FILE指针结构,glibc

最新推荐文章于 2021-04-30 00:29:33 发布
原创 最新推荐文章于 2021-04-30 00:29:33 发布 · 273 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#FILE

本文探讨了glibc中FILE*指针被破坏导致segment fault的问题,通过gdbcore调试,展示了_IO_write_base等成员的错误指向,并提供了一段示例代码用于观察这些指针的变化。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在glibc中,gdb core调试,显示FILE*指针内容(FILE写出现了core文件)

 

$1 = {_flags = 107276440, _IO_read_ptr = 0x3000000018 <Address 0x3000000018 out of bounds>, _IO_read_end = 0x2aea0006e9a0 "痍\006", 

  _IO_read_base = 0x2aea0006e8e0 "痍2045", _IO_write_base = 0x53305239 <Address 0x53305239 out of bounds>, 

  _IO_write_ptr = 0x35343032eaf0 <Address 0x35343032eaf0 out of bounds>, _IO_write_end = 0x2aea0006e9b0 "-", _IO_buf_base = 0x2aea0006e9f0 "[2014-03-24][23:41:45]", 

  _IO_buf_end = 0x2aea0006eaf0 "adfbc"..., _IO_save_base = 0x2 <Address 0x2 out of bounds>, _IO_backup_base = 0x2 <Address 0x2 out of bounds>, 

  _IO_save_end = 0x2aea000819c0 "\300\t\004", _markers = 0x0, _chain = 0x3, _fileno = 107625062, _flags2 = 56, _old_offset = 47184511166896, _cur_column = 59792, 

  _vtable_offset = 6 '\006', _shortbuf = "", _lock = 0x7fff599c0590, _offset = 5052268, __pad1 = 0x2aea0006e980, __pad2 = 0x2aea0006e9b0, __pad3 = 0x2aea0006ea18, 

  __pad4 = 0x2d26da68, __pad5 = 32, _mode = 453104, _unused2 = "\352*\000\000@\352\006\000\352*\000\000伴\006\000\352*\000"}

 

 

可以看到_IO_write_base 错误,因此该文件指针FILE已经被破坏。所以会出现segment fault错误。

通常_IO_write_base  与_IO_read_base都指向同一区域。

表示当前缓冲区的基地址。

 

0x2aea0006e9a0-0x2aea0006e8e0  = C0 = 192字节

 

下面这段程序打印地址:

 

#include <stdio.h>

#include <stdlib.h>

int main(int argc,char* argv[])

{

    FILE *fp = fopen("test.txt","w");

    char s[32]={0};

    for(int i=0;i<100;i++)

    {

        sprintf(s,"%d=now\n",i);

 

        fprintf(fp,"%s",s);

        fprintf(fp,"_IO_read_base=%x\n",fp->_IO_read_base);

        fprintf(fp,"_IO_write_base=%x\n",fp->_IO_write_base);

        fprintf(fp,"_IO_buf_base=%x\n",fp->_IO_buf_base);

    }

    fclose(fp);

return 0;

}

 

 程序输出:

