Fastbin attack总结

最新推荐文章于 2023-04-06 20:02:13 发布
最新推荐文章于 2023-04-06 20:02:13 发布
阅读量269 收藏
点赞数
分类专栏: PWN 文章标签: PWN CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WateranFire/article/details/109024038
版权

double free

思路:

构造fake chunk,将free chunk的fd指向fake chunk,使得下次malloc时返回fake chunk

检测:

(1)fastbin 在执行 free 的时候仅验证了 main_arena 直接指向的块,即链表指针头部的块。对于链表后面的块,并没有进行验证。

(2)malloc申请伪造的fastbin时会检测fastbin的SIZE

流程:

a1=malloc();
a2=malloc();
free(a1);
free(a2); // main_arena指向a2,此时可以对a1 double free
free(a1); // 此时chunk链表:main_arena->a1->a2->a1
          //                                ^   |
          //                                |___|
a1=malloc();
*a1=&fake_chunk;
malloc(); // a2
malloc(); // a1
a3=malloc(); // fake_chunk

House of Spirit

思路:

构造fake chunk,将其free,malloc后申请到该chunk达到写指定地址

检测:

(1)ISMMAP 位不能为 1——mmap()申请内存单独处理;

(2)地址对齐,fake chunk size对齐;

(3)fake chunk 的next chunk的size不小于2 * SIZE_SZ,不大于av->system_mem。

libc2.23与libc2.27区别

libc2.23里fd指向的是chunk首地址,但2.27里指向的却是分配的首地址

#include "stdio.h"
#include "stdlib.h"
int main(void){
    char *a1,*a2;
    a1=malloc(0x40);
    a2=malloc(0x40);
    printf("a1=%p\na2=%p\n",a1,a2);
    free(a2);
    free(a1);
    printf("a1->fd=%p\n",*(unsigned long long*)a1);
    return 0;
}

在libc2.23时,输出为:

a1=0x21cc010
a2=0x21cc060
a1->fd=0x21cc050

而2.27则是:

