【我的 PWN 学习手札】malloc_init_state attack

已于 2024-10-24 09:11:00 修改
阅读量1k 收藏 9
点赞数 11
分类专栏: 【我的 PWN 学习手札】 文章标签: 1024程序员节
于 2024-10-24 09:08:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/143199528
版权

 glibc2.27以后,该方法失效。另:部分资料参考看雪学院

目录

前言

一、malloc_init_state

二、思路与调试

(一)任意地址写地址实现写入数值0

(二)largebin attack写入数值0

(三)perturb_byte 

(四)多次利用largebin attack写入数值0

(五)再次largebin attack写入数值0

(六)设置last_remainder

(七)malloc大堆块触发malloc_consolidate - malloc_init_state

三、测试与模板 

(一)pwn.c 

(二)exp.py

前言

malloc_consolidate 会根据 global_max_fast 是否为 0 来判断 ptmalloc 是否已经初始化,因此如果能 通过任意地址写将 global_max_fast 置 0 然后触发 malloc_consolidate 就可以调用 malloc_init_state。

一、malloc_init_state

malloc_consolidate主要有两个功能

  1. 若 fastbin 未初始化,即 global_max_fast 为 0,那就初始化 malloc_state。
  2. 如果已经初始化的话,就合并 fastbin 中的 chunk。 

可以参考: 

// malloc_consolidate逻辑
if (get_max_fast () != 0) {
    //global_max_fast不为0,表示ptmalloc已经初始化
    //...
} else {
    //如果global_max_fast为0
    malloc_init_state(av);
    //非debug模式下该宏定义为空
    check_malloc_state(av);
}

在 malloc_init_state 中,清空bin后,会将top_chunk的指针指向main_arena:

static void malloc_init_state (mstate av) {
    int i;
    mbinptr bin;
    for (i = 1; i < NBINS; ++i) {
        bin = bin_at (av, i);
        bin->fd = bin->bk = bin;
    //遍历所有的bins,初始化每个bin的空闲链表为空,即将bin的fb和bk都指向bin本身
    }
    #if MORECORE_CONTIGUOUS
        if (av != &main_arena)
    #endif
    set_noncontiguous (av);
    //对于非主分配区,需要设置为分配非连续虚拟地址空间
    if (av == &main_arena)
        set_max_fast (DEFAULT_MXFAST);
        //设置fastbin中最大chunk大小
        //只要该全局变量的值非0,也就意味着主分配区初始化了
    av->flags |= FASTCHUNKS_BIT;
    //标识此时分配区无fastbin
    av->top = initial_top (av);
    //#define initial_top(M) (unsorted_chunks(M))
    //#define unsorted_chunks(M) (bin_at(M, 1))
    //#define bin_at(m, i) (mbinptr)(((char *) &((m)->bins[((i) - 1) * 2])) - 
    offsetof (struct malloc_chunk, fd))
    //暂时把top chunk初始化为unsort chunk,仅仅是初始化一个值而已,这个chunk的内容肯定不能用于top chunk来分配内存,主要原因是top chunk不属于任何bin,但ptmalloc中的一些check代码可能需要top chunk属于一个合法的bin
}

事实上,此时 top chunk 的地址为 &av->bins[0] - 0x10 ,且 size 为之前的 last_remainder 的值(通常来说堆指 针都会很大),只要不断 malloc ,就可以分配到 hook 指针,实现劫持。 

二、思路与调试

我们的整体思路,核心是触发consolidate中的malloc_init_state分支,也就是

get_max_fast () == 0

(一)任意地址写地址实现写入数值0

如果我们有任意地址写任意值的能力,自然可以在global_max_fast上写数值0。

如果更严苛一些,利用一些已有漏洞,如何实现覆写global_max_fast为0呢。我们知道,在64位程序中,堆地址、libc地址的高两个字节总是为0,我们可以通过错位的方式来写入0

什么手法可以任意地址写一个libc地址或者堆地址呢?unsortedbin attack或者largebin attack。鉴于largebin attack所需要修改的地址都在堆上,比较方便多次控制,所以通过largebin attack是写入0的一般方式。

