house of apple1

已于 2025-02-20 14:24:11 修改
阅读量802 收藏 15
点赞数 36
CC 4.0 BY-SA版权
文章标签: 网络 安全 linux 网络安全
于 2025-02-20 14:23:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80632317/article/details/145752705

house of apple1

漏洞成因

堆溢出

适用范围

  • 2.23—— 至今
  • 程序从 main 函数返回或能调用 exit 函数
  • 能泄露出 heap 地址和 libc 地址
  • 能使用一次 largebin attack(一次即可)

利用原理

原理解释均基于amd64程序。

当程序从main函数返回或者执行exit函数的时候,均会调用fcloseall函数,该调用链为:

  • exit
    • fcloseall
      • _IO_cleanup
        • _IO_flush_all_lockp
          • _IO_OVERFLOW

最后会遍历_IO_list_all存放的每一个IO_FILE结构体,如果满足条件的话,会调用每个结构体中vtable->_overflow函数指针指向的函数。

使用largebin attack可以劫持_IO_list_all变量,将其替换为伪造的IO_FILE结构体,而在此时,我们其实仍可以继续利用某些IO流函数去修改其他地方的值。要想修改其他地方的值,就离不开_IO_FILE的一个成员_wide_data的利用。

利用_IO_wstr_overflow 将任意地址存储的值修改已知值:

struct _IO_FILE_complete
{
   
   
  struct _IO_FILE _file;
#endif
  __off64_t _offset;
  /* Wide character stream stuff.  */
  struct _IO_codecvt *_codecvt;
  struct _IO_wide_data *_wide_data;
  struct _IO_FILE *_freeres_list;
  void *_freeres_buf;
  size_t __pad5;
  int _mode;
  /* Make sure we don't get into trouble again.  */
  char _unused2[15 * sizeof (int) - 4 * sizeof (void *) - sizeof (size_t)];
};

amd64程序下,struct _IO_wide_data *_wide_data_IO_FILE中的偏移为0xa0

amd64:
 
0x0:'_flags',
0x8:'_IO_read_ptr',
0x10:'_IO_read_end',
0x18:'_IO_read_base',
0x20:'_IO_write_base',
0x28:'_IO_write_ptr',
0x30:'_IO_write_end',
0x38:'_IO_buf_base',
0x40:'_IO_buf_end',
0x48:'_IO_save_base',
0x50:'_IO_backup_base',
0x58:'_IO_save_end',
0x60:'_markers',
0x68:'_chain',
0x70:'_fileno',
0x74:'_flags2',
0x78:'_old_offset',
0x80:'_cur_column',
0x82:'_vtable_offset',
0x83:'_shortbuf',
0x88:'_lock',
0x90:'_offset',
0x98:'_codecvt',
0xa0:'_wide_data',
0xa8:'_freeres_list',
0xb0:'_freeres_buf',
0xb8:'__pad5',
最低0.47元/天 解锁文章

