。该函数会刷新 _IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用fflush ,也对应着会调用 _IO_FILE_plus.vtable 中的_IO_overflow。linux IO_FILE 利用_io list all结构体-优快云博客。
好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc
hollk’s blog
02-19 7056
前言 这道题是wiki上tcache attack部分的第二道例题,原题在wiki那个题包里,需要自己找一下,忘记在哪了。。。。。其实个人感觉这道题的考点并不是tcache attack,而是在于IO_FILE的利用。因为这道题与以往所见并不太相同,并没有输出函数,也就意味着无法通过往常的方式利用程序自身的输出函数进行泄露内存地址,所以这时候就需要利用IO_FILE的方式进行输出(我也是第一次遇到,肝了好几天)。这篇文章主要分为两个部分,前半部分主要讲解IO_FILE泄露libc的方式,后半部分是HITCO
[_IO_FILE] 原理解析
huzai9527的博客
11-10 3844
FSOP CFF-WIKI中有如下描述 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中的_IO_FILE 项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP 选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用 fflush,也对应着会调用_IO_FILE_plus.vtable 中的_IO_overflow。 触发条件 梳理一下 FSOP 利用的条件,首先需
IO_FILE 与高版本 glibc 中的漏洞利用技巧
有价值炮灰
11-08 1070
在日常的二进制漏洞利用过程中,最终在获取到任意地址读写之都会面临一个问题: 要从哪里读,写到哪里去。对于信息泄露有很多方法,比如寻找一些数据结构在内存中残留的地址,可以是内部结构,也可以是用户定义的结构;相比而言,内存写原语的使用场景就相对有限了。因为在当今的系统安全纵深防护之下,代码和数据已经呈现了严格分离的趋势,可读可写可执行的历史遗留问题会逐渐退出历史舞台。更多的利用方法是关注代码重用(ROP)、可修改的函数指针、面向对象引入的多态调用等等。
IO_FILE Exploitation
azraelxuemo的博客
04-11 1605
文章目录简介IO_FILE结构_IO_FILEIO_jump_t图示利用原理exit函数vtable checkexit函数的广泛性exit函数exit调用__run_exit_handlersRUN_HOOK__run_exit_handlers调用_IO_cleanup_IO_cleanup调用_IO_unbuffer_all例题hctf2018_the_end题目分析伪造vtable修改vtable地址为我们伪造的区域attackdlfini 简介 IO_FILE Exploitation也是ctf里
PWN技巧之_IO_FILE结构体利用house of orange
aptx4869_li的博客
02-16 1376
PWN技巧之_IO_FILE结构体利用house of orange
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5858
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILELinux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8837
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
AlmaLinux9配置本地镜像仓库
weixin_50877409的博客
12-04 181
本文介绍了在AlmaLinux 9.7系统中配置本地yum仓库的步骤:1)创建挂载目录并挂载ISO镜像;2)备份原有repo文件并创建local.repo配置文件;3)设置本地仓库路径为/media/cdrom/AppStream;4)清除并重建yum缓存;5)最后通过成功安装telnet包验证了本地仓库配置的正确性。整个过程实现了不依赖网络使用本地ISO镜像作为软件源的目的。
99-在Linux上安装Anaconda
12-03 208
【代码】99-在Linux上安装Anaconda。
Linux 进程状态与进程管理命令
qq_52537313的博客
12-04 808
Linux 系统中,是程序的运行实例,是操作系统资源分配和调度的基本单位。进程从创建到终止会经历多种状态,通过进程管理命令可以查看、监控和控制这些状态。本教程将结合核心命令,全方位讲解进程状态及管理方法。
Linux 中替换某个目录下所有文件中的特定字符串
liweiweili126的博客
12-02 685
Linux 中替换某个目录下所有文件中的特定字符串,核心是用 findsed组合,支持灵活扩展(如备份原文件、过滤文件类型、排除目录等)。
Linux设备管理:从内核驱动到用户空间的完整架构解析
X
12-03 798
A[物理硬件插入/移除] --> B[内核驱动探测]B --> C{Linux统一设备模型 LDM}C --> D[在/sysfs创建对象]C --> E[发送uevent事件]D --> F[用户空间工具<br>lspci, lsusb等]E --> G[UDEV守护进程]G --> H[扫描规则库 /etc/udev/rules.d/]H --> I[匹配并执行规则]I --> J1[创建设备节点 /dev/]I --> J2[设置权限与所有权]I --> J3[执行自定义脚本]
