[pwn]堆:fastbin attack详解

最新推荐文章于 2024-09-13 21:42:25 发布
最新推荐文章于 2024-09-13 21:42:25 发布
阅读量1.6w 收藏 54
点赞数 27
分类专栏: ctf # ctf-pwn 二进制 文章标签: 安全 网络安全 二进制安全 pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Breeze_CAT/article/details/103788698
版权

[pwn]fastbin attack

文章目录

fastbin attack原理

fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double free、use after free和chunk extend连用。

首先简单介绍一下fastbin的分配流程:

fastbins是管理在malloc_state结构体重的一串单向链表,分为0x20-0x807个链表(默认情况下)。每个表头对应一个长度不超过4个的单向链表。

  • 每次释放对应大小的堆块都会被连入对应大小的链表中(链表长度<4)。
  • 每次分配会优先从fastbins中分配对应大小的区块。

如下图:
在这里插入图片描述
由chunk的bk指针域指向下一个空闲fastbin堆块,最后一个空闲堆块的bk指针为0。申请堆块的时候会将表中第一个堆块分配,然后表头指向第一个堆块指向的下一个堆块,如下图:
在这里插入图片描述
如果下一个堆块为0就说明分配完了,表头指向空即可。关于fastbin的更详细信息和chunk结构等可以参阅《ptmalloc源码分析》。接下来就三种典型的可以利用fastbin attack的漏洞进行简单介绍

double free

double free+fastbin attack的利用场景通常是这样的,当程序有double free漏洞时,我们通过申请两个fastbin大小的堆块1和2,还是以0x30举例,然后分别释放chunk 1和chunk 2,fastbin的链表结构就会如下图:
在这里插入图片描述
这时由于有double free漏洞,再释放chunk 1,链表就会变成这样一个循环链表:
在这里插入图片描述
表头指向chunk1,chunk1指向chunk2,chunk2又指回chunk1。那么这时按照如下步骤:

  • 申请一个new chunk 1:
    在这里插入图片描述
  • 将new chunk 1的指针域修改为要修改的地址-0x10以上:
    在这里插入图片描述
  • 申请一个new chunk 2:
    在这里插入图片描述
  • 再申请一个new chunk 3(new chunk 3是和new chunk 1重合的)
    在这里插入图片描述
  • 这时可以发现,fastbin链表已经指向了我们想要修改的地址了,只要再申请一个堆块就会申请到想要修改的地址,然后只要编辑这个堆块便可完成任意地址写。
use after free

use after free来利用fastbin attack也非常简单。首先,申请一个对应fastbin区间内的堆块并释放:
在这里插入图片描述
接着利用use after free将这个已释放堆块的指针域修改,修改为想要修改的地址:
在这里插入图片描述
然后和double free的后半段类似,再申请两个堆块便可申请到想要修改的地址处,之后编辑即可。

chunk extend

chunk extend是一种限制比较少的堆利用方式,通常通过off by one或off by null或者其他堆溢出来利用。

chuank extend利用需要的条件是:

  1. 可以进行堆布局
  2. 可以溢出至少一个字节

chunk extend的原理是,首先申请三个堆块:
在这里插入图片描述
这里size 0x18是堆块的大小,1是前一个堆块占用位,先通过编辑堆块A然后通过off by one来溢出到堆块B的size域,并将其修改为0x18+0x18+1(其实就是size B+size C,然后前一个堆块占用1):
在这里插入图片描述
这时释放堆块B,由于大小在fastbins中,所以(堆块C的)下一个堆块的前一个堆块使用位不会被置0,再释放C,arena中对应的bins就会指向B和C,如图:
在这里插入图片描述
这时只要再申请一个0x40的大小的堆块,就可以将B+C这个“合成”堆块申请回来,然后就可以操作还在bins中的C堆块C了,将其指针为修改为想要任意写的地址,如free_got:
在这里插入图片描述
然后再申请一个大小为0x20的堆块,将C申请回来,这时bins就会指向freegot,接下来再申请空间就会申请到freegot了:
在这里插入图片描述
再次申请一个0x20大小的堆块就会申请到free_got所在的地方,这时就可以修改为任意的值了。

需要注意的点

在申请fastbin时会有两个检测:

  • 检测你要malloc的freechunk的大小是否在该chunk所在的fastbin链的大小尺寸范围内
  • 检测你这个freechunk的size成员的PREV_INUSE为是否为1,为1才可以通过检测(libc2.23没有)

而以libc-2.23为例,如果想要使用fastbin attack来修改malloc_hook为onegadget的话,只是将修改地址写成malloc_hook_addr-0x10是通过不了检验的,一个固定用法是修改成malloc-0x23,下面通过一道题来演示一下chunk extend来利用fastbin attack修改malloc为onegadget的。

0ctf:babyheap

题目:0ctfbabyheap
首先查看安全策略:
在这里插入图片描述
全开,基本堆题目日常操作。然后逆向查看程序逻辑:

