houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)

最新推荐文章于 2022-03-31 00:21:52 发布
最新推荐文章于 2022-03-31 00:21:52 发布
阅读量1.4k 收藏 7
点赞数 4
分类专栏: CTF知识学习 BUU-PWN 文章标签: 指针 内存管理 malloc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/105270036
版权

目录

题目分析

在这里插入图片描述
在这里插入图片描述
只有添加,显示,编辑三个功能,没有删除

在这里插入图片描述
添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8),name_size最大为8
House结构体如下
在这里插入图片描述

struct Info{
   
int price;
int color;
}

struct House{
   
Info* info;
char* name;
}

在这里插入图片描述
在编辑函数中,可以重新输入长度进行堆溢出
编辑次数最多为3

利用原理

house of orange

根据题分析,本题是没有释放功能的,但是如果没有空闲的chunk我们难以获取libc地址,下面就介绍一种不需要释放就能得到unsored bin的办法
当我们申请一块内存时,malloc函数会检查各种bin,都不满足条件之后会检查top chunk是否满足,(由于本题的堆溢出使得我们可以修改topchunk的size),如果topchunk也不行,就需要调用sysmalloc来申请内存,而此时又分为brk 和 mmap两种方式
如果所需分配的 chunk 大小大于 mmap 分配阈值(默认为 128K,0x20000),就会调用mmap
所以我们分配的内存需要小于这个
然后来到下一个判断

assert((old_top == initial_top(av) && old_size == 0) ||
     ((unsigned long) (old_size) >= MINSIZE &&
      prev_inuse(old_top) &&
      ((unsigned long)old_end & pagemask) == 0));

这里需要满足几个条件:

  1. topchunk size > MINSIZE(0x10)
  2. top chunk inuse位为1
  3. 修改之后的 size 必须要对齐到内存页

满足之后,top chunk就被free,从而进入unsorted bin

FSOP

在libc的_IO_list_all中,存放有一个_IO_FILE_plus结构体的指针,
如下图,它指向_IO_2_1_stderr_
在这里插入图片描述
_IO_FILE_plus结构体详细内容如下
在这里插入图片描述
其中_chain指向下一个_IO_FILE_plus结构体

在malloc中,它调用malloc_printerr来打印错误,经过一系列调用,最终来到_IO_flush_all_lockp

while (fp != NULL)
{
   
…
    fp = fp->_chain;
    ...
          if (((fp->_mode <= 0 && fp->_IO_write_ptr
最低0.47元/天 解锁文章
L.o.W
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
houseoforange_hitcon_2016
fayinq的博客
04-07 252
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
2016-HitCon-Pwn-house_of_orange学习(附赠FSOP基础知识)
a2590035252的博客
10-25 534
[md]这里开始著名的house of orange利用方式讲解 house of orange 介绍 House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。 概述 House of Orange 的利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free
2016 ctf-HITCON——houseoforange
04-25 389
64位程序,保护全开  #house of orange #unsorted bin attack #IO_FILE 程序逻辑 1 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) 2 { 3 signed int v3; // eax 4 5 main_init()...
houseoforange_hitcon_2016 House of orange
wuyvle的博客
04-14 1220
这个题可真是经典,甚至连方法都是来源于此 看了看 防御全开 看看函数 根据题分析,本题是没有释放功能的,但是如果没有空闲的chunk我们难以获取libc地址 但是如果我们申请的chunk大小比top chunk大,这里需要满足几个条件: topchunk size > MINSIZE(0x10) top chunk inuse位为1 修改之后的 size 必须要对齐到内存页 我们add函数大小和次数都有限制,所以我们要修改top chunk的size位,使其进入unsorted bins。 还涉及
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh ...
How_I_Hacked_Facebook_Again!.pdf
08-28
报告作者Orange Tsai是DEVCORE的安全研究员和HITCON CTF团队队长,专注于Web及应用安全研究。该文描述了如何通过预认证远程代码执行(Pre-auth RCE)攻击主流SSL VPNs,从而侵入企业内部网络,这与移动设备管理(MDM...
字节对齐忘记停止了,导致解析文件时报内存泄漏异常
gkxg001的博客
04-25 718
由字节对齐问题引发的惨案 异常现象: ----------------json0 配置文件解析---------------- concentrator_1376.1: malloc.c:2401: sysmalloc: Assertion `(old_top == initial_top (av) && old_size == 0) || ((unsigned long) (o...
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 1060
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house的漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
house of orange学习报告
qq_35467337的博客
03-08 804
house of orangehouse of orange 不是什么梗,而是一道题目的名字,记录下hitcon 2016ctf house of orange
攻防世界 进阶 houseoforange
yongbaoii的博客
03-12 656
就是house of orange 跟题目名字一摸一样。 保护 绿油油 build 备注一写顿时简单了起来。 结构分析一下。 那orange的颜色要么就是56746,要么就是0到6. see 然后呢这里56746跟30到36输出是不一样的。 upgrade 房子只能申请三个,改也只能改三次。 对修改的大小没有限制,所以就会有堆溢出。 那问题来了,怎么利用? 他没有free函数,这就是标准的house of orange 我们总体的思路是这样的。 创建第一个house,修改top_chunk的siz
ctf-HITCON-2016-houseoforange学习
weixin_30266829的博客
01-10 242
目录 堆溢出点 利用步骤   创建第一个house,修改top_chunk的size   创建第二个house,触发sysmalloc中的_int_free   创建第三个house,泄露libc和heap的地址   创建第四个house,触发异常 一点疑惑 参考资料 堆溢出点 图1  堆溢出点   edit函数中没有对那么长度进行校验。 利用步骤 创建第一个...
houseoforange_hitcon_2016(unsortbin attackfsop
m0_51251108的博客
11-15 435
houseoforange_hitcon_2016: 很经典的一道题目,checsec一下,保护全开 程序分析: 这题最主要就是没有free 漏洞分析: edit里的length和add里的length没有联系, 我们可以造成堆溢出 大致思路: 1.释放到unsortbin中,泄露libc_base和heap_addr: 利用堆溢出,改Top_chunk_size为一个较小的值,我们再申请一个大于Top_chunk_size的chunk的话,系统会用sysmalloc来分配堆,如果符合sysmalloc
fsop深入学习
qq_51474381的博客
04-18 1060
呜呜,来补课了。 之前io_file学的不扎实,现在来深入了解一下。 IO_file相关结构 _IO_list_all 是一个 _IO_FILE_plus 结构体定义的一个指针,如下: extern struct _IO_FILE_plus *_IO_list_all; 1 它存在在符号表内,所以pwntools是可以搜索到的,查看结构体_IO_FILE_plus内部: struct _IO_FILE_plus { _IO_FILE file; const struct _IO...
FSOP
qq_45595732的博客
11-26 1508
FSOP ​   进程内所有的_IO_FILE结构会使用_chain域相互连接形成一个链表,这个链表的头部由_IO_list_all维护。 ​   FSOP的核心思想就是劫持_IO_list_all的值来伪造链表和其中的_IO_FILE项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all链表中所有项的文件流,相当于对每个FILE调用fflush,也
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值