Linux】进程控制
最新发布
Shengmc的博客
12-06 438
/ 执行 sh -c "echo $MY_ENV":通过Shell解析环境变量// 自动从PATH找sh程序。
Linux物理内存管理-引导内存分配器
tang_vincent的博客
12-05 546
本文深入分析了Linux早期物理内存管理框架memblock的原理与实现。memblock作为引导内存分配器,在伙伴系统初始化前负责物理内存管理,通过memory数组记录总物理内存,reserved数组记录预留内存。文章详细解读了memblock的数据结构、初始化流程、关键接口(memblock_add/reserve/alloc/free等)实现,以及最终将内存释放到伙伴系统的过程。通过设备树解析获取物理内存范围,并对内核代码段、预留内存等特殊区域进行处理,memblock为内核启动阶段提供了可靠的内存管
try: from .gcn import GCN from .gat import GAT from .appnp import APPNP from .sage import SAGE from .gpr import GPRGNN from .airgnn import AirGNN import warnings except ImportError as e: print(e) warnings.warn("Please install pytorch geometric if you " + "would like to use the datasets from pytorch " + "geometric. See details in https://pytorch-geom" + "etric.readthedocs.io/en/latest/notes/installation.html") __all__ = ["GCN", "GAT", "APPNP", "SAGE", "GPRGNN", "AirGNN"]报错Traceback (most recent call last): File “E:\pycharm\py_test\ERGCN-main\ERGCN-main\robustGCN.py”, line 3, in from deeprobust.graph.global_attack import Random File “E:\Anaconda\envs\chris_ergcn\lib\site-packages\deeprobust\graph\global_attack_init_.py”, line 10, in from .prbcd import PRBCD File “E:\Anaconda\envs\chris_ergcn\lib\site-packages\deeprobust\graph\global_attack\prbcd.py”, line 7, in from deeprobust.graph.defense_pyg import GCN File “E:\Anaconda\envs\chris_ergcn\lib\site-packages\deeprobust\graph\defense_pyg_init_.py”, line 10, in warnings.warn("Please install pytorch geometric if you " + NameError: name ‘warnings’ is not defined. Did you mean: ‘Warning’?
09-26
<think>我们遇到了一个错误:在尝试导入`deeprobust.graph.defense_pyg`模块时,在`__init__.py`的第10行调用了`warnings.warn`,但是`warnings`模块没有被导入,导致出现了`NameError: name 'warnings' is not defined`。 根据您提供的代码片段,这个`__init__.py`文件中有以下结构: ```python try: from .gcn import GCN from .gat import GAT from .appnp import APPNP from .sage import SAGE from .gpr import GPRGNN from .airgnn import AirGNN import warnings except ImportError as e: print(e) warnings.warn("Please install pytorch geometric if you " + "would like to use the datasets from pytorch " + "geometric. See details in https://pytorch-geom" + "etric.readthedocs.io/en/latest/notes/installation.html") __all__ = ["GCN", "GAT", "APPNP", "SAGE", "GPRGNN", "AirGNN"] ``` 问题分析: 在`try`块中,我们尝试导入一些模块,其中包括`import warnings`。但是,如果在导入这些模块的过程中发生了`ImportError`(例如,某个模块不存在),那么就会跳转到`except`块中执行。而在`except`块中,我们使用了`warnings.warn`,但是此时`warnings`模块只有在`try`块中成功执行到`import warnings`时才会被导入。