94=now

_IO_read_base=2315d000

_IO_write_base=2315d000

_IO_buf_base=2315d000

95=now

_IO_read_base=2315d000

_IO_write_base=2315d000

_IO_buf_base=2315d000

96=now

_IO_read_base=2315d000

_IO_write_base=2315d000

_IO_buf_base=2315d000

97=now

_IO_read_base=2315d000

_IO_write_base=2315d000

_IO_buf_base=2315d000

98=now

_IO_read_base=2315d000

_IO_write_base=2315d000

_IO_buf_base=2315d000

99=now

_IO_read_base=2315d000

_IO_write_base=2315d000

_IO_buf_base=2315d000

iteye_5392
关注
从零开始学IO_FILE的堆利用:理解IO_FILE之fwrite
weixin_44626085的博客
02-25 1149
指针描述输入输出缓冲区基地址输入输出缓冲区结束地址输出缓冲区基地址输入缓冲区当前地址输出缓冲区结束地址​ 其中_IO_buf_base和_IO_buf_end是缓冲区建立函数_IO_doallocbuf(上小结详细描述过)会在里面建立输入输出缓冲区,并把基地址保存在_IO_buf_base中,结束地址保存在_IO_buf_end中。
堆入门之glibc分析(一)
Neil.Liu的博客
10-08 1537
堆入门之glibc分析 malloc 函数执行流程 glibc_2.27 __libc_malloc void* __libc_malloc(size_t bytes) //bytes:用户申请分配的空间 __malloc_hook //全局变量 //如果需要自定义堆分配函数, 在__libc_malloc中调用以下函数: void *(*hook) (size_t, cons...
file指针
sooolo的专栏
04-04 1473
1.1 struct file   struct file结构体定义在include/linux/fs.h中定义。文件结构体代表一个打开的文件,系统中的每个打开的文件在内核空间都有一个关联的 struct file。它由内核在打开文件时创建,并传递给在文件上进行操作的任何函数。在文件的所有实例都关闭后,内核释放这个数据结构。在内核创建和驱动源码中,struct file指针通常被命名为fi
文件指针 FILE 的底层实现
晓东的博客
05-07 794
FILE结构体的内部实现 文件描述符
使用字符串构造一个FILE指针
zgl7903的专栏
12-12 783
typedef struct __FILEX : FILE { CRITICAL_SECTION lock; __FILEX(LPCSTR string) { memset(this, 0, sizeof(*this)); InitializeCriticalSection(&lock); _flag =...
glibc-2.15 : fopen 源码
Huntinux
10-27 5664
0. 使用cscope查找fopen定义 (推荐) $ cd glibc-2.15 $ cscope -R注: cscope的使用请移步这里 一些快捷键 :     ctrl + ]   : 查找定义     ctrl + t   : 返回上一个位置 1. 使用grep找到fopen的定义(效率低) 这里使用grep命令查找。 直觉告诉我,可以通过查找函数原型找到f
【八芒星计划】 _IO_2_1_stdout_和_IO_2_1_stdin_ 的任意地址读和任意地址写
carol2358的博客
09-04 1027
文章目录前言一、GKCTF2020]Domo总结 前言 这篇记一下任意地址读和任意地址写 _IO_2_1_stdout_的任意地址读,_IO_write_base为读取的起始地址,_IO_write_ptr为读取的末地址,并且flag的值要得是0xfbad1800才能正常读取   _IO_2_1_stdin_的任意地址写跟_IO_2_1_stdout_的任意地址读类似,也是需要控制flag还有_IO_buf_base和_IO_buf_end。 这回除了flag、_IO_buf_base和_IO_b
深究标准IO的缓存
qq_31833457的博客
12-07 374
能找到的最"源头"的原文地址了:http://blog.sina.com.cn/s/blog_6592a07a0101gar7.html 文章很不错,但没有图片,代码也不能直接用,所以自己做了修改 ----------------------------------------------------------- 一、IO缓存   系统调用:只操作系统提供给用户程序调用的一组接口--
1. 写一个基本的类
轻鸢简掠
09-25 1328
1. 写一个基本的类 上手C++以来,仅熟练使用if、for等基本语句的我有很多疑惑,本篇主要解答以下问题: 类是什么 public & private 的作用 创建一个类,.cpp和.h文件怎么写? #ifdef # ifndef 有什么用 1.1 类是什么 数据结构是把一组相关的数据元素组织起来,然后使用它们的策略和方法。比如说树的定义: struct TreeNode { int val; TreeNode *left; TreeNode *rig
glibc中的文件指针漏洞分析
waponx的专栏
01-31 8828