利用方式例如:0x00007f12345678是写入某个内存区域的一个“指针”数据

通过错位:0x0000000000000000,

最低0.47元/天 解锁文章
pwn利用的一些姿势 -- malloc_hook
lifanxin的博客
04-12 4649
  在做题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell。因此也就有了我这一系列文章的目的,在got表无法被修改时,我们往往利用的就是下面的一些hook+one
Glibc:浅谈 malloc_consolidate() 函数具体实现
加号减减号的博客
02-22 1万+
简介 源代码 分析 0x00 - 未初始化则初始化 0x01 - 已初始化则清空 fastbin 总结 简介 malloc_consolidate() 函数是定义在 malloc.c 中的一个函数,用于将 fastbin 中的空闲 chunk 合并整理到 unsorted_bin 中以及进行初始化的工作,在 malloc() 以及 free() 中均有可能调用 m...
ptmalloc源码分析 - 分配区状态机malloc_state(02)
自娱自乐的代码人
11-04 4万+
分配器状态机结构malloc_state ptmalloc通过malloc_state的状态机来管理内存的分配。当用户层调用malloc/free等函数的时候,都会通过ptmalloc内核模块进行内存的分配,每一块从操作系统上分配的内存,都会使用malloc_state结构体来管理。 /** * 全局malloc状态管理 */ struct malloc_state { /* Serialize access. 同步访问互斥锁 */ __libc_lock_define (, mutex)
ptmalloc源码分析 - ptmalloc的初始化实现(01)
热门推荐
自娱自乐的代码人
11-03 4万+
前几年阅读过华庭的《glibc内存管理ptmalloc源代码分析》文章,并做过一篇笔记 今年打算重点阅读一下glibc里面,malloc部分的具体实现机制。 ptmalloc简介 Linux早期的版本,是由Doug Lea实现的,但是早期的版本有一个问题,就是没办法处理多线程下并发分配和回收的高效和正确性。Wolfram Gloger在Doug Lea的基础上改进使得Glibc的malloc
pwn刷题num46----fast bin double free (控制free chunk的fd指针指向,栈上伪造的fake chunk,修改栈上变量值)
tbsqigongzi的博客
05-03 1132
BUUCTF-PWN-metasequoia_2020_samsara 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 保护全开 动态链接 英文意思 打败魔龙后,你变成了魔龙…… 1. 抓捕一个人 2. 吃掉一个人 3. 煮一个人 4. 找到你的巢穴 5. 转移到另一个王国 6. 自杀 ida看一下伪代码 主函数 还有一个菜单函数 观察分析main函数,switch里case1每次申请chunk大小为0x20(mem为0x10), case
python123平台作业答案第十二周_【2018年 网鼎杯CTF 第二场】红日安全-网鼎杯WriteUp(24日 更新:web详解)...
weixin_39607836的博客
11-24 1485
本次比赛主要由红日安全ctf小组奋力拼搏,才可以拿到第二场第四的成绩。感谢他们的付出,才可以让我们看到精彩的wp1.签到题2.虚幻题目提示汉信码。使用 binwalk 提取出 9 张图,拼接成如下用 stegsolve 取 R7 保存并取反色补上汉信码的 4 个角,扫描即可获得 flag3.calc题目如下,这是一个计算器,可以执行一些简单的算式。题目提示正则有问题,所以正则应该是可以绕过的。我们...
DSCTF pwn 部分wp
N1rvana的博客
07-15 786
DSCTF pwn wp
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
在这个项目中,你可以通过学习和分析提供的C代码,理解如何初始化和操作单片机的定时器来生成PWM信号。同时,利用Proteus的仿真功能,可以直观地看到程序运行的效果,加深对PWM工作原理的理解。这不仅有助于提升你的...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
house of pig
yjh_fnu_ltn的博客
08-29 1089
House of Pig 是一个将 T和FSOP结合的攻击,同时使用到了进行辅助。主要适用于 libc 2.31 及以后的新版本 libc 并且程序中仅有 calloc来申请chunk时。(因为 calloc 函数会跳过 tcache,无法完成常规的 tcache attack 等利用,同时,因为程序中没有 malloc 函数也无法在正常的之后,将放入 tcache 中的 fake chunk 给申请出来 )。house of pig 的核心其实是利用large bin attach。
长亭PWN笔记04
kelxLZ的博客
12-28 309
Fastbin attack Fast bin利用技术 Fast bin为单向链表,结构简单,容易伪造 为了提高效率,安全检查比较少 只针对Fast bin大小的chunk,small/large chunk不适用 利用思路 空闲Fast chunk如果发生溢出被覆盖,则链表指针fd可以被修改 可以通过修改链表指针fd,在Fast bin链表中引入伪造的空闲Fast chunk 下次分配时分配出伪造的Fast chunk 伪造的Fast Chunk可以在.bss全局变量处,也可以在栈上
linux在指定上分配内存,Linux内存管理深入分析(下)
weixin_33363265的博客
04-30 227
作者@走位,阿里聚安全0 前言回顾在上一篇文章中,详细介绍了内存管理中涉及到的基本概念以及相互关系,同时也着重介绍了中chunk分配和释放策略中使用到的隐式链表技术。通过前面的介绍,我们知道使用隐式链表来管理内存chunk总会涉及到内存的遍历,效率极低。对此glibc malloc引入了显示链表技术来提高内存分配和释放的效率。所谓的显示链表就是我们在数据结构中常用的链表,而链表本质上就是将一...
ptmalloc源码分析 - 主分配区和非主分配区Arena的实现(04)
自娱自乐的代码人
11-09 4万+
