houseoforange_hitcon_2016

最新推荐文章于 2025-07-28 15:27:59 发布
原创 最新推荐文章于 2025-07-28 15:27:59 发布 · 354 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全

本文详细介绍了HouseofOrange_Hitcon_2016 CTF挑战中关于_IO_FILE_plus结构体的利用方法。通过分析_IO_FILE结构和vtable,利用堆溢出和unsorted_bin攻击,最终实现将_IO_OVERFLOW函数修改为system,以获取shell。文章详细阐述了漏洞利用的步骤和思路,包括main函数、add和edit函数的分析,以及如何通过编辑操作泄露和控制内存。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

houseoforange_hitcon_2016

先检查保护
在这里插入图片描述

保护全开

FSOP:对于_IO_FILE_plus结构体的利用

首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP

_IO_FILE_PLUS

_IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼
在这里插入图片描述

在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。

_IO_FILE_plus 主要是由两个部分组成,其中一个是_IO_FILE,另外一个是vtable。
_ I O _ F I L E _ p l u s = _ I O _ F I L E + v t a b l e \_IO\_FILE\_plus = \_IO\_FILE + vtable _IO_FILE_plus=_IO_FILE+vtable

_IO_FILE

_IO_FILE里面存了很多东西,这里有很多利用方式,比如说,

将_FLAGS = 0xfdab2887(或者说其他的值也行)
程序会将_IO_write_base = 0x80  以及 _IO_write_ptr之间的值打印出来
假设将_IO_write_base = 0x80    _IO_write_ptr = 0xa0   就会将把下图之中1到0xfffffffffff之间的值打印出来。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oXYTUqa3-1649341524268)(F:\MarkDownS\HEAP\houseoforange_hitcon_2016\houseoforange_hitcon_2016\微信图片_20210925003541.png)]

这是一种暂时与本题无关的泄露方式。

看回本题,

在_IO_FILE之中, _ chain是用来存储下一个_IO_FILE_PLUS指针的值,在malloc之中,如果产生错误,就会利用这一特性调用,最终来到 _IO_flush_all_lookup处,这个地方是用来打印错误信息的。这个地方有漏洞,对于_IO_FILE_PLUS结构体

  1. _mode == 0

  2. _IO_vtable_offset == 0

  3. _IO_write_ptr > _IO_write_base

    当满足以上条件的时候,会调用 _IO_OVERFLOW函数,并且将_chain里面那个结构体作为第一个函数传入,

    所以我们的利用思路,就是将**_IO_OVERFLOW**函数修改为system,将结构体的第一个位置改为"/bin/sh"这样的话就能getshell

vtable

vtable也是一个结构体

在这里插入图片描述

对于前文提到的_overflow就在这个地方(当然只是个人感觉)

所以这个也比较明确了,就是将vtable这一段修改为system。

函数分析

main()

在这里插入图片描述
在这里插入图片描述

add()

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cL9nNZZX-1649341524274)(F:\MarkDownS\HEAP\houseoforange_hitcon_2016\houseoforange_hitcon_2016\image-20220406221655886.png)]

先看add函数,add函数一共malloc了3个chunk两个0x20,一个大小是自己malloc出来的。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9plYpU8e-1649341524275)(F:\MarkDownS\HEAP\houseoforange_hitcon_2016\houseoforange_hitcon_2016\image-20220406230140404.png)]

第一个是存了两个地址,也就是下面的两个chunk地址,

第二个存的是content

第三个是size,以及color_type

show()