glib版本2.17 在上一篇文章(源码解析glibc中的pclose与fclose函数)中,初步了解到了glibc中的文件指针。 现在我们再来深入分析一下glibc文件指针,并解析一下其漏洞所在。 注意:这个漏洞在glibc2.24中通过加入虚表地址检查修复 glibc中的文件结构 先了解一下普通文件的方式(注意3个标准文件描述符的链接顺序) !文件链接示意图](https://img-bl...
C语言中file文件指针概念及其操作
热门推荐
张脑完
01-06 1万+
文件 文件的基本概念   所谓“文件”是指一组相关数据的有序集合。 这个数据集有一个名称,叫做文件名。实际上在前面的各章中我们已经多次使用了文件,例如源程序文件、目标文件、可执行文件、库文件 (头文件)等。文件通常是驻留在外部介质(如磁盘等)上的,在使用时才调入内存中来。从不同的角度可对文件作不同的分类。从用户的角度看,文件可分为普通文件和设备文件两种。   普通文件是指驻留在磁盘或
标准I/O库和系统调用区别(转载)
qq_33366098的博客
09-10 1826
首先,先稍微了解系统调用的概念:     系统调用,英文名system call,每个操作系统都在内核里有一些内建的函数库,这些函数可以用来完成一些系统系统调用把应用程序的请求传给内核,调用相应的的内核函数完成所需的处理,将处理结果返回给应用程序,如果没有系统调用和内核函数,用户将不能编写大型应用程序,及别的功能,这些函数集合起来就叫做程序接口或应用编程接口(Application Progra
FILE结构体详解
MaHua的博客
05-07 8949
1.1 struct file   struct file结构体定义在include/linux/fs.h中定义。文件结构体代表一个打开的文件,系统中的每个打开的文件在内核空间都有一个关联的 struct file。它由内核在打开文件时创建,并传递给在文件上进行操作的任何函数。在文件的所有实例都关闭后,内核释放这个数据结构。在内核创建和驱动源码中,struct file指针通常被命名为file
FILE结构体概述
qq_45595732的博客
11-26 1718
FILE结构 FILE结构体的定义(截自/glibc2.23/libio/libio.h) struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ streambuf protocol. */ /* Note: Tk uses
linux内核fd file,Linux中文件描述符fd与文件指针FILE*互相转换实例解析
weixin_34326484的博客
04-30 381
本文研究的主要是Linux中文件描述符fd与文件指针FILE*互相转换的相关内容,具体介绍如下。1.文件描述符fd的定义:文件描述符在形式上是一个非负整数。实际上,它是一个索引值,指向内核为每一个进程所维护的该进程打开文件的记录表。当程序打开一个现有文件或者创建一个新文件时,内核向进程返回一个文件描述符。在程序设计中,一些涉及底层的程序编写往往会围绕着文件描述符展开。但是文件描述符这一概念往往只适...
Linux系统调用在glibc中的实现
weixin_34319817的博客
02-29 703
为什么80%的码农都做不了架构师?>>> ...
C 标准库IO缓冲区 内核缓冲区(一)
2> /dev/null
08-25 4842
1.C标准库的I/O缓冲区          UNIX的传统 是Everything is a file,键盘、显示器、串口、磁盘等设备在/dev 目录下都有一个特殊的设备文件与之对应,这些设备文件也可以像普通文件(保存在磁盘上的文件)一样打开、读、写和关闭,使用的函数接口是相同的。用户程序调用C标准I/O库函数读写普通文件或设备,而这些库函数要通过系统调用把读写请求传给内核 ,最终由内
pwn IO_FILE
最新发布
08-01
### Pwn中IO_FILE利用技术详解 IO_FILE结构体是C标准库中用于管理文件流的核心数据结构,其在glibc中的实现包含了一系列的函数指针,用于处理文件的读写操作。攻击者在发现二进制漏洞时,如果能够控制这些函数指针或其调用上下文,就可能实现任意代码执行。 #### IO_FILE结构体的基本组成 IO_FILE结构体在glibc中定义如下,包含了一系列用于管理文件读写状态的字段: ```c struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ char* _IO_read_ptr; /* Current read pointer */ char* _IO_read_end; /* End of get area. */ char* _IO_read_base; /* Start of putback+get area. */ char* _IO_write_base; /* Start of put area. */ char* _IO_write_ptr; /* Current put pointer. */ char* _IO_write_end; /* End of put area. */ char* _IO_buf_base; /* Start of reserve area. */ char* _IO_buf_end; /* End of reserve area. */ char* _IO_save_base; /* Pointer to start of non-current get area. */ char* _IO_backup_base; /* Pointer to just before start of backup area. */ char* _IO_save_end; /* Pointer to just past end of backup area. */ struct _IO_marker *_markers; struct _IO_FILE *_chain; int _fileno; /* File descriptor. */ ... }; ``` 其中,`_flags`字段用于标识文件流的状态,而`_IO_read_ptr`、`_IO_read_end`等字段用于管理缓冲区。