use after free & double free利用

已于 2022-03-18 17:53:55 修改
阅读量378 收藏
点赞数
分类专栏: 二进制 文章标签: c++ 安全
于 2022-02-24 19:21:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Joliph/article/details/123118855
版权

在fastbin下的use after free & double free利用

double free + fastbin attack = 任意地址写
在malloc()时,当用户所要求内存大小在 fastbin 的大小范围时,malloc()优先从fastbin中拿出chunk
规则:释放堆插入到head后的第一个chunk;分配堆释放head后的第一个chunk

  1. 初始状态
    [head]—>[chunk1:next,…]—>[chunk2:null]
  2. 此时申请了两个堆:
    [head]—>null
  3. 先释放chunk1,再释放chunk2:
    [head]—>[chunk2:next,…]—>[chunk1:null]
  4. 如果有doublefree漏洞重复释放了一次chunk1:释放chunk则head指向该chunk,被释放的chunk的next指针指向当前的第一个chunk
    [head]—>[chunk1:next,…]—>[chunk2:next,…]—>[chunk1:next,…]…链表循环了
  5. 此时申请一个chunk:head指向第一个chunk的next,同时将第一个chunk指针返回给用户
    [head]—>[chunk2:next,…]—>[chunk1:next,…]用户手里拿到了还在链表中的chunk1的修改权,修改改chunk1的next值为targetpointer
  6. 再申请一个chunk
    [head]—>[chunk1:targetpointer]
  7. 再申请一个chunk
    此时拿到了targetpointer地址作为new的返回值,从而实现任意地址写

总结:double free会在链表中构造出循环,循环意味着会多次分配到同一块chunk,第一次分配到的chunk可以写入修改其next域为
任意写的目标地址,第二次分配到改chunk后head指向的就是target地址,此时再进行一次分配即可拿到目标地址
实际攻击测试:https://blog.csdn.net/qq_40827990/article/details/86555028
为啥不直接对目标地址写入呢,因为被攻击程序没有这样的接口,但是攻击函数可能会存在申请内存并向其写入数据的接口,所以需要辗转利用

use after free + fastbin a = 任意地址写原理
申请一个chunk然后释放掉,然后像其第一个字段(next)写入目标地址,申请chunk(此后与df利用一致)
核心原因:free掉的chunk实际依然有效,并非free之后地址即无效所以可以持有链上的地址