最低0.47元/天 解锁文章

200万优质内容无限畅学
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1704
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
IO_FILE——FSOP、house of orange
「 虚幻私塾」
01-20 431
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 FSOP 是 File Stream Oriented  Programming 的缩写。所有的 _IO_FILE 结构会由 _chain 字段连接形成一个链表,由 _IO_list_all 来维护。而 FSOP 的核心思想就是劫持通过 _IO_list_all 的值
houseoforange_hitcon_2016 House of orange
wuyvle的博客
04-14 1317
这个题可真是经典,甚至连方法都是来源于此 看了看 防御全开 看看函数 根据题分析,本题是没有释放功能的,但是如果没有空闲的chunk我们难以获取libc地址 但是如果我们申请的chunk大小比top chunk大,这里需要满足几个条件: topchunk size > MINSIZE(0x10) top chunk inuse位为1 修改之后的 size 必须要对齐到内存页 我们add函数大小和次数都有限制,所以我们要修改top chunk的size位,使其进入unsorted bins。 还涉及
2016 ctf-HITCON——houseoforange
04-25 479
64位程序,保护全开  #house of orange #unsorted bin attack #IO_FILE 程序逻辑 1 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) 2 { 3 signed int v3; // eax 4 5 main_init()...
Hitcon CTF 2016 - house of orange 做题笔记
fa1c4的blog
03-31 1553
前言 深入学习pwn的高级堆利用方法, house of orange是绕不开的难关 之前已经接触了house系列题目, 不过由于心理压迫感, 所以迟迟没有开始调试house的漏洞 现在避无可避了, 于是准备集中精力突破掉house of orange 想要打过BOSS得先升级, 但是为了升级必须先打过BOSS (雾~ 分析过程 CTFhub和BUUCTF的题目有差别, 就按BUU来打吧 漏洞利用 总结 参考 ...
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 535
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
house of orange学习报告
qq_35467337的博客
03-08 893
house of orangehouse of orange 不是什么梗,而是一道题目的名字,记录下hitcon 2016ctf house of orange
houseoforange_hitcon_2016(unsortbin attack,fsop)
m0_51251108的博客
11-15 538
houseoforange_hitcon_2016: 很经典的一道题目,checsec一下,保护全开 程序分析: 这题最主要就是没有free 漏洞分析: edit里的length和add里的length没有联系, 我们可以造成堆溢出 大致思路: 1.释放到unsortbin中,泄露libc_base和heap_addr: 利用堆溢出,改Top_chunk_size为一个较小的值,我们再申请一个大于Top_chunk_size的chunk的话,系统会用sysmalloc来分配堆,如果符合sysmalloc
2016-HitCon-Pwn-house_of_orange学习(附赠FSOP基础知识)
a2590035252的博客
10-25 782
[md]这里开始著名的house of orange利用方式讲解 house of orange 介绍 House of Orange 与其他的 House of XX 利用方法不同,这种利用方法来自于 Hitcon CTF 2016 中的一道同名题目。由于这种利用方法在此前的 CTF 题目中没有出现过,因此之后出现的一系列衍生题目的利用方法我们称之为 House of Orange。 概述 House of Orange 的利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free
ctf-HITCON-2016-houseoforange学习
weixin_30266829的博客
01-10 332
目录 堆溢出点 利用步骤   创建第一个house,修改top_chunk的size   创建第二个house,触发sysmalloc中的_int_free   创建第三个house,泄露libc和heap的地址   创建第四个house,触发异常 一点疑惑 参考资料 堆溢出点 图1  堆溢出点   edit函数中没有对那么长度进行校验。 利用步骤 创建第一个...
House of Orange
yjh_fnu_ltn的博客
08-12 1091
House of Orange 的利用比较特殊,首先需要目标漏洞是堆上的漏洞但是特殊之处在于题目中不存在 free 函数或其他释放堆块的函数。我们知道一般想要利用堆漏洞,需要对堆块进行 malloc 和 free 操作,但是在 House of Orange 利用中无法使用 free 函数,因此 House of Orange 核心就是通过漏洞利用获得 free 的效果。malloc_printerr 函数:voidva_list ap;
House of orange
tbsqigongzi的博客
08-07 1085
题目中不存在 free 函数或其他释放堆块的函数。
攻防世界 进阶 houseoforange
yongbaoii的博客
03-12 804
就是house of orange 跟题目名字一摸一样。 保护 绿油油 build 备注一写顿时简单了起来。 结构分析一下。 那orange的颜色要么就是56746,要么就是0到6. see 然后呢这里56746跟30到36输出是不一样的。 upgrade 房子只能申请三个,改也只能改三次。 对修改的大小没有限制,所以就会有堆溢出。 那问题来了,怎么利用? 他没有free函数,这就是标准的house of orange 我们总体的思路是这样的。 创建第一个house,修改top_chunk的siz
新姿势Get:覆写_IO_list_all 来getshell ,0CTF2016 zerostorage 的exp以及心得体会
哒君的博客
08-11 1232
先看大佬的总结 -> https://www.jianshu.com/p/a6354fa4dbdf 关于FSOP的要点就是: FSOP选择的触发方法是调用_IO_flush_all_lockp IO_flush_all_lockp函数触发条件: 当libc执行abort流程时 abort可以通过触发malloc_printerr来触发 当执行exit函数时 当执行流从main函数返...
