一道堆方向的pwn(double free & unsorted bins)

最新推荐文章于 2024-02-11 12:07:31 发布
最新推荐文章于 2024-02-11 12:07:31 发布
阅读量825 收藏 1
点赞数 1
分类专栏: pwn 文章标签: linux c++ pwn 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/F_Day_/article/details/120776218
版权
本文详细介绍了如何利用double free和unsorted bins在pwn题目中实现内存控制,包括double free的概念、堆数据结构的理解,以及通过unsorted bins获取libc基地址的过程。最终,通过覆盖got表调用system函数拿到shell。
摘要由CSDN通过智能技术生成

一道堆方向的pwn(double free & unsorted bins)

在某博客上看到了一道堆的题,博主说是入门的,嗯,那正好适合我,于是我花了一周终于出结果了。。。。。。
来看看我都遇到了什么问题
另外,希望你在看这篇文章之前有了解过堆的数据结构

做题环境

Ubuntu 20.04.3 LTS,这是我在微软商店下载的子系统,也是一切万恶之源的开始
题目:Roc826

什么是double free

希望在此之前,你已经知道什么是堆了。
double free就是对一个堆free两次
在堆中,free后堆有这么几个去向

bins 描述
tcachebins 存在与glibc2.7及以上版本,他的优先级比fastbins高
fastbins 是个单链表,存放几个定长的被释放的堆
unsortedbin 存的是不在前两个存储范围的被释放的堆

对于smallbins和largebins不做介绍,据说是在unsortedbin在被遍历的时候放入small或者large中的

根据大部分对double free的介绍来看,利用最多的就是第一次free,堆进入fastbins,第二次free后改变fd指针指向。
在做题时,由于我的子系统版本过高,glibc版本是2.31,因此存在tcachebins,也就是free之后的堆不会进入fastbins

  • 来个例子
int main()
{
   
        void *a = malloc(0x60);
        void *b = malloc(0x60);
        free(a);
        free(b);
        free(a);
        return 0;
}

gdb调试,执行两次malloc
在这里插入图片描述查看目前堆

Allocated chunk | PREV_INUSE
Addr: 0x8005290
Size: 0x71

Allocated chunk | PREV_INUSE
Addr: 0x8005300
Size: 0x71

继续跟进执行一次free
查看对结果如下,第一个堆状态为free,并且在tcache中

Free chunk (tcache) | PREV_INUSE
Addr: 0x8005290
Size: 0x71
fd: 0x00

Allocated chunk | PREV_INUSE
Addr: 0x8005300
Size: 0x71

再看看bins,可见tcachebins的优先级比fastbins高

pwndbg> bins
tcachebins
0x70 [  1]: 0x80052a0 ◂— 0x0
fastbins
0x20: 0x0
0x30: 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x0
0x80: 0x0
unsortedbin
all: 0x0

那么问题来了,tcachebins下的堆能进行二次free吗,我特意试了一下,不行,会报错,也就意味着高版本glibc做不了这道题,于是一天过去,我想到了换个glibc来调试。

换个版本的glibc来编译运行一下

gcc test.c -m64 -z execstack -fno-stack-protector -no-pie -o test -Wl,--rpath=dir/ -Wl,--dynamic-linker=dir/ld-linux-x86-64.so.2
//指定glibc版本编译

于是我再一次对这个程序进行调试,运行到第一次free后查看堆状态,可见第一个堆进入了fastbins

pwndbg> heap
Free chunk (fastbins) | PREV_INUSE
Addr: 0x405000
Size: 0x71
fd: 0x00