这里要注意的是,每次有线程调用分配malloc函数,都会对分配区进行加锁操作,多线程情况下竞争的时候没有获得主分配区的,则去freelist里面去找,找不到则创建一个新的非分配区,如果非分配区都创建满了,则需要等待。当arena满了之后就不再创建而是与其他arena共享一个arena,方法为依次给各个arena上锁(查看是否有其他线程正在使用该arena),如果上锁成功(没有其他线程正在使用),则使用该arena,之后一直使用这个arena,如果无法使用则阻塞等待。二、主分配区和非主分配区的数据结构。
dlmalloc 2.8.6 源码详解—[3]核心数据结构malloc_state
杏林小轩
12-04 2752
转载自:vector032.3 区段(segment)在dlmalloc的内部结构中,除了基础的chunk外,还存在一种粒度更粗的结构,称为区段(segment).之所以需要额外引入这种数据结构是为了提升对非连续内存的管理能力. dlmalloc将连续内存划分到一个segment中管理,而段与段之间则是不连续的,所有的段都由一个mspace统一去管理.如果用户程序创建了多个mspace,这些mspa
linux内存管理malloc分析(2)
dongyu_1989的博客
08-13 3690
前言 在上一篇文章中,详细介绍了内存管理中涉及到的基本概念以及相互关系,同时也着重介绍了中chunk分配和释放策略中使用到的隐式链表技术。通过前面的介绍,我们知道使用隐式链表来管理内存中chunk总会涉及到内存的遍历,效率极低。对此glibc malloc引入了显示链表技术来提高内存分配和释放的效率。 所谓的显示链表就是我们在数据结构中常用的链表,而链表本质就是将一些属性相同的“节点”串...
linux内存管理malloc分析(3)
dongyu_1989的博客
08-13 1003
Unsorted bin 当释放较小或较大的chunk的时候,如果系统没有将它们添加对应的bins中,系统就将这些chunk添加到unsorted bin中。为什么要这么做呢?这主要是为了让glibc malloc机制能够有第二次机会重新利用最近释放的chunk(第一次就是fast bins机制)。利用unsorted bin,可以加快内存的分配和释放操作,因为整个操作都不需要花费额外的时间去查...
富文本编辑器开发:Vue3+TipTap核心功能实现.pdf
05-14
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 Vue 3是一款备受瞩目的JavaScript框架,它采用了基于Proxy的响应式系统,显著提升了性能和调试能力。其Composition API带来了更高效的逻辑组织方式,使代码复用变得轻而易举。Tree-shaking支持让打包后的文件体积更小,进一步优化了应用性能。Vue 3还与TypeScript深度集成,提供了更完善的类型推导,让开发过程更加顺畅。无论是构建大型应用还是小型项目,Vue 3都能凭借其出色的性能和灵活的架构,帮助开发者高效完成任务,是现代Web开发的理想选择。
分类:多类别分类.pdf
最新发布
05-14
分类、阈值、混淆矩阵、准确率、召回率、精确率等教程和代码
pwn2_sctf_2016
02-16
### 关于 SCTF 2016 中 pwn2 题目的解析 在 SCTF (Security Capture The Flag) 2016 的比赛中,`pwn2` 是一道涉及栈溢出漏洞利用的题目[^1]。此题允许参赛者通过特定输入来覆盖返回地址并控制程序执行流程。 #### 漏洞环境描述 该挑战提供了一个存在缓冲区溢出缺陷的应用程序实例。应用程序接收用户输入作为处理对象,在缺乏适当边界检查的情况下将其复制到固定大小的内存区域中。这种设计使得攻击者能够精心构造恶意数据包以破坏栈结构,并最终实现任意代码执行的目的。 #### 解决方案概述 为了成功完成这一任务,参与者通常采取以下策略: - **确定偏移量**:首先需要找到合适的字节填充数量以便精确地覆盖目标位置而不影响其他重要部分的数据完整性。 - **泄露 SSP 地址**:由于开启了 Stack Smashing Protector(SSP),即栈保护机制,因此还需要想办法获取其实际值用于后续操作中的调整校验计算。 - **定位 libc 基础地址**:如果远程服务器上使用的 glibc 版本未知,则可能需借助某些方法推测或直接读取相关指针从而得知确切基址。 - **构建有效载荷**:最后一步就是组合上述信息形成完整的 exploit chain ,比如采用 ret2libc 技巧调用 system 函数启动 shell 或者跳转至已知 gadgets 实现相同效果。 ```python from pwn import * context(log_level="debug") flag_addr = 0x600DC0 for attempt in range(1, 101): try: conn = remote('example.com', port_number) padding = b'a' * offset_to_return_address # 计算得出的确切偏移量 payload = ( padding + pack(flag_addr, 64) + ... # 可能还包括其他的 ROP chains 组件 ) conn.recvuntil(prompt_string) conn.sendline(payload) response = conn.recvall(timeout=timeout_seconds).decode() print(f"[Attempt {attempt}] Received: ", response.strip()) if success_pattern in response.lower(): break except Exception as e: log.error(e) finally: conn.close() if not 'success pattern found': raise ValueError("Failed after multiple attempts.") ``` 这段 Python 脚本展示了如何自动化尝试连接服务端发送特制请求的过程。注意这里 `offset_to_return_address`, `prompt_string`, 和 `port_number` 等变量都需要根据实际情况设定具体的数值;而 `pack()` 方法用来创建适合架构位宽的机器码表示形式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值