pwn中常用函数
输入输出类
write()函数
*函数原型:**ssize_t write(int fd, const void *buf, size_t count)
函数功能:由fd指定输出的位置,将buf的内容进行输出,输出的长度为n
函数参数:
- fd:文件描述符;write一般为1,由屏幕输出显示
- buf:指定的缓冲区,即指针,指向一段内存单元;比如GOT表项
- count:要写入文件指定的字节数,64位一般指针8字节,32位是4字节
使用示例:write(1,GOT地址,8|4):显示GOT对应函数的实际地址
备注:
x64传参:
- rsi=p64(0x1)
- rdi=p64(GOT)
- rdx=p64(0x8)
read()函数
函数原型:ssize_t read (int fd, void *buf, size_t count)
函数功能:由fd指定写入内容的来源,将待写入的内容写入到buf,写入的长度为count
函数参数:
- fd:文件描述符;read 为0,由键盘写入
- buf:指定的缓冲区,即指针,指向一段内存单元;比如向.bss段写入’/bin/sh\x00’
- count:要写入文件指定的字节数
使用示例:read(0, buf, t):向buf所指的地址写入t字节长度的内容,写入的内容由键盘输入
read(0, buf, 0x100); // 从键盘读 0x100 字节
gets()函数
函数原型:
char *gets(char *s);
功能:
从 stdin 读一行(直到 '\n' 或 EOF),不检查长度。
参数:
- s:目标缓冲区,经典栈溢出点
示例:
gets(buf); // 可无限溢出
scanf()函数
函数原型:
int scanf(const char *fmt, ...);
int sscanf(const char *str, const char *fmt, ...);
功能:
按 fmt 解析输入并写入后续指针。
%s 不限制长度 可溢出;%n 可写内存。
示例
scanf("%s", buf); // 溢出
sscanf(input, "%d%n", &a, &offset); // 用 %n 写 offset
fputs()函数
函数原型
int fputs(const char *s, FILE *stream);
功能:把字符串 s 写入 stream,不自动加 '\n'。
参数:stream=stdout 可泄露信息。
示例
fputs(buf, stdout); // 打印 buf 内容
fgets()函数
函数原型
char *fgets(char *s, int size, FILE *stream);
功能:从 stream 最多读 size-1 字节到 s,自动补 '\0'。
参数:size 正确时可防止溢出;但 size 过大仍可控。
示例
fgets(buf, 0x100, stdin); // 安全读入
puts()函数
函数原型
int puts(const char *s);
功能:把 s 写到 stdout 并自动追加 '\n'。
参数:s 可控时可用作信息泄露。
示例:
puts(buf); // 打印并换行
转换类
atoi()函数
int atoi(const char *nptr);
功能:把字符串转 int,失败返 0。
参数:nptr 可控时可构造负数绕检查。
示例:
int atoi(const char *nptr);
strtoul()函数
unsigned long strtoul(const char *nptr, char **endptr, int base);
功能:按 base 解析无符号长整型;base=0 自动识别 0x/0。
参数:endptr 可置 NULL;结果可控做索引或大小。
示例:
size_t n = strtoul(buf, NULL, 0); // 输入 0xFFFFFFFF 得 -1
过滤类
seccomp()函数
函数原型
int seccomp(unsigned int operation, unsigned int flags, void *args);
功能:安装沙盒规则,限制可用 syscall。
参数:operation=SECCOMP_SET_MODE_STRICT 或 FILTER。
示例:
seccomp(SECCOMP_SET_MODE_STRICT, 0, NULL); // 只允许 read/write/exit
利用提示:先 seccomp-tools dump ./bin 看白名单,再挑允许 syscall 构造 ROP/ORW。
执行类
execve()函数
int execve(const char *pathname, char *const argv[], char *const envp[]);
功能:替换进程映像,真正的 syscall shell。
参数:pathname="/bin/sh";argv={"/bin/sh",NULL}。
示例:
execve("/bin/sh", NULL, NULL);
system()函数
int system(const char *command);
功能:把 command 交给 /bin/sh -c 执行。
参数:command="/bin/sh" 即拿 shell;指针可控可 one-gadget。
示例:
system("/bin/sh"); // 最简拿 shell