House of Cat: 绕过 glibc 2.24 后 Vtable 检查的 IO_FILE 利用技术详解<\/h1>

概述<\/h2>
House of Cat 是一种针对 glibc 2.24 及以上版本的 IO_FILE 利用技术，主要思路是通过覆盖 vtable 指针并利用 `_IO_jump_t<\/code> 中的函数来绕过 vtable 检查，从而劫持程序控制流。该技术可以通过两种方式触发攻击：FSOP (File Stream Oriented Programming) 或 __malloc_assert<\/code>。<\/p>`

技术背景<\/h2>
自 glibc 2.24 起，引入了对 vtable 的检查机制，防止直接覆盖 vtable 为 system 等危险函数。House of Cat 通过利用 _IO_wfile_jumps<\/code> 中的函数（特别是 _IO_wfile_seekoff<\/code> 和 _IO_wfile_overflow<\/code>）来绕过这些检查。<\/p>
关键技术点<\/h2>
1. _IO_wfile_jumps<\/code> 结构利用<\/h3>
_IO_wfile_jumps<\/code> 是一个重要的虚表结构，其中我们关注两个关键函数：<\/p>

_IO_wfile_seekoff<\/code> (偏移 0x48)<\/li>
_IO_wfile_overflow<\/code> (偏移 0x18)<\/li>
<\/ol>
_IO_wfile_seekoff<\/code> 函数关键部分<\/h4>
该函数会调用 _IO_switch_to_wget_mode<\/code>，需要满足以下条件：<\/p>

fp->_wide_data->_IO_write_ptr > fp->_wide_data->_IO_write_base<\/code><\/li>
fp->_mode != 0<\/code><\/li>
<\/ul>
_IO_switch_to_wget_mode<\/code> 函数<\/h4>
该函数在满足条件后会调用 _IO_WOVERFLOW(fp, WEOF)<\/code>，关键点在于：<\/p>

通过 fp->_wide_data<\/code> 指向的结构体 _IO_wide_data<\/code> 中的 _wide_vtable<\/code> 字段<\/li>
调用 _wide_vtable<\/code> 指向的 __overflow<\/code> 函数（偏移 0x18）<\/li>
关键优势：_wide_vtable<\/code> 没有像 vtable 那样的检查机制，可以自由覆盖<\/li>
<\/ul>
2. 伪造 IO_FILE 结构要求<\/h3>
要成功利用，需要精心构造伪造的 IO_FILE 结构：<\/p>

fp->_mode<\/code> 字段 (偏移 0xc0) 必须不为 0（通常设置为 -1）<\/li>
fp->_wide_data<\/code> 字段 (偏移 0xa0) 指向一个伪造的 _IO_wide_data<\/code> 结构<\/li>
在伪造的 _IO_wide_data<\/code> 结构中：

_IO_write_ptr<\/code> (偏移 0x18) 设置为 1<\/li>
_IO_write_base<\/code> (偏移 0x20) 设置为 0<\/li>
<\/ul>
<\/li>
伪造的 _wide_vtable<\/code> 可以指向 system 或其他目标函数<\/li>
<\/ol>
3. 触发路径<\/h3>
有两种主要方式触发 _IO_wfile_seekoff<\/code> 函数：<\/p>
方法一：FSOP (File Stream Oriented Programming)<\/h4>
调用链：<\/p>
__GI_exit --> __run_exit_handlers --> _IO_cleanup --> _IO_flush_all_lockp --> _IO_wfile_seekoff --> _IO_switch_to_wget_mode
<\/code><\/pre>
关键步骤：<\/p>

通过 large bin attack 等方法覆盖 _IO_list_all<\/code> 指针<\/li>
伪造的 IO_FILE 结构需要满足 FSOP 链的要求<\/li>
在 _IO_flush_all_lockp<\/code> 中，vtable 被覆盖为 _IO_wfile_jumps + 0x30<\/code><\/li>
注意 mode<\/code> 参数的设置（在 glibc 2.31 中会被设为 0）<\/li>
<\/ol>
方法二：__malloc_assert<\/code><\/h4>
调用链：<\/p>
_int_malloc --> sysmalloc --> __malloc_assert --> __fxprintf --> __vfxprintf --> locked_vfxprintf --> __vfprintf_internal --> _IO_file_xsputn
<\/code><\/pre>
关键要求：<\/p>

