利用fgetc冲破全缓冲区的技术分析<\/h1>

背景介绍<\/h2>
在二进制安全领域，缓冲区溢出攻击是常见的技术手段。本文档将详细分析如何利用`fgetc<\/code>函数冲破全缓冲区（full buffering）的技术细节，这种技术在CTF比赛（如XYCTF2025中的Ret2libc's Revenge题目）中有着实际应用。<\/p>`

问题描述<\/h2>
在题目Ret2libc's Revenge中，攻击者面临以下挑战：<\/p>

需要泄露libc地址但无法直接控制足够多的寄存器<\/li>
传统的缓冲区溢出方法（如塞满缓冲区）在远程环境中失效<\/li>
无法直接调用setvbuf<\/code>或fflush<\/code>来刷新缓冲区<\/li>
<\/ol>
传统方法及其局限性<\/h2>
方法1：修改main函数返回地址<\/h3>

通过覆盖libc_start_call_main<\/code>后的返回地址<\/li>
需要爆破，成功概率为1\/4096<\/li>
本地ASLR开启时可成功，但无法执行cat \/flag<\/code><\/li>
<\/ul>
方法2：使用ELF gadget控制rdi并调用puts<\/h3>

控制rdi寄存器后调用puts<\/code>泄露libc地址<\/li>
写入0x3e个call puts<\/code>的gadget塞满缓冲区<\/li>
本地可行但远程失败，原因可能是缓冲区大小不同<\/li>
<\/ul>
方法3：尝试控制setvbuf<\/h3>

需要控制4个参数（rdi, rsi, rdx, rcx）<\/li>
无法控制rdx和rcx寄存器，难以实现<\/li>
<\/ul>
fgetc刷新缓冲区的技术原理<\/h2>
fgetc函数的工作流程<\/h3>


初始检查<\/strong>：<\/p>
if<\/span> (fp-><\/span>_IO_read_ptr >=<\/span> fp-><\/span>_IO_read_end)
<\/span><\/span><\/code><\/pre>当文件指针的读取位置超过或等于读取结束位置时，会进入__uflow<\/code>函数<\/p>
<\/li>

__uflow函数<\/strong>：<\/p>

调用_IO_switch_to_get_mode<\/code><\/li>
检查fp->_IO_write_ptr > fp->_IO_write_base<\/code><\/li>
如果条件成立，进入_IO_OVERFLOW<\/code><\/li>
<\/ul>
<\/li>

_IO_OVERFLOW宏<\/strong>：<\/p>
#define _IO_OVERFLOW(FP, CH) JUMP1 (__overflow, FP, CH)
<\/span><\/span><\/span><\/code><\/pre>实际调用stdout vtable中的__overflow<\/code>函数，即_IO_new_file_overflow<\/code><\/p>
<\/li>
<\/ol>
_IO_new_file_overflow的关键逻辑<\/h3>


标志位检查<\/strong>：<\/p>

f->_flags = 0xfbad2884<\/code><\/li>
_IO_NO_WRITES = 0x8<\/code><\/li>
f->_flags & _IO_NO_WRITES = 0<\/code> → 进入下一分支<\/li>
<\/ul>
<\/li>

当前写入状态检查<\/strong>：<\/p>

(f->_flags & _IO_CURRENTLY_PUTTING) = 0x800<\/code><\/li>
f->_IO_write_base != NULL<\/code><\/li>
进入if (ch == EOF)<\/code>分支（因为rsi=0xffffffff）<\/li>
<\/ul>
<\/li>

关键调用<\/strong>：<\/p>
_IO_do_write(f, f-><\/span>_IO_write_base, f-><\/span>_IO_write_ptr -<\/span> f-><\/span>_IO_write_base);
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
_IO_do_write和后续调用链<\/h3>


_IO_do_write<\/strong>：<\/p>

调用new_do_write<\/code><\/li>
最终调用_IO_SYSWRITE<\/code>（即_IO_file_write<\/code>）<\/li>
<\/ul>
<\/li>

_IO_file_write<\/strong>：<\/p>

调用__write(f->_fileno, data, to_do)<\/code><\/li>
实际执行write系统调用，输出缓冲区内容<\/li>
<\/ul>
<\/li>
<\/ol>
技术实现要点<\/h2>


控制流要求<\/strong>：<\/p>

控制rdi寄存器指向stdout<\/li>
调用fgetc@plt<\/code><\/li>
<\/ul>
<\/li>

优势<\/strong>：<\/p>

不需要知道缓冲区具体大小<\/li>
不需要构造大量gadget塞满缓冲区<\/li>
简洁高效，可靠性高<\/li>
<\/ul>
<\/li>

适用场景<\/strong>：<\/p>

当无法直接调用fflush<\/code>时<\/li>
当缓冲区大小未知或不可预测时<\/li>
当寄存器控制有限时（只需控制rdi）<\/li>
<\/ul>
<\/li>
<\/ol>
实际应用示例<\/h2>
在Ret2libc's Revenge题目中，攻击者可构造如下利用链：<\/p>

找到控制rdi的gadget<\/li>
将rdi设置为stdout地址<\/li>
调用fgetc@plt<\/code><\/li>
此时stdout缓冲区会被刷新，泄露其中的libc地址<\/li>
基于泄露的地址构造后续ROP链<\/li>
<\/ol>
总结<\/h2>
通过深入分析fgetc<\/code>函数的内部实现，我们发现它可以通过以下路径间接刷新stdout缓冲区：<\/p>
fgetc → __uflow → _IO_switch_to_get_mode → _IO_OVERFLOW → _IO_new_file_overflow → _IO_do_write → _IO_file_write → write系统调用
<\/code><\/pre>
这种方法相比传统技术具有以下优势：<\/p>

不依赖缓冲区大小<\/li>
不需要构造复杂的ROP链<\/li>
只需控制rdi寄存器即可实现<\/li>
在远程环境中可靠性更高<\/li>
<\/ul>
这种技术展示了深入理解库函数内部实现对于二进制漏洞利用的重要性，为CTF比赛和实际安全研究提供了新的思路。<\/p>