Ubuntu“root“登录
2401_87853424的博客
07-25 485
完成上述操作后,重启系统,即可实现 root 用户自动登录。但需注意,直接使用 root 登录会增加系统安全风险,建议仅在测试环境或必要情况下使用,并确保设置强密码,做好系统安全防护措施。
日志分析-windows日志分析base--笔记ing
2301_80216972的博客
07-28 149
4、攻击者总共在客户机上尝试创建了几个不同名用户?1、客户机的系统安全日志文件所在的绝对路径是?3、攻击者总共使用了几个账户名尝试登录?2、恶意用户是利用什么协议发起的登录?
绩效考核方案(前端部门)修改版.(1).doc
07-28
绩效考核方案(前端部门)修改版.(1).doc
解决Keil调试时"cannot access target shutting down debug session"错误
最新发布
07-28
解决Keil调试时"cannot access target shutting down debug session"错误
[HITCON 2017]SSRFme 1
03-30
### HITCON 2017 SSRF Challenge Overview The **HITCON 2017 CTF** featured a variety of challenges, including those related to Server-Side Request Forgery (SSRF). These challenges were designed to test participants' understanding of web application vulnerabilities and their ability to exploit them effectively. One notable challenge was the **SSRFme task**, which involved exploiting an SSRF vulnerability within a PHP-based system. The provided code snippet demonstrates how the `$_SERVER['HTTP_X_FORWARDED_FOR']` variable is manipulated by splitting its value using commas as delimiters[^5]. This manipulation allows attackers to control the `$http_x_headers[0]` value, potentially leading to unauthorized access or command execution scenarios. In another instance, contestants had to leverage file-writing capabilities through GET requests combined with filename parameters[^4]. By carefully crafting filenames that included shell commands such as `/readflag`, they could execute arbitrary commands on the server side. Specifically: - A request like `/?url=/&filename=aaa` would create a new file named after the specified parameter. - Subsequent exploitation steps allowed reading sensitive files from restricted directories via crafted URLs incorporating malicious payloads into both query strings (`?`) and headers. Additionally, there exists documentation regarding similar exercises where users reconstruct past competitions’ problems locally for practice purposes—such efforts often involve setting up Docker containers mimicking original environments accurately so learners may gain hands-on experience without needing direct participation during actual events themselves[^1]. For further exploration beyond just theoretical knowledge about these types of attacks but also practical implementations thereof consider reviewing additional resources discussing advanced techniques surrounding path traversal exploits alongside other common injection vectors present throughout modern-day applications today too! ```python import os from flask import Flask, request app = Flask(__name__) @app.route('/') def index(): url = request.args.get('url', '') filename = request.args.get('filename', 'default.txt') try: response = open(url) # Vulnerable line due to lack of validation content = response.read() with open(f"/tmp/{filename}", "w") as f: f.write(content) return f"Content written successfully to {filename}" except Exception as e: return str(e), 400 if __name__ == '__main__': app.run(debug=True) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值