需要将 _flag<\/code> 设置为 0x8005（绕过 __vfprintf_internal<\/code> 中的检查）<\/li>
覆盖 stderr<\/code> 指向伪造的结构<\/li>
vtable 需要覆盖为 _IO_wfile_jumps + 0x10<\/code>（这样 +0x38 偏移就能得到 _IO_wfile_seekoff<\/code>）<\/li>
<\/ol>
4. 栈迁移技术<\/h3>
在 _IO_switch_to_wget_mode<\/code> 函数中可以利用以下指令序列实现栈迁移：<\/p>
mov rax, [rdi+0xa0]    ; rdi = FILE*, 获取 _wide_data
mov rdx, [rax+0x20]    ; 获取 _wide_vtable
<\/code><\/pre>
这可以实现 rdi<\/code> 到 rdx<\/code> 的转换，进而可以衔接 setcontext + 61<\/code> 完成栈迁移。<\/p>
实际利用示例<\/h2>
例题分析：[HGAME 2023 week3]note_context<\/h3>
题目特点：<\/h4>

存在 UAF 漏洞<\/li>
申请大小限制在 0x500 以上<\/li>
libc 版本为 2.32<\/li>
开启了沙箱，需要 ORW 绕过<\/li>
保护全开<\/li>
<\/ol>
利用步骤：<\/h4>


泄漏地址<\/strong>：<\/p>

利用 large bin 的 fd 指针泄漏堆地址<\/li>
通过 unsorted bin 泄漏 libc 地址<\/li>
<\/ul>
<\/li>

large bin attack<\/strong>：<\/p>

覆盖 _IO_list_all<\/code> 指针<\/li>
同时完成堆地址泄漏<\/li>
<\/ul>
<\/li>

伪造结构<\/strong>：<\/p>

在堆上布置完整的伪造结构：

伪造的 IO_FILE<\/li>
ORW 链<\/li>
_wide_data<\/code> 结构<\/li>
寄存器传参设置<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

触发利用<\/strong>：<\/p>

通过 exit() 触发 FSOP<\/li>
完成栈迁移到堆上布置的 ORW<\/li>
读取 flag<\/li>
<\/ul>
<\/li>
<\/ol>
关键伪造结构：<\/h4>
伪造的IO_FILE:
+0xc0: -1                  ; _mode
+0xa0: 指向伪造的_wide_data

伪造的_wide_data:
+0x18: 1                   ; _IO_write_ptr
+0x20: 0                   ; _IO_write_base
+0x20: 指向伪造的_wide_vtable

伪造的_wide_vtable:
+0x18: system或setcontext+61 ; _IO_wfile_overflow
<\/code><\/pre>
总结<\/h2>
House of Cat 是一种强大的 IO_FILE 利用技术，主要特点包括：<\/p>

通过 _IO_wfile_jumps<\/code> 中的函数绕过 vtable 检查<\/li>
利用 _wide_vtable<\/code> 不受检查的特性<\/li>
可通过 FSOP 或 __malloc_assert<\/code> 两种路径触发<\/li>
结合栈迁移技术可以实现更灵活的利用<\/li>
适用于 glibc 2.24 及以上版本的保护绕过<\/li>
<\/ol>
在实际利用中，需要注意不同 glibc 版本中函数偏移和检查条件的细微差别，精心构造伪造的结构以满足各种检查条件。<\/p>

House of Cat: 绕过 glibc 2.24 后 Vtable 检查的 IO_FILE 利用技术详解<\/h1>

3. 触发路径<\/h3> 有两种主要方式触发 _IO_wfile_seekoff<\/code> 函数：<\/p>

例题分析：[HGAME 2023 week3]note_context<\/h3>

3. 触发路径<\/h3>
有两种主要方式触发 `_IO_wfile_seekoff<\/code> 函数：<\/p>`