劫持vtable修改程序执行流——pwnable seethefile

最新推荐文章于 2025-02-24 09:36:17 发布
最新推荐文章于 2025-02-24 09:36:17 发布
阅读量468 收藏
点赞数
分类专栏: pwn pwnable.tw
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46521144/article/details/119010100
版权

前置知识

vtable

劫持方法https://www.jianshu.com/p/2e00afb01606
源代码分析https://ray-cp.github.io/archivers/IO_FILE_fclose_analysis
vtable是和file结构体并列的一段内容,是函数指针数组,其中包含了对file的一些操作函数。
以下来自ctf-wiki
在 libc2.23 版本下,32 位的 vtable 偏移为 0x94,64 位偏移为 0xd8
在这里插入图片描述
以下是vtable的实际结构,如图所示,我们需要关注的是close部分。也就是关闭文件时将会调用的函数。
在这里插入图片描述## 劫持原理
以下内容摘自https://www.jianshu.com/p/2e00afb01606
分析close函数,最关键的利用点在这里
在这里插入图片描述
注意到_IO_FINISH(fp)是vtable中的一个函数,而参数又是我们可以控制的,因此可以通过劫持函数和参数来控制执行流。但是前提是通过前面的if,这里检查的是

fp->_IO_file_flags & _IO_IS_FILEBUF

其中_IO_IS_FILEBUF被定义为0x2000.
因此,只需要在file指针的flag位置放上0xffffdfff即可(或者是别的,只要满足fp->_IO_file_flags & _IO_IS_FILEBUF=0来绕过判断都可以)所以程序接下来会执行_IO_FINISH。
因此,总的来说就是布置fp("/bin/sh"地址),fp->flags(0xffffdfff),vtable->finish(system)这三个参数,来实现最终的getshell。

seethefile

这里可以看到的是,程序可以实现读写除了flag之外的其他文件,参考了别人的wp.知道了原来/proc/self/maps可以输出自己虚拟空间的映射方式,从而获得libc基地址。这里注意要输出两次,第一次输出不完。
在最后有个明显的scanf漏洞,注意到fp指针也在bss段上,因此可以考虑溢出劫持fp。具体的布置方法如下
在这里插入图片描述
简单分析下流程:先调用fclose,发现fp->flag & 0x2000不满足上述if条件,就调用finish函数,现在全是system,其中的参数是fp,被我们布置为指向fp->flags的地址,怎么不是/bin/sh啊?因为没办法,第一位必须是flags位,接下来因为分号截断,就成功调用/sh来作为system参数,拿到shell。
在这里插入图片描述
这里比较无语的是为了防止奇奇怪怪的拿到flag,还必须用他的seethefile文件夹下的程序打开才能行…自己探索吧!