Allocated chunk | PREV_INUSE
Addr: 0x405070
Size: 0x71

查看bins,发现也不存在tcachebins

pwndbg> bins
fastbins
0x20: 0x0
0x30: 0x0
0x40:
最低0.47元/天 解锁文章
F_D。
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
fastbin attack + unsorted bin attack+ heap overflow+ double free fastbin + double free unlink
qq_39869547的博客
10-27 373
0x1 fastbin依靠单链表来组织的,管理结构始终维护一个指向最后一个chunk的指针(倒数第二个chunk的fd,通常情况这个fd指向的是下一个chunk起始地址)。这个指针决定了下一次要分配的chunk地址。 也就是说默认分配最好一个chunk给用户使用,同时最后一个chunk也是我们一开始第一个free掉的 0x2 我们的目的修改某一个chunk的fd ,这样我们就可以任意地址分配我们...
pwn1 一道pwn练习题
05-07
pwn练习题
pwn-double free
xy_369的博客
05-21 358
指针情况:(只连续free两次xy1不行,有检查机制,中间必须free一个同等大小的chunk才能绕过检查机制,检查机制)一个神奇的现象:xy1 中输入的数据同时也输进了 Top chunk。1、代码及编译指令(运行环境:ubuntu16.04)
sctf_2019_easy_heap off-by-null劫持IO_FILE,理解 0ctf2015 free_note unsortedbin-double_free使用
weixin_46521144的博客
08-14 316
分析以及漏洞点 本身off-by-null没什么可以再说的,但是这道题没有show函数,就必须想到要劫持IO_FILE。但是之前就一直有个问题就是既然unsortedbin中地址无法取出,怎么能写到tcache或者fastbin中?之前许多题目因为正好有类似的漏洞,但感觉不是很普世。这次只有一个off-by-null就实现了这一点,因此看完之后恍然大悟。明白了一般性的劫持IO_FILE泄露libc的方法。 关键点:构造chunk overlapping,之后用一个大的unsortedbin包裹住这个chun
Fastbin Double Free
钞sir的博客
01-19 5015
似水流年月下花前 一舞倾城醉红颜 岁暮天寒月缺花残 独留孤影忆从前 简介 fastbin attack 是一类漏洞的利用方法,是指所有基于 fastbin 机制的漏洞利用方法,而fastbin_double_free就是其中的一种,这类漏洞利用的前提是: 存在溢出、use-after-free等能控制chunk内容的漏洞 漏洞发生于fastbin类型的chunk中 Fastbin Double...
ctf-pwn tc和smallbindoublefree利用
蚁景网安学院
07-15 432
前言:之前曾经有了解过libc.2.31下tc和smallbin的联合利用, 但是那次看到的是malloc与calloc的使用, 所以这次借助TCTF2021的listbook来讲讲2.3...
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
一个实例讲解fastbins上的利用附件
09-06
1. **Double-free**:重复释放同一块内存,这可能导致fastbins链表中的混乱,使得攻击者可以控制内存布局。 2. **Fastbin corruption**:通过某种方式篡改fastbins链表的指针,将已释放的内存块链接到错误的位置,为...
CTF PWN 武器库题
12-12
1. **内存管理**:理解如何在Linux下使用malloc、free等函数进行内存分配和释放,以及它们在内存上的布局。 2. **Fastbin工作原理**:了解fastbin的结构,包括如何添加和移除内存块,以及fastbin双链表的工作...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
pwn刷题num46----fast bin double free (控制free chunk的fd指针指向,栈上伪造的fake chunk,修改栈上变量值)
tbsqigongzi的博客
05-03 1038
BUUCTF-PWN-metasequoia_2020_samsara 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 保护全开 动态链接 英文意思 打败魔龙后,你变成了魔龙…… 1. 抓捕一个人 2. 吃掉一个人 3. 煮一个人 4. 找到你的巢穴 5. 转移到另一个王国 6. 自杀 ida看一下伪代码 主函数 还有一个菜单函数 观察分析main函数,switch里case1每次申请chunk大小为0x20(mem为0x10), case
linux_pwn(2)--double free&&qwb2018_raisepig
azraelxuemo的博客
03-05 1333
文章目录What is double freepwn题例题add函数show函数delete函数开始做题准备框架调试泄露libcdouble freeexp总结 What is double free double free顾名思义,两次释放,在ctf里面一般就是对同一个内存块释放了两次,其实这个跟之前的uaf产生的方式有点类似,都是需要满足指针没有被置NULL ptr=malloc(0x10) ptr2=malloc(0x10) free(ptr) free(ptr2) free(ptr) 由于直接连续
由看雪.Wifi万能钥匙 CTF 2017 第4题分析linux double free及unlinking漏洞
小强的博客
09-01 1805
相关程序可以在这里下载:http://ctf.pediy.com/game-fight-34.htm 我是在ubuntu16 64位调试的 先说下知识点吧,简单的请参考我的上一篇文章:http://blog.csdn.net/qq_35519254/article/details/77532248 现在unlink函数加了个判断需要绕过: 即必须保证FD->bk = P
【CTF pwn】Windows下尝试栈溢出执行任意函数
hans774882968的博客
02-18 3986
buu-ciscn_2019_n_1是一道可以通过栈溢出修改变量为所需值的入门pwn。这题有两个解法,我受到这题的启发,搞一个Windows版本的小实验。 目标:执行函数func。 环境:Windows10,编译出的exe是32位的;小端存储。 编译命令:g++ 1.cpp -g -o 1.exe,g++版本: Thread model: win32 gcc version 8.2.0 (MinGW.org GCC-8.2.0-5) 作者:hans774882968以及hans774882968 文章目录
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 408
buuctf-pwn 001-016题wp
PWN-COMPETITION-HGAME2022-Week4
P1umH0的博客
02-18 413
PWN-COMPETITION-HGAME2022-Week4vector vector c++写的pwn,实现了vector,没有edit功能,新增了move功能 add或move时,如果输入的下标大于vector的size,vector会进行resize扩容 旧vector占用的chunk自动被free掉进入相应的bin,数据转移到新vector中 利用add时的vector扩容,free掉size大于0x410的chunk,使其进入unsorted bin,泄露libc 利用move时的vector扩
hg2020 pwn
doudoudedi
02-23 487
打了我就记录一下 (有点记不太清了有点久了~~) Annevi 这道题是做2次unlink然后写got表即可 #!/usr/bin/python2 from pwn import * local=0 if local==1: p=process('./Annevi') elf=ELF('./Annevi') libc=elf.libc else: p=remote('47.103.214....
从零开始学howtoheap:fastbins的double-free攻击实操3
最新发布
weixin_44626085的博客
02-11 880
how2heap是由shellphish团队制作的利用教程,介绍了多种利用技术,后续系列实验我们就通过这个教程来学习。环境可参见。
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2106
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值