house of orange

最新推荐文章于 2022-03-31 00:21:52 发布
最新推荐文章于 2022-03-31 00:21:52 发布
阅读量411 收藏
点赞数
分类专栏: 漏洞溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/86564169
版权

house of orange

这个技术的特点是对堆的伪造不用想普通的UAF 在释放内存后进行伪造内存,而是利用堆分配的特性把未分配的内存触发到fastbin中,直接malloc后就可以触发漏洞。也就是不用free这一步的操作。

libc 2.23及以下版本(2.24版本开始对vtable有check,不过也可以绕过)不可用

本次笔记基于看雪
看雪CTF.TSRC 2018 团队赛 第十四题

house of orange

1.分配一个堆块
2.溢出topchunk修改size
3.申请超出size的堆,topchunk进入unsorted bin。
4.申请小于size的堆,old_top分为两块。
5.
在这里插入图片描述

pwn HCTF2017 babyprintf

在这里插入图片描述
在这里插入图片描述
libc
_IO_flush_all_lockp函数会刷新_IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用 fflush,
通过检查
(fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base)或者 (_IO_vtable_offset (fp) == 0 && fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr > fp->_wide_data->_IO_write_base) )
调用 _IO_OVERFLOW

可以利用其中的 _IO_str_finsh和_IO_str_overflow这两个函数_IO_str_overflow (_IO_FILE fp, int c)
因为调用(char)fp+0xE8和(char*)fp + 0xE0,所以可以把这部分设置成system的地址。