在这里插入图片描述
基本就是一个典型的堆题目,可以自由

最低0.47元/天 解锁文章
pwn 入门之fastbin attack
清霂的博客
04-02 374
目录floworeo b站原本有一个对基础讲的挺好的,好像叫pwn术进阶的溢出,但刚刚去看已经没了,好家伙,还好我刚看完,哈哈哈。 flow 涅普计划-ctf入门课溢出 #!/usr/bin/env python2 from pwn import * context(os="linux", arch="amd64", log_level="debug") #libc libc=ELF("libc.so.6") malloc_libc=libc.symbols['__malloc_hook'] m
溢出----Fastbin Attack
qq_42192672的博客
10-23 1532
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/fastbin_attack/                   https://www.anquanke.com/post/id/85357 之前稍微了解了一波Use After Free ,运用了fastbin,这次继续学一下fastbin的其他攻击方式,希望能学会...
fastbin attack
m0_64195960的博客
07-19 1472
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个块,相当于多个指针指向同一个块,结合块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
fastbin attack快速入门
abelxu
11-13 1310
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
【我的 PWN 学习手札】Fastbin Attack
Mr_Fmnwon的博客
09-13 911
Fastbin Attack主要是利用了Fastbin单链表管理,如果能够利用UAF等漏洞,将Fastbin链表上的free chunk的fd写数据,即可实现任意地址分配,进而实现任意地址读写 本篇涉及到的保护机制只有一个:取出的fastbin chunk,size应该在对应取出的fastbin范围内 二、利用手法 (1)分配到任意地址(__malloc_hook周边) 通过修改free chunk的fd指针造成分配到任意地址, 需要满足size条件。通过任意地址写来利用getshell,劫持ho
Fastbin attack
aoque9909的博客
06-25 486
Fastbin Attack 暂时接触到了两种针对分配机制中fastbin的攻击方式,double free和house of spirit Double free 基本原理 与uaf是对free之后的指针直接进行操作不同,double free通过利用fastbin的分配机制,改写在fastbin中的chunk,实现对指定内存的块分配。 先正常释放chunk1和c...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
网络安全基于XGCTFPWN挑战:64位IDA逆向与漏洞利用技术解析及EXP编写示例
最新发布
04-05
内容概要:本文档详细介绍了四个CTF挑战题目的解题思路与利用方法,涵盖程序保护机制分析、漏洞挖掘及构造利用载荷(payload)。第一个题目通过控制缓冲区数据和虚表指针,绕过检查执行命令;第二个题目利用格式化...
Fastbin attack总结
WateranFire的博客
10-12 314
double free 思路: 构造fake chunk,将free chunk的fd指向fake chunk,使得下次malloc时返回fake chunk 检测: (1)fastbin 在执行 free 的时候仅验证了 main_arena 直接指向的块,即链表指针头部的块。对于链表后面的块,并没有进行验证。 (2)malloc申请伪造的fastbin时会检测fastbin的SIZE 流程: a1=malloc(); a2=malloc(); free(a1); free(a2); //
BUUCTF[PWN][fastbin attack]
yjh_fnu_ltn的博客
07-07 1299
在0x00000000006020E0-0x33处刚好有一个空间中存储着0x7f,可以将地址0x6020ad作为伪造,那么0x7f就是size字段的值了,只要我们申请的空间为。先申请三个,大小为0x68(实际分配的大小为0x7f),再释放掉heap2,利用heap2进行fastbin attack,实行任意地址申请(刚才找到的伪造)后面直接编辑heap0,就能将free的got表上的值,修改为system的plt。之所以不直接覆盖为system的got表是因为函数调用的过程,如果之前。
判断unsigned long long乘法溢出_二进制安全溢出(系列)—— fast bin attack
weixin_39768444的博客
11-25 94
本文是二进制安全溢出系列的第八章节,主要介绍fast bin attack。原理从fastbin中分配块的检测机制if (__builtin_expect (victim_idx != idx, 0)) //检查当前所属idx的size和target的size是否匹配 malloc_printerr ("malloc(): memory corruption (fast)"); do_che...
PWN-fastbin attack
Rt1Text的博客
08-14 208
无符号整型,整数溢出。
pwnfastbin attack
weixin_43960998的博客
07-06 234
1、0ctf2017-babyheap from pwn import * import sys binary = "./pwn" context.log_level = "debug" context.binary = binary context.arch = "amd64" elf = ELF(binary) local = 1 if local: p = process(binary) libc = elf.libc # p = process(binary, env=
漏洞 - Fastbin attack
m0_52343643的博客
04-06 409
漏洞发生于fastbin的chunk,且存在溢出、use-after-free 等能控制 chunk 内容的漏洞。
常回家看看之fastbin_attack
susu_xiaosu的博客
08-03 533
fastbin属于小块的管理,这里说的fastbin_attack大多指glibc2.26之前的手法,因为自glibc2.26以后,glibc迎来了一位新成员tcachebin,它减少了的开销,使管理变得迅速而高效,而且申请的小块会优先进入tachebin中,只有tachebin其中一个链表满了再次申请一个相同大小的块,若是小块再次free会进入fastbin中。
利用学习之fastbin attack
Hpasserby的博客
10-06 791
原理 fastbin attack是一类漏洞的利用方法,是指所有基于 fastbin 机制的漏洞利用方法。主要利用了fast bin的单链表管理机制。 相关源码: malloc: /* If the size qualifies as a fastbin, first check corresponding bin. This code is safe to execute ev...
linux内存管理深入分析,【技术分享】Linux溢出之Fastbin Attack实例详解
weixin_29231263的博客
04-30 386
v预估稿费:400RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿1. 摘要在近几年各大CTF比赛中,看到有很多次pwn类别题中出现fastbin攻击的情况,例如今年的defcon,RCTF,胖哈勃杯,0CTF final等等 ,fastbin attack漏洞利用中十分常用、易用且有效的一种攻击方式,在网上的中文资料中,对其原理上进行讲述的文章有一些,但详细讲述如何...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值