Istaroth
关注
专栏目录
Double free 漏洞复现与利用
vivid_moon的博客
05-29 5680
2018体系结构安全大作业申明:转载请注明出处选题:2015 年 0ctf 题题目描述:提供记事本功能的二进制文件,找出其漏洞,get shell第一章 操作说明为方便老师审核作业,本报告将操作说明放在第一章。操作流程如下:1 、安装 netcat 。2 、安装 pwntools 库。命令: pip install pwntools (安装过程中,一定要保证网络畅通,曾经因为网不好装这个库装了一个...
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 2万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
double free/use after free/memory leak
qq_36281031的博客
12-06 1137
一、Double Free 双重释放,程序对同一个指针指向的内存重复释放free()了两次。 利用原理 Linux下堆分配器ptmalloc2主要由两个结构管理堆内存,一种是堆块头部形成的隐式链表(chunk结构内的隐式指向),另一种是管理空闲堆块的显式链表(Glibc中的bins数据结构)。 free函数在释放堆块时,会通过隐式链表判断相邻前、后堆块是否为空闲堆块;如果堆块为空闲就会进行合并,然后利用Unlink机制将该空闲堆块从Unsorted bin中取下。 unlink就是把一个双向链表中的空
ctf-pwn tc和smallbin的doublefree利用
蚁景网安学院
07-15 443
前言:之前曾经有了解过libc.2.31下tc和smallbin的联合利用, 但是那次看到的是malloc与calloc的使用, 所以这次借助TCTF2021的listbook来讲讲2.3...
初学堆 UAF漏洞及double free 利用手法(libc2.23)
weixin_66751120的博客
03-06 1227
UAF漏洞及double free 利用手法(libc2.23) 通过一道例题加深理解
【二进制安全】堆漏洞:Double Free原理
Juruo@Security
08-01 1246
【二进制安全Double Free原理
从两道基础题简单认识和了解fastbin double free漏洞的利用
weixin_44864859的博客
07-13 1037
fastbin double free原理 Fastbin Double Free 是指 fastbin 的 chunk 可以被多次释放,因此可以在 fastbin 链表中存在多次。这样导致的后果是多次分配可以从 fastbin 链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆 (type confused) 的效果。(即可以构造假的chunk实现任意地址写) Fastbin Double Free 能够成功利用主要有两部分的原因 fastbin 的堆块被释放后
fastbin 利用小结之fastbin double free, house of spirit
chenzhenyu1983的博客
04-23 1478
fastbin 利用小结之fastbin double free, house of spirit1、fastbin chunk 结构未分配的chunk|         |  size  ||  fd  |         |已分配chunk|       |   size  ||    content     | ……malloc返回的指针指向content位置 2、Fastbin Doub...
Double Free浅析
这里没人
05-14 1万+
最近在研究一些堆上面的漏洞。然后某一天骑自行车在路上跑的时候我突然悟出了Double Free的真谛。 2333好像太中二了一点,我是根据堆溢出的利用方法启发,再结合linux中libc的源码。研究出了double free利用方法。虽然有关double free利用技巧已经不是一个秘密。不过好像很少有相关的中文的介绍,所以以一个初学者的角度来讲解一下double free漏洞的利用方法。 ...
玩转堆-堆漏洞的利用技巧.docx
01-10
堆溢出的利用技术包括 Use After Free & Double Free、Heap Overflow、Fast bin attack、Unsorted bin attack、Overwrite Topchunk、Classical&Modern Unlink Attack、Off by one & Off by null 等。其中,Use After...
use after free 引起KE
兰宝的专栏
10-12 827
问题背景: 待机状态下,按Power键或者自动进入休眠,必现KE。 分析过程: 取出mtklog看到有db产生,确实发生了KE(kernel exception),取出db和vmlinux (必须是和当前软件是同一次编译的)后,使用GAT工具解开db,取出SYS_MINI_RDUMP,使用 gdb调试: $ arm-linux-androideabi-gdb v
堆溢出----Use After Free
qq_42192672的博客
10-23 4803
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 不得不说有些被坑的感觉,Off-By-One也太难了,问了下大神,我觉得还是先把这个弄懂,那篇学习记录我就先咕咕咕了 以下截图来自CTFWIKI,感觉说的概念挺明确的 从这里我深刻体会到了栈和堆的不同,以及堆的困难,没有EIP给我直接...
Use After Free
仙某某的仙女
04-19 2415
use after free free之后的变量,该变量的堆内存处的内存指针还在指向该内存处,所以当我们下一次申请同样大小的变量时,可以申请到上一个变量的位置 使用gdb可视化观察堆 free() 观察堆 set disassembly-flavor intel set pagination off disassembly main info proc mapping 查看内存映射 deine hook-stop x/56wx 0x8..
探索安全漏洞:如何利用双重释放(Double-Free) - [项目链接](https://gitcode.com/stong/how-to-exploit-a-double-free?utm_source=artical_gitcode)
最新发布
gitblog_00045的博客
04-25 504
探索安全漏洞:如何利用双重释放(Double-Free) - 项目链接 项目地址:https://gitcode.com/stong/how-to-exploit-a-double-free 该项目由开发者stong创建,旨在深入探讨和教育用户关于软件安全中的一个常见漏洞:双重释放(Double-Free)。通过学习这个项目,您可以理解这种漏洞的工作原理,以及如何在实践中发现和利用它,这对于任何对...
Glibc堆利用-Double Free
pointerr的博客
10-24 322
Glibc堆利用-Double Free 漏洞成因:使用完一个chunk之后,只是free掉了指针,没有将内容置null 漏洞结果:可以实现任意地址的写功能。 0x01 这里我们采用了师傅的样例程序,先检查该程序: 看到:保护全开,使用ida进行反编译分析: 发现经典菜单栏:并且实现了以下功能: void __fastcall main(__int64 a1, char **a2, char **a3) { int v3; // ebx int v4; // [rsp+Ch] [rbp-44h]
力扣经典题 <链表反转> 解决报错heap-use-after-free
mc10141222的博客
03-27 1259
给定单链表的头节点 head ,请反转链表,并返回反转后的链表的头节点。 示例 1: 输入:head = [1,2,3,4,5] 输出:[5,4,3,2,1] 示例 2: 输入:head = [1,2] 输出:[2,1] 示例 3: 输入:head = [] 输出:[] 提示: 链表中节点的数目范围是 [0, 5000] -5000 <= Node.val <= 5000 来源:力扣(LeetCode) 链接:https://leetcode-cn.com/problems/UHnk.
CWE-416: Use After Free(释放后使用)
plstudio1的博客
04-23 1746
ID: 416 类型:基础 结构:简单 状态:草稿 描述 释放内存后引用内存可能导致程序崩溃、使用意外值或执行代码。 扩展描述 取决于缺陷的实例化应及发生的时点,使用释放的内存可能会产生许多不利的后果,从损坏有效数据到执行任意代码。 发生数据损坏的最简单方法是重新使用释放的内存。释放后使用有两个常见的,有时是重叠的原因: ...
好好说话之Use After Free
hollk’s blog
09-28 4923
到了Use After Free啦,总体来说这种手法并不复杂,特征也很明显,就是在静态分析阶段观察释放chunk之后指针是否置空。本以为参加hw会往后拖更,没想到这么快就写完了。如果前面一直跟着学的话这部分也应该难不到你,我会在接下来的Fastbin Attack等你,加油~
free(): double free detected in tcache 2
04-06
This error message indicates that the program is attempting to free memory that has already been freed. This can lead to memory corruption and other issues. To fix this error, you will need to carefully review the code and ensure that all memory allocation and deallocation operations are properly managed. Specifically, you should check that: - Memory is only freed once - Pointers are not used after they have been freed - Memory is not accessed after it has been freed You may also want to use a tool like Valgrind to help identify the source of the error. Valgrind can detect memory leaks, buffer overflows, and other memory-related issues that can lead to this error message.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值