如果`try`块中的导入在`import warnings`之前就失败了(比如前面的某个模块导入失败),那么`warnings`模块就不会被导入,因此在`except`块中尝试使用`warnings`就会导致`NameError`。 具体来说,如果前面的某个模块(例如`.gcn`)导入失败,那么就会触发`ImportError`,然后进入`except`块。此时,由于`import warnings`位于`try`块中失败的那个导入之后,它还没有被执行,所以`warnings`模块没有被导入,因此调用`warnings.warn`就会出错。 解决方案: 需要确保在`except`块中使用的任何模块都必须在`try`块之前就被导入,或者确保即使在导入失败时也能使用。一种简单的方法是将`import warnings`移到`try`块之前(即模块的最顶部),这样无论`try`块中的导入是否成功,`warnings`模块都是可用的。 修改后的代码: ```python import warnings # 在try之前先导入warnings,确保在except块中可用 try: from .gcn import GCN from .gat import GAT from .appnp import APPNP from .sage import SAGE from .gpr import GPRGNN from .airgnn import AirGNN except ImportError as e: print(e) warnings.warn("Please install pytorch geometric if you " + "would like to use the datasets from pytorch " + "geometric. See details in https://pytorch-geom" + "etric.readthedocs.io/en/latest/notes/installation.html") __all__ = ["GCN", "GAT", "APPNP", "SAGE", "GPRGNN", "AirGNN"] ``` 这样,无论`try`块中的导入是否成功,`warnings`模块都已经导入了,因此在`except`块中调用`warnings.warn`就不会出现`NameError`。 您需要修改的文件路径是:`E:\Anaconda\envs\chris_ergcn\lib\site-packages\deeprobust\graph\defense_pyg\__init__.py` 按照上述修改后,重新运行程序,应该可以解决这个错误。 §§相关问题§§ 1. 在Python的try-except块中,为什么要注意导入语句的顺序? 2. 除了在try块之前导入模块,还有哪些方法可以避免在异常处理中出现NameError? 3. 在编写Python库时,如何处理依赖库未安装的情况,以提供友好的用户提示? 4. 在导入多个模块时,如何设计try-except结构以提高代码的健壮性? </think>### 错误分析与解决方案 您提供的错误信息表明,在`deeprobust/graph/defense_pyg/__init__.py`中存在一个关键问题:**`import warnings`被放置在`try`块内部错误的位置**。具体分析如下: ```python try: from .gcn import GCN from .gat import GAT # ...其他导入... import warnings # ✘ 错误位置 except ImportError as e: print(e) warnings.warn("警告信息") # 此时warnings可能未定义 ``` ### 错误原因: 1. 当`from .gcn import GCN`等前面的导入失败时,程序直接跳转到`except`块 2. 此时`import warnings`尚未执行(位于失败导入之后) 3. 在`except`块中使用`warnings.warn()`触发`NameError` ### 正确修改方案: 将`import warnings`移至`try`块**之前**,确保它在任何情况下都被优先导入: ```python import warnings # ✔ 正确位置 try: from .gcn import GCN from .gat import GAT from .appnp import APPNP from .sage import SAGE from .gpr import GPRGNN from .airgnn import AirGNN except ImportError as e: print(e) warnings.warn("Please install pytorch geometric...") __all__ = ["GCN", "GAT", "APPNP", "SAGE", "GPRGNN", "AirGNN"] ``` ### 操作步骤: 1. 打开文件:`deeprobust/graph/defense_pyg/__init__.py` 2. 将`import warnings`移动到文件最顶部(在`try`语句之前) 3. 删除原`try`块内的`import warnings` 4. 保存文件并重新运行程序 ### 额外建议: 检查PyTorch Geometric是否已安装: ```bash # 在Anaconda环境中执行 pip list | grep torch-geometric # 若未安装,使用以下命令 pip install torch-geometric -f https://data.pyg.org/whl/torch-1.13.0+cu117.html ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值