【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1545
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
(BUUCTF)pwnable_seethefile
xy1458214551的博客
12-28 453
BUUCTF的pwnable_seethefile题解
pwnable.tw 9 seethefile [250 pts]
qq_42192672的博客
12-04 846
之前做了五道题直接做自闭了,各种手写shellcode,学到了很多姿势,这是一道文件题,没接触过,来挑战一下…… no canary found!!!!!! 拖进IDA分析 一共有五个功能 有一个明显的栈溢出 我们可以通过溢出name来覆盖fp 1)openfile:打开文件,文件指针就是fp,不能打开文件名为flag的文件 2)readfile:从fp读取0x18F个字节...
pwnable.tw seethefile 经验总结
qq_43189757的博客
11-13 592
关于伪造FILE结构体来getshell的题目, 又学到了点知识 程序逻辑分析: 程序的逻辑简单,简单的打开文件读取文件的操作, 但是对于flag进行了严格的过滤, 无法直接通过打开flag文件来读取flag, 在switch分支5处输入的name存在明显的溢出, 观察发现fp就在name地址下方, 可以通过溢出来控制fp指针, 接下来就是伪造fake FILE结构体了 原理: fp 指针指向的...
pwnable.tw】 seethefile
weixin_30432179的博客
09-20 147
一开始特别懵的一道题。 main函数中一共4个功能,openfile、readfile、writefile、closefile。 其中,在最后退出时有一个明显的溢出,是scanf("%s",&name); name位于bss段上,name下面有一个fp用于存储文件指针,可以被覆盖。 再看其他函数: openfile.只有一个简单的输入并打开,保存文件指针在bss段上的fp...
堆栈里的秘密行动:劫持执行
xuanyuan_fsx的专栏
02-11 1562
前情回顾:线程老哥执行memcpy越界访问溢出,堆栈里的一众对象难逃噩运。详情参见:堆栈里的悄悄话——智能指针1神秘的0xCC“去吧,为了首领的伟大理想出发”我是一段二进制代码shell...
vtable伪造
qq_45595732的博客
11-26 543
vtable伪造 ​ libc2.23 版本下,位于 libc 数据段的 vtable 是不可以进行写入的,在之前的版本的利用就不叙述了。虽然libc 数据段的 vtable不可以写入,但是可以通过伪造vtable并且修改_IO_FILE_plus->vtable这个指针来实现劫持程序程。 直接用wiki上的例子 #define system_ptr 0x7ffff7a523a0; #include<stdio.h> #include<stdlib.h> #inc
pwnable.kr seethefile
doudoudedi
12-14 367
忙里偷闲-------一道伪造_IO_file结构体的题目 发现文件结构体指针直接放在bss段上我们可以修改,很明显就是让我们伪造_IO_FILE结构体了,根据程序逻辑我们需要仔细阅读fclose函数分析源码ing _IO_new_fclose (_IO_FILE *fp) { int status; CHECK_FILE(fp, EOF); #if SHLIB_COMPAT (libc, GLIBC_2_0, GLIBC_2_1) /* We desperately try to help
Pwn with File结构体之利用 vtable 进行 ROP
weixin_30556959的博客
08-03 226
前言 本文以 0x00 CTF 2017 的 babyheap 为例介绍下通过修改 vtable 进行 rop 的操作 (:-_- 漏洞分析 首先查看一下程序开启的安全措施 18:07 haclh@ubuntu:0x00ctf $ checksec ./babyheap [*] '/home/haclh/workplace/0x00ctf/babyheap' Arch: amd64...
【我的 PWN 学习手札】IO_FILE 之 劫持vtable到_IO_str_jumps
Mr_Fmnwon的博客
02-24 348
glibc-2.24及以后,针对vtable的篡改攻击,增添了对vtable合法性的检查,具体表现为宏宏的定义:也即,vtable的数值需要限定在范围内。因此,对于vtable劫持,不能到任意地址。不过好在,和都在这个合法范围内,劫持vtable到这两个结构体上,是符合vtable的合法性检查的。但是为什么是这两个结构体?
64位XT64位可用XT(xuetur)内核RootKit  PC Hunter
02-23
64位XT64位可用XT(xuetur)内核RootKit  PC Hunter 内核查杀工具 内核工具 反汇编
堆中获取地址和劫持执行的方法
九层台
09-02 2057
栗子https://github.com/tower111/software.git 0x01获取栈地址 详细writeup:https://tower111.github.io/2018/08/30/ISG-babynote/ 原理:在fast bin是单链在内存中保存,在fd位置处会写入next chunk的地址,这个地址可以用来获取heap_base。 栗子:babynote 需要...
【我的 PWN 学习手札】IO_FILE 之 劫持vtable
Mr_Fmnwon的博客
12-31 738
【我的 PWN 学习手札】IO_FILE相关几个基本函数的调用链源码-优快云博客【我的 PWN 学习手札】IO_FILE 之 stdin任意地址写-优快云博客【我的 PWN 学习手札】IO_FILE 之 stdout任意地址读-优快云博客经过上述对IO_FILE结构体的初步探究,相信读者也关注到了结构体中的vtable成员,指向了一个函数表,完成对结构体数据的具体操作。
2021 bytectf pwn bytezoom
yongbaoii的博客
10-21 1195
保护显然是全开的。 是一道C++的pwn题,c++的pwn分析起来十分复杂,关于堆中chunk的各种分配、释放也非常的麻烦,因为各种对象,各种结构体都会涉及到chunk的申请释放。 我们一点一点分析 首先是功能1,create 因为分两个部分,分别是cat dog,但是里面的内容是一样的,我们就以dog为例就好。 其中我们要注意的首先是string这个结构体。 它的规则是首先申请一个chunk内容为0x10大小的chunk,也就是chunk大小是0x20. 如果我们的输入放不下,就释放这个chunk,.
