House of Orange 漏洞利用技术详解<\/h1>

一、概述<\/h2>
House of Orange 是一种针对 glibc 堆管理机制的漏洞利用技术，最早出现在 2016 年的 Hitcon CTF 比赛中。该技术可以在没有 free() 函数的情况下实现堆利用，通过精心构造的堆操作触发系统调用 `_int_free<\/code>，最终实现任意代码执行。<\/p>`

二、前置知识<\/h2>
1. 关键堆管理机制<\/h3>

Top Chunk<\/strong>: 堆内存中未被分配的顶部区域，当现有堆空间不足时会从这里分割<\/li>
Unsorted Bin<\/strong>: 释放的小块内存首先进入的 bin，用于快速重新分配<\/li>
File Stream Oriented Programming (FSOP)<\/strong>: 通过控制 FILE 结构体实现代码执行的技术<\/li>
<\/ul>
2. 相关数据结构<\/h3>
struct<\/span> _IO_FILE {
<\/span><\/span>  int<\/span> _flags;       \/* High-order word is _IO_MAGIC; rest is flags. *\/<\/span>
<\/span><\/span>  char<\/span>*<\/span> _IO_read_ptr;   \/* Current read pointer *\/<\/span>
<\/span><\/span>  char<\/span>*<\/span> _IO_read_end;   \/* End of get area. *\/<\/span>
<\/span><\/span>  char<\/span>*<\/span> _IO_read_base;  \/* Start of putback+get area. *\/<\/span>
<\/span><\/span>  char<\/span>*<\/span> _IO_write_base; \/* Start of put area. *\/<\/span>
<\/span><\/span>  char<\/span>*<\/span> _IO_write_ptr;  \/* Current put pointer. *\/<\/span>
<\/span><\/span>  char<\/span>*<\/span> _IO_write_end;  \/* End of put area. *\/<\/span>
<\/span><\/span>  char<\/span>*<\/span> _IO_buf_base;   \/* Start of reserve area. *\/<\/span>
<\/span><\/span>  char<\/span>*<\/span> _IO_buf_end;    \/* End of reserve area. *\/<\/span>
<\/span><\/span>  \/* ... *\/<\/span>
<\/span><\/span>};
<\/span><\/span><\/code><\/pre>三、利用步骤详解<\/h2>
1. Top Chunk 利用部分<\/h3>

分配堆块<\/strong>：首先分配足够大的堆块，使得后续分配需要扩展堆<\/li>
修改 Top Chunk Size<\/strong>：通过堆溢出或其他漏洞修改 Top Chunk 的 size 字段

需要满足：size > MINSIZE<\/code>、size < av->system_mem<\/code>、size 需要页对齐<\/code><\/li>
<\/ul>
<\/li>
触发 _int_free<\/code><\/strong>：当再次分配内存时，系统会检查 Top Chunk 是否足够，不足时会调用 sysmalloc<\/code>

如果 Top Chunk 的 size 被修改为非法值，sysmalloc<\/code> 会调用 _int_free<\/code> 释放这个 Top Chunk<\/li>
<\/ul>
<\/li>
<\/ol>
2. Unsorted Bin Attack 部分<\/h3>

Top Chunk 进入 Unsorted Bin<\/strong>：通过上述操作，Top Chunk 被释放到 Unsorted Bin<\/li>
修改 FD\/BK 指针<\/strong>：利用堆漏洞修改 Unsorted Bin 中 chunk 的 bk 指针<\/li>
触发分配<\/strong>：下次分配时，glibc 会从 Unsorted Bin 中取出 chunk 并错误地写入主 arena 地址

这可以用来修改 _IO_list_all<\/code> 等关键全局变量<\/li>
<\/ul>
<\/li>
<\/ol>
3. FSOP 部分<\/h3>

伪造 FILE 结构体<\/strong>：在可控内存区域构造伪造的 FILE 结构

设置 _flags<\/code> 为 _IO_MAGIC<\/code> (0xFBAD0000)<\/li>
设置 vtable<\/code> 指针指向可控区域<\/li>
<\/ul>
<\/li>
触发异常处理<\/strong>：通过构造的 FILE 操作链触发异常处理流程

通常利用 _IO_OVERFLOW<\/code> 函数指针<\/li>
<\/ul>
<\/li>
获取控制流<\/strong>：当程序调用如 exit()<\/code> 或 abort()<\/code> 时会遍历 FILE 链表，执行伪造的函数指针<\/li>
<\/ol>
四、关键点分析<\/h2>


Top Chunk 大小修改约束<\/strong>：<\/p>

必须页对齐（通常 0x1000 对齐）<\/li>
必须大于 MINSIZE<\/code> (0x10 on 32-bit, 0x20 on 64-bit)<\/li>
必须小于 av->system_mem<\/code>（通常 0x21000）<\/li>
<\/ul>
<\/li>

Unsorted Bin Attack 目标<\/strong>：<\/p>

修改 _IO_list_all<\/code> 指向伪造的 FILE 结构<\/li>
修改 global_max_fast<\/code> 可以启用 fastbin attack<\/li>
<\/ul>
<\/li>

FSOP 构造技巧<\/strong>：<\/p>

需要绕过 _IO_flush_all_lockp<\/code> 中的检查<\/li>
vtable<\/code> 需要指向合法内存区域（可通过 smallbin attack 控制）<\/li>
<\/ul>
<\/li>
<\/ol>
五、防御措施<\/h2>


glibc 防护机制<\/strong>：<\/p>

_IO_vtable_check<\/code>：验证 vtable 的合法性<\/li>
更严格的 size 检查<\/li>
<\/ul>
<\/li>

缓解措施<\/strong>：<\/p>

更新到最新版 glibc<\/li>
启用 ASLR 和堆保护机制<\/li>
使用 hardened malloc 实现<\/li>
<\/ul>
<\/li>
<\/ol>
六、实际利用示例<\/h2>
from<\/span> pwn import<\/span> *<\/span>
<\/span><\/span>
<\/span><\/span># 1. 分配堆块耗尽现有空间<\/span>
<\/span><\/span>alloc(0x400<\/span>)  # 假设存在分配函数<\/span>
<\/span><\/span>
<\/span><\/span># 2. 溢出修改top chunk size<\/span>
<\/span><\/span>overflow(payload=<\/span>b<\/span>'A'<\/span>*<\/span>offset +<\/span> p64(fake_size))
<\/span><\/span>
<\/span><\/span># 3. 触发sysmalloc<\/span>
<\/span><\/span>alloc(0x1000<\/span>)  # 需要大于修改后的top size<\/span>
<\/span><\/span>
<\/span><\/span># 此时top chunk被释放到unsorted bin<\/span>
<\/span><\/span># 后续可进行unsorted bin attack和FSOP构造<\/span>
<\/span><\/span><\/code><\/pre>七、总结<\/h2>
House of Orange 技术展示了如何通过精心构造的堆操作在没有显式 free 的情况下实现内存释放和利用。该技术结合了多种堆利用技巧，是理解现代堆漏洞利用的重要案例。防御方面，除了保持系统更新外，还需要注意对用户输入进行严格校验，防止堆溢出等漏洞的发生。<\/p>