200万优质内容无限畅学
iam0range
关注
house of apple2和house of cat的利用总结
2301_79327647的博客
08-15 900
最近感觉apple2和cat有些利用条件搞混了,就想出一篇博客总结一下。
2024强网杯--babyheap house of apple2解法
2302_79542511的博客
11-19 1282
但是一般用largbin attack的时候,我们一般都是让_IO_list_all指向我们构造的第二个进入largbin的chunk。这次比赛看到这道题想到了用house of apple2,但是卡在了它把_IO_wfile_jumps给清零了,然后根据house of apple的调用链,我就以为做不了,其实是我对这个地方的理解不深刻。其实,我们只需要申请一个和chunk2等大的chunk,使得chunk2脱离双向链表,就可以让_IO_list_all指向我们能控制的chunk1了。
glibc 2.35 pwn——house of apple v1 示例程序
CoLin的pwn小屋
01-11 1144
house of apple v1示例程序
CTF-PWN-堆-【house of apple1
llovewuzhengzi的博客
03-02 1694
IO_flush_all_lockp在清理时会检查_IO_list_all链表(这是glibc所管理的全局FILE流链表),并对每个FILE对象应用相应的操作,如果满足条件(例如流正在写入模式并且有未冲洗的数据),则会调用vtable中_overflow函数指针所指向的函数。这些手动打开的文件流,连同标准输出和标准错误,构成了程序的“所有打开的输出流”。正常终止过程中,会发生一系列的清理工作,例如关闭所有打开的流(尤其是标准I/O流)来确保数据不会丢失,并且所有缓冲的输出都被写入它们对应的文件或设备中。
house of apple2
qq_61670993的博客
01-26 991
IO_FILE
house of apple2(改进)
m0_63437215的博客
11-18 1589
house_of_apple2
买不起的大househouse of apple1
XiDPPython的博客
03-01 893
在高版本的glibc中逐渐移除了等一众hook全局变量,这意味着在CTF竞赛中利用“hook”来控制程序流成为了过去式。而想要在高版本利用成功,基本上就离不开对IO_FILE结构体的伪造与IO流的攻击下面介绍一种由roderick01师傅发现的链子称之为而一共有三条链子本文将介绍apple1stderr。
浅析house_of_apple2(下)
2301_79327647的博客
08-08 1012
''''''pause()delete(1)show(0)#恢复原样show(0)show(0)#恢复原样})ret0,##pop r12;
浅析house_of_apple2(上)
2301_79327647的博客
08-07 1313
一步一步看到最后我们发现他在调用_wide_vtable里面的成员函数指针时,没有关于vtable的合法性检查。就是说我们可以控制这条IO调用流(最终调用到_IO_Wxxxxx函数即可控制程序的执行流)。也就是说我们先通过篡改IO结构体里面的vtable为_IO_wfile_jumps以便绕过vtable check的检查再通过其去调用属于_overflow处的 _IO_wfile_overflow 达到后续控制IO流的效果。
House of apple 一种新的glibc中IO攻击方法.doc
07-09
House of Apple - 一种新的 glibc 中 IO 攻击方法 本文提出了一种新的 glibc 中 IO 攻击方法,名为 House of Apple,该方法可以在高版本 glibc 中成功实施 IO 攻击。该方法基于对 IO_FILE 结构体的伪造和 IO 流的...
House of apple 一种新的glibc中IO攻击方法
pythonxxoo的博客
06-18 3087
目录* House of apple 一种新的glibc中IO攻击方法 + 前言 + 利用条件 + 利用原理 + 利用思路 - 思路一:修改线程变量 - 思路二:修改结构体 - 思路三:修改线程变量之 - 思路四:修改全局变量 + 例题分析 - 题目分析 - 利用过程 + 总结提出一种新的中利用思路,暂且命名为。众所周知,高版本逐渐移除了等等一众全局变量,中题对钩子的利用将逐渐成为过去式。而想要在高版本利用成功,基本上就离不开对结构体的伪造与流的攻击。之前很多师傅都提出了一些优秀的攻击方法,比如house
HCIP笔记(第四章)
panshiyangmaye的博客
08-03 817
描述区域内的MA网络(广播网络、NBMA网络)链路的路由器及掩码信息仅在区域内部传输只有DR才会产生type2_LSA[R1]dis ospf lsdb network 查看Type2 LSA的具体信息Summary LSA(聚合LSA)在整个OSPF区域内,描述其他区域的链路信息以子网形式传播,类似直接传递路由只有ABR会产生type3_LSA[R1]dis ospf lsdb summary 查看Type3 LSA的具体信息描述ASBR的信息只有ABR才会产生TYPE4 LSA。
WebSocket断线重连机制:保障实时通信的高可用性
2401_82591622的博客
08-02 824
​​速度​​(快速恢复) vs ​​节制​​(避免压垮服务端)​​通用性​​(覆盖多场景) vs ​​定制化​​(适配业务需求)​​自动化​​(无缝恢复) vs ​​可控性​​(允许用户干预)​​终极建议​关键系统采用​​双心跳​​(协议层+应用层)结合​​指数退避​​ + ​​网络状态监听​​服务端实现​​会话无感迁移​​(如Redis存储Session)正如分布式系统名言:“不是考虑连接会不会断,而是何时断健壮的重连机制,正是实时应用的“生命线”。
组播 | 不同 VLAN 间数据转发实现逻辑 / 实验
u013669912的博客
07-31 1143
……
网络muduo库的实现(1
IKUN2333的博客
08-04 590
网络库实现的核心目标muduo 网络库成功的原因将解决的问题控制在一个范围内,不追求大而全。
【笔记】ROS1|5 ARP攻击Turtlebot3汉堡Burger并解析移动报文【旧文转载】
最新发布
shandianchengzi的博客
08-04 519
本文介绍了如何使用ARP攻击技术干扰Turtlebot3汉堡机器人的ROS通信。作者首先讲解了ARP协议的基本原理和攻击依据,然后通过实验演示了如何利用arpspoof工具实施ARP欺骗攻击,包括干扰普通主机上网和小车与控制机的通信。文章提供了详细的实验步骤和思考题,并建议读者在虚拟机环境下进行实践。实验结果显示,通过持续发送虚假ARP响应包可以成功劫持网络通信,开启IP转发后虽能恢复但会降低网速。最后作者还演示了如何解析被攻击机器人的移动控制报文。
Linux | 网络网络层(IP协议、NAT技术和ICMP协议)
是阿建吖!
08-04 1030
本篇文章讲解了 IP 协议、NAT 技术及 ICMP 协议相关知识。IP 协议通过协议格式规范数据传输,经传统分类编址与 CIDR 实现网段划分,依托路由器和路由表完成路由,并因 MTU 限制存在分片机制,但分片存在效率问题。NAT 技术通过映射表转换地址缓解公网 IP 短缺,却有通信局限,与代理服务器在功能和场景上差异显著,内网穿透可突破其限制。ICMP 协议承担网络诊断功能,Ping 命令基于此实现连通性检测,输出关键指标助力网络问题排查。
day25--网络基础3
a2354716112的博客
08-02 968
又称网间连接器,就是一个网络连接到另一个网络的“关口”。TCP协议的状态因特网层协议网络接入层ip地址:格式、分配、类型、分类子网掩码:子网划分、网关🍟🍟🍟🍟🍟抓包方式Linux常用网络命令🍟🍟🍟🍟🍟。
"House of Apple: 一种新的glibc中的IO攻击方法分析
House of apple 是一种新的 glibc 中 IO 攻击方法,旨在利用对 IO_FILE 结构体的伪造和对 IO 流的攻击来实现漏洞利用。在 glibc 高版本中,随着对__malloc_hook/__free_hook/__realloc_hook等 hook 全局变量的逐渐...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值