本文共 1666 字，大约阅读时间需要 5 分钟。

IO_FILE逆向分析与利用

概述

这是pwn题攻略系列中的第三篇文章，重点讲解了IO_FILE结构在pwn题中的应用方法。IO_FILE（FILE）在Linux系统中的标准IO库中用于描述文件流，基于此结构可以在pwn题中完成信息泄露。常规情况下，pwn题中会设计没有直接信息泄露的函数，这时即使堆漏洞存在，直接使用堆结构进行攻击也难以获取libc版本或内核地址等信息。因此，利用IO_FILE结构成为一种有效的手段。

IO_FILE结构介绍

在Linux系统的libc中，IO_FILE结构体描述了文件流的信息，包括文件指针、读取和写入的缓冲区、标志位等。这些结构体的内存地址在程序运行中会动态地进行链表连接。动态跟踪内核结构体可以帮助我们深入分析其工作原理。

_IO_FILE_plus与vtable

IO_FILE_plus 是一个扩展结构体，它包含一个vtable指针，其作用类似于调用表（virtual table）。vtable中存储了离散的跳转函数（file jumps），用于执行文件操作的特定逻辑。了解这些结构体的细节对于掌握信息泄露的方法至关重要。

利用IO_FILE进行信息泄露

原理分析

在没有leak函数的情况下，通过对IO_FILE结构的操控可以实现信息泄露。常规方法是将一个堆块分配至stdout，这样可以通过特定的IO_FILE标志设置，并修改vtable指针的值，最终使程序在执行写入操作时 thông quaputs或printf函数泄露内存地址、libc版本等信息。

重要字段介绍

通过合理设置这些字段，可以间接控制程序的行为。

实际操作步骤

一个典型案例：one_heap

题目分析与思路

在2019年SCTF的一堆（one_heap）中，程序仅具备add和free两个功能，且每次功能调用只能记录一个堆地址，这使得Double Free Unsafe Array Handling（UAF）漏洞变得可行。解决方案如下：

FSOP（后续内容待补充）

总结

在面临没有明确信息泄露函数b的事势下，IO_FILE结构提供了一种灵活且强大的手段。通过结构体的特定操作，可以在没有额外漏洞的情况下获取到痛要的信息。这不仅适用于pwn题中的一些难题，也为你的逆向分析能力提供了强大的工具。

不断打磨自己，向着目标前进！