linux IO_FILE 利用
热门推荐
sky123博客
03-29 4万+
基本结构 _IO_FILE_plus 定义如下: struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; 包括一个结构体 file 和一个指针 vtable 。 其中 vtable 指向一个函数指针表,很多 IO_FILE 的攻击都是围绕它展开的。 _IO_FILE_plus 类型的结构有 _IO_2_1_stdin_ 、 _IO_2_1_stdout_ 和 _IO_2_1_stderr_ 。另外有头指针 _IO_
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 3474
强网杯2022 pwn 赛题分析——house_of_cat
64位c语言调用32位glibc,glibc fclose源代码阅读及伪造_IO_FILE利用fclose实现任意地址执行...
weixin_34952710的博客
05-20 480
简介最近学习了一下_IO_FILE的利用,刚好在pwnable.tw上碰到一道相关的题目。拿来做了一下,遇到了一些困难,不过顺利解决了,顺便读了一波相关源码,对_IO_FILE有了更深的理解。文章分为三部分,分别是利用原理、实例和源码阅读。源码部分比较无聊所以我把它放在了最后。原理原理我们使用fopen打开一个文件会在堆上分配一块内存区域用来存储FILE结构体,存储的结构体包含两个部分,前一部分为...
vn_pwn_easyTHeap(堆利用+劫持IO_2_1_stdout的虚表)
seaaseesa的博客
04-09 1414
vn_pwn_easyTHeap 首先,已知libc版本为2.27,所以存在tcache机制,并且可以随意的double free tcache bin的chunk。 然后,我们检查一下程序的保护机制 然后,我们用IDA分析一下程序 存在UAF漏洞,因此可以double free,对于glibc 2.27,可以很轻松的利用 主函数里,对调用功能的次数做了限制,即add功能能...
DASCTF六月赛部分赛题复现
weixin_44145820的博客
08-13 1442
目录PWNsecreteasyheap PWN secret 这题当时比赛的时候找到了先知上的一篇文章,研究了它的代码想在本题复现,但是总是不成功 看了大佬们的博客,发现这题居然这么简单Orz 简单说一下这题的原理: 本题先close了stdout,然后给写两字节和0x18字节的机会,之后close stderr和stdin 那么我们先分析一下fclose的源码,其核心函数是位于/libio/iofclose.c的_IO_new_fclose函数,其大致程是:首先检查文件结构体指针,之后使用_IO_
pwn vtable
最新发布
04-01
<think>好的,用户的问题是关于pwn中vtable利用技术,特别是在C++或二进制漏洞利用中的方法。我需要先回忆一下vtable的基本概念以及它在漏洞利用中的常见攻击方式。 首先,vtable是C++中虚函数表,每个包含虚函数的类都会有这样一个表,其中存储了指向各个虚函数的指针。当对象被创建时,会有一个指向该vtable的指针(vptr)存放在对象的内存布局中。攻击者如果能够篡改这个vptr,就可能控制程序执行程,比如跳转到恶意代码。 接下来,常见的利用方法包括覆盖vptr指向攻击者控制的地址,从而执行任意代码。或者利用内存泄漏获取vtable地址,绕过ASLR。此外,虚函数调用时的索引越界也可能被利用,比如修改索引使其指向非预期的函数。 需要注意,不同编译器(如GCC和MSVC)在vtable布局上可能有差异,这会影响利用方式。缓解措施方面,地址空间布局随机化(ASLR)、控制完整性(CFI)等技术会增加利用难度。 用户可能需要具体的例子,比如如何通过堆溢出修改vptr,或者如何构造fake vtable。此外,引用中的信息提到文件操作的函数指针,可能和IO相关的vtable利用有关,比如篡改FILE结构体中的函数指针,这属于更广泛的vtable利用范畴。 在回答时,应该分点说明技术原理、步骤、示例代码(如果有的话),以及相关的缓解措施。同时,确保使用正确的中文术语,并引用提供的参考资料中的例子,比如引用[1]中的函数指针结构,可以联系到IO vtable的利用。</think>### Pwn中vtable利用技术分析 #### 一、技术原理 虚函数表(vtable)是C++实现多态的核心数据结构,每个包含虚函数的类在内存中拥有对应的虚函数表。对象实例通过虚表指针(vptr)访问虚函数表。攻击者可通过以下漏洞进行利用: 1. **内存破坏漏洞**:堆溢出、UAF(Use-After-Free)等漏洞可篡改vptr 2. **类型混淆漏洞**:错误的对象类型转换导致虚函数调用异常 3. **虚函数表伪造**:构造虚假vtable控制程序 #### 二、利用方法详解 1. **vptr覆盖攻击**(以堆溢出为例) - 步骤: (1) 通过堆溢出覆盖对象的vptr (2) 构造虚假vtable指向攻击者控制的内存 (3) 触发虚函数调用实现控制劫持 - 示例内存布局: ``` | 对象数据区 | vptr(被覆盖) | 堆元数据 | ``` 2. **IO_FILE结构体利用** 标准I/O库的FILE结构体包含函数指针表(类似vtable),如引用[1]所示的: ```c struct _IO_jump_t { _IO_read_t __read; // 如: ssize_t (*)(FILE *, void *, ssize_t) _IO_write_t __write; // ...其他函数指针 }; ``` 通过伪造FILE结构体可劫持`fread`/`fwrite`等操作,常用于FSOP(File Stream Oriented Programming)攻击。 3. **类型混淆攻击** ```c++ class Base { virtual void func(); }; class Derived : public Base { int data; }; // 若将Derived对象强制转换为Base类后删除 Base* obj = new Derived; delete obj; // 可能产生未定义行为的内存布局 ``` #### 三、缓解措施 1. **地址随机化**:ASLR使vtable地址难以预测 2. **虚表保护**:编译器选项(如GCC的`-fvtable-verify`) 3. **内存保护**:DEP/NX防止执行堆栈中的代码 4. **控制完整性**:CFI验证函数调用目标
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值