最重要的是,`_IO_FILE`结构体内部包含了一个`_IO_jump_t`结构指针,该结构体包含了多个函数指针,例如`_IO_underflow`, `_IO_overflow`, `_IO_xsgetn`, `_IO_seekoff`, `_IO_seekset`等,这些函数指针决定了文件流的具体操作逻辑[^1]。 #### IO_FILE利用技术的核心思想 在二进制漏洞利用中,攻击者通常通过堆溢出、UAF(Use-After-Free)等漏洞修改`_IO_FILE`结构体中的函数指针或其关联的`_IO_jump_t`虚表指针。一旦控制了这些指针,攻击者可以在程序调用如`fread`, `fwrite`, `fclose`等函数时触发任意代码执行。 一个典型的攻击场景是通过堆溢出覆盖`_IO_jump_t`指针,使其指向攻击者控制的内存区域。随后,当程序尝试调用某个文件操作函数(如`fread`)时,就会跳转到攻击者指定的地址执行代码。例如,攻击者可以将该指针修改为指向栈或堆中的shellcode,从而获得控制权[^2]。 #### 实际攻击步骤示例 1. **泄露堆地址**:通过某种方式(如堆喷射或信息泄露漏洞)获取堆的地址,以便构造`_IO_jump_t`结构体的伪造虚表。 2. **堆风水布局**:通过精心构造堆块的分配与释放,确保`_IO_FILE`结构体位于可控的堆块中。 3. **堆溢出修改虚表指针**:利用堆溢出漏洞将`_IO_jump_t`指针修改为指向攻击者控制的内存区域。 4. **构造伪造的虚表**:在可控内存区域中构造一个伪造的`_IO_jump_t`结构体,其中包含指向shellcode的函数指针。 5. **触发函数调用**:调用如`fread`, `fwrite`等函数,触发虚表中的函数指针,从而执行shellcode[^4]。 #### 防御机制与绕过策略 现代glibc版本中引入了多种保护机制,例如: - **Tcache防护**:限制了tcache链表的篡改,防止简单的tcache poisoning攻击。 - **虚表完整性检查**:某些glibc版本中加入了对`_IO_jump_t`虚表地址的合法性检查,防止其指向不可信区域。 - **地址空间随机化(ASLR)**:通过随机化堆、栈和虚表的基址,增加攻击者预测地址的难度。 攻击者通常需要结合多个漏洞(如信息泄露+堆溢出)来绕过这些防护。例如,在无PIE(Position Independent Executable)的环境中,攻击者可以通过泄露libc基址来计算虚表地址,从而精确构造伪造的`_IO_jump_t`结构体[^1]。 #### 实战案例 在Google CTF 2022的FILESTORE题目中,攻击者通过堆溢出漏洞结合tcache poisoning技术,实现了对`__free_hook`的劫持,并最终调用`system`函数获取shell。虽然该题目并未直接使用IO_FILE利用技术,但其核心思想(通过堆溢出修改关键函数指针)与IO_FILE攻击有异曲同工之妙[^1]。 #### 代码示例 以下是一个简单的伪造`_IO_jump_t`结构体的示例代码: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> void shell() { system("/bin/sh"); } int main() { FILE *fp = fopen("testfile", "w+"); char *fake_jump_table = malloc(0x100); memset(fake_jump_table, 0, 0x100); // 构造伪造的_IO_jump_t结构体,其中_IO_OVERFLOW字段指向shell函数 void **vtable = (void **)fake_jump_table; vtable[3] = (void *)shell; // _IO_OVERFLOW // 修改_IO_jump_t指针指向伪造的虚表 void **file_ptr = (void **)fp; file_ptr[13] = fake_jump_table; // _IO_vtable_offset // 触发_IO_OVERFLOW调用 fprintf(fp, "This will trigger shell()\n"); return 0; } ``` 上述代码中,`fake_jump_table`模拟了一个伪造的`_IO_jump_t`结构体,其中`_IO_OVERFLOW`函数指针被指向`shell`函数。通过修改`_IO_vtable_offset`字段,使得`fp`指向该伪造的虚表。当调用`fprintf`时,会触发`_IO_OVERFLOW`函数指针,从而执行`shell`函数。 #### 攻击链总结 1. **堆溢出或UAF漏洞**:获取对`_IO_FILE`结构体的写权限。 2. **伪造虚表**:在可控内存区域构造伪造的`_IO_jump_t`结构体。 3. **劫持控制流**:修改虚表指针,使其指向伪造的结构体。 4. **触发函数调用**:调用标准I/O函数(如`fread`, `fwrite`)触发shellcode执行。 这种攻击方式在CTF比赛中常用于绕过常规的ROP链构造,尤其在没有足够gadget的情况下具有较高的实用性[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值