inquisiter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
the house of orange解析
小强的博客
11-24 2208
先以这个最简单的例子举例: https://github.com/shellphish/how2heap/blob/master/house_of_orange.c 编译生成ELF文件(64位) p1 = malloc(0x400-16); 每次创建堆都是从top chunk上切割堆块,由于top chunk默认是0x21000,因为我们已经申请了0x400大小的堆,所以此时to
House Of Orange
qq_45595732的博客
11-26 1003
House Of Orange 本质:Unsorted bin attack 和 FSOP造成的组合漏洞利用方式。 House of orange源于一道题目,有时候只用到free top chunk的题目也会被归入该类中。 glibc版本<=2.23情况 特点:不需要free操作 核心原理: 1,获取unsorted bin ​ 在_int_malloc函数中,会依次检验 fastbin、small bins、unsorted bin、large bins 是否可以满足分配要求,因为尺寸问
House of orange
seaaseesa的博客
02-14 1688
House of orange因一道同名的题而来,它是在程序没有调用free函数的情况下利用其它漏洞结合IO_FILE来达到利用。 首先利用漏洞修改top chunk的size,然后申请一个比size大的堆,满足一定条件,这个top chunk就会被释放到unsorted bin里。 利用unsorted bin attack,将__IO_list_all指针改写为unsorted bin的头...
攻防世界 进阶 houseoforange
yongbaoii的博客
03-12 655
就是house of orange 跟题目名字一摸一样。 保护 绿油油 build 备注一写顿时简单了起来。 结构分析一下。 那orange的颜色要么就是56746,要么就是0到6. see 然后呢这里56746跟30到36输出是不一样的。 upgrade 房子只能申请三个,改也只能改三次。 对修改的大小没有限制,所以就会有堆溢出。 那问题来了,怎么利用? 他没有free函数,这就是标准的house of orange 我们总体的思路是这样的。 创建第一个house,修改top_chunk的siz
堆溢出-House of orange 学习笔记(看雪论坛)
happylzs2008的专栏
01-07 877
https://www.jianshu.com/p/4b0a73f321f9 前几天把House of orange重新学习了一下,比照着glibc malloc的源码好好分析了一下,希望做到真正做到知其然亦知其所以然,其中所做的笔记如下,可能描述上有点乱,大家将就着看一下吧。同时,我也发在了我个人博客上面 (http://blog.leanote.com/simp1e), 如果有错误的地方,...
houseoforange_hitcon_2016
z1r0的博客
03-09 480
houseoforange_hitcon_2016 查看保护 这一题目就是使用house of orange + FSOP来解决 在edit的时候会让用户输入size,这里有一个堆溢出(笔者认为这一题还有一个考点就是逆清楚这个程序,自己增加结构体 这是笔者加的两个结构体,看成这样就行 struct Data{ Info *info; char *name } struct Info{ int price; int color; } 加了这个之后改一下堆块的类型就可以更快的清楚这个程序的结构。 回归
boohkr:UofT MERN图书应用程序,用于搜索和保存图书及其信息以及Google图书中的数据
03-08
:house_with_garden: 提供非现成CSS外观,并保持直观 克隆和修补匠 在Garcila的Github上获取并制作为您的 :blue_book: :orange_book: :closed_book: :green_book: 。 屏幕截图 建于 -基于Chrome的V8 JavaScript引擎...
新目标英语七下U复习PPT课件.pptx
10-08
6. **餐厅服务用语**:"Can I help you = What can I do for you" 是服务员常问的开场白,"come and get your dumplings" 是提示顾客取餐的用语,"house of dumplings" 和 "dessert house" 分别是饺子店和甜品店的...
2014中考英语分类复习练习 名词部分配套练习
08-19
11. four bottles of orange juice (四瓶橘汁) 12. five cups of tea (五杯茶) 13. six bowls of rice (六碗米饭) 14. seven bags of rice (七袋米) 15. eight pieces of wood (八块木头) 16. nine pieces of metal ...
英语方位词练习PPT课件.pptx
10-14
3. “The blue box is next to/beside the orange box.”与“The blue box is opposite the orange one.”这两个句子进一步区分了“next to/beside”(相邻)和“opposite”(对面)的概念,帮助学习者理解它们在...
七年级英语上学期第一次月考试题(无答案) 鲁教版五四制 试题.doc
11-14
- 文章中的两家店,House of Hamburgers提供汉堡并有特定的电话号码,而Dessert House提供甜品和饮品。 综上所述,这份七年级英语上学期的月考试题涵盖了词汇、语法、阅读理解和数学应用等多个知识点,旨在测试...
house of orange学习报告
qq_35467337的博客
03-08 803
house of orangehouse of orange 不是什么梗,而是一道题目的名字,记录下hitcon 2016ctf house of orange
借助gdb调试glibc代码学习House of Orange
happylzs2008的专栏
01-07 700
转自:https://bbs.pediy.com/thread-251195.htm house_of_orange https://www.jianshu.com/p/1e45b785efc1 借助gdb调试glibc代码学习House of Orange https://github.com/shellphish/how2heap/blob/master/glibc_2.25/hou...
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1414
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
16.house_of_orange
06-10 294
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <string.h> 4 5 /* 6 The House of Orange uses an overflow in the heap to corrupt the _IO_list_all...
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 1056
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house的漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
【八芒星计划】 House of Orange
carol2358的博客
09-02 370
文章目录前言CISCN2020 nofree总结 前言 House of Orange是一种用来应对heap题中没有free的情况的方法,通过把top chunk的size改小,然后申请一个大于topchunk的size的chunk来把旧的top chunk放入bin中(可以是fastbin,也可以是unsortedbin) 使用条件有: ①可以修改topchunk的size ②伪造的 size 必须要对齐到内存页 ③size 要大于 MINSIZE(0x10) ④size 要小于之后申请的 chunk.
攻防世界PWN之bufoverflow_a题解(house of orange in 2.24&house of Einherjar)
seaaseesa的博客
02-19 951
bufoverflow_a 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,是一个经典的增删改查的程序,然后我们看到创建堆时,前两个堆是用malloc创建,后面的堆用calloc创建,这意味着,如果要泄露libc地址,只能靠前两个堆,后面的堆从bin里取出后会清空里面的信息。 Fill功能存在一个null off by one漏洞 我们每次只能对最后创建的那个堆进...
House of apple 一种新的glibc中IO攻击方法.doc
07-09
House of apple 是一种新的 glibc 中 IO 攻击方法,旨在利用对 IO_FILE 结构体的伪造和对 IO 流的攻击来实现漏洞利用。在 glibc 高版本中,随着对__malloc_hook/__free_hook/__realloc_hook等 hook 全局变量的逐渐...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值