a1=0x55ab8dfac260
a2=0x55ab8dfac2b0
a1->fd=0x55ab8dfac2b0

参考链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/fastbin_attack-zh/

WateranFire
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
堆溢出----Fastbin Attack
qq_42192672的博客
10-23 1465
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/fastbin_attack/                   https://www.anquanke.com/post/id/85357 之前稍微了解了一波Use After Free ,运用了fastbin,这次继续学一下fastbin的其他攻击方式,希望能学会...
how2heap glibc 2.27
qq_46441427的博客
10-10 634
fastbin dup 展示了glibc2.27里利用double free进行的fastbin attack #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { setbuf(stdout, NULL); printf("This file demonstrates a simple double-free attack with fastbins.\n"); pri
fastbin attack
m0_64195960的博客
07-19 1417
FastbinDoubleFree是指fastbinchunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
Fastbin attack
aoque9909的博客
06-25 411
Fastbin Attack 暂时接触到了两种针对堆分配机制中fastbin的攻击方式,double free和house of spirit Double free 基本原理 与uaf是对free之后的指针直接进行操作不同,double free通过利用fastbin对堆的分配机制,改写在fastbin中的chunk,实现对指定内存的堆块分配。 先正常释放chunk1和c...
fastbin attack快速入门
abelxu
11-13 1152
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小堆块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,堆块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小堆块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
[pwn]堆:fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...
CTF pwn题堆入门 -- Tcache bin
lifanxin的博客
04-06 3982
Tcache attack序言概述攻击方式绕过Tcache分配堆到目的地址tcache poisoningtcache house of spirit总结 序言 无奈于pwn题中与堆相关的东西实在是比较多,加上到了2021年的现在,ctf比赛中一来就是堆题,还都是新版本libc,对我这种新手中的新手实在不太友好,以此写下这个系列文章,记录自己学习堆漏洞利用过程中的点滴,同时也是个总结吧。结合自己做题的理解,将堆攻击常见的手段和方式按照一定的规律记录下来。本文章系列将分成五大块,即tcache attack
从两道基础题简单认识和了解fastbin double free漏洞的利用
weixin_44864859的博客
07-13 1008
fastbin double free原理 Fastbin Double Free 是指 fastbinchunk 可以被多次释放,因此可以在 fastbin 链表中存在多次。这样导致的后果是多次分配可以从 fastbin 链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆 (type confused) 的效果。(即可以构造假的chunk实现任意地址写) Fastbin Double Free 能够成功利用主要有两部分的原因 fastbin 的堆块被释放后
linux 堆溢出 pwn 指南,新手科普 | CTF PWN堆溢出总结
weixin_36467693的博客
05-16 942
学习汇总序言自从加入RTIS交流群, 在7o8v师傅,gd大佬的帮助下,PWN学习之路进入加速度。下面是八周学习的总结,基本上是按照how2heap路线走的。由于八周内容全写,篇幅太长,这里只讲述每道PWN题所用到的一个知识点。第一节(fastbin_dup_into_stack)知识点利用fastbin之间,单链表的连接的特性, 溢出修改下一个free chunk的地址, 造成任意地址写.例子:...
csapplab:学习csapp
04-04
然后这周还是将重点放在了ctf上,不过效率还挺高的,嘿嘿,学了泄露libc的一个工具Dynelf,堆的fastbin attack的一部分(大致了解了相关概念(fastbin,smallbin,largebin)的结构和malloc,free的过程),还学了...
【堆漏洞 - Fastbin attack
最新发布
m0_52343643的博客
04-06 310
漏洞发生于fastbinchunk,且存在堆溢出、use-after-free 等能控制 chunk 内容的漏洞。
堆利用学习之fastbin attack
Hpasserby的博客
10-06 728
原理 fastbin attack是一类漏洞的利用方法,是指所有基于 fastbin 机制的漏洞利用方法。主要利用了fast bin的单链表管理机制。 相关源码: malloc: /* If the size qualifies as a fastbin, first check corresponding bin. This code is safe to execute ev...
linux堆内存管理深入分析,【技术分享】Linux堆溢出之Fastbin Attack实例详解
weixin_39640090的博客
04-30 157
1. 摘要在近几年各大CTF比赛中,看到有很多次pwn类别题中出现fastbin攻击的情况,例如今年的defcon,RCTF,胖哈勃杯,0CTF final等等 ,fastbin attack是堆漏洞利用中十分常用、易用且有效的一种攻击方式,在网上的中文资料中,对其原理上进行讲述的文章有一些,但详细讲述如何实际利用的完整例子较少,本文将对该利用方式进行简要原理性阐述,并结合今年Defcon预选赛中...
好好说话之Fastbin Attack(2):House Of Spirit
hollk’s blog
10-30 3181
Fastbin Attack的第二种攻击方式House Of Spirit,相对来说是double free的升华。在检查绕过的时候会相对麻烦一点,其他的地方还是挺简单的,如果上一篇文上你领悟的很好的话,这篇文章也不会很难理解。 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
堆漏洞挖掘——fastbin attack漏洞
董哥的黑板报
08-12 3190
一、核心思想 通过fastbins链的管理,达到目标地址(target)读写 二、原理图解 fastbin存储freechunk的单链表结构: fastbins是如何存取fastchunk的,见文章:https://blog.csdn.net/qq_41453285/article/details/97613588 第一步:我们知道被free的chunk会被放入到arena所管理的f...
fastbin attack学习总结
Assassin
04-16 2537
之前没有全面的学习,现在网上资料真是比几年前全面的多了,这里总结回顾一下fastbin attack的原理思路。这里参考的博主链接如下,写的确实很详实 https://blog.csdn.net/Breeze_CAT/article/details/103788698 一、基础知识 需要了解fastbin的分配原理,fastbins是管理在malloc_state结构体重的一串单向链表,分为0x20-0x80总共7个链表: 每次free释放对应大小的堆块,会加入到对应的链表中 每次malloc分配堆块,会
PWN入门笔记 FastBinAttack+HouseOfSpirit+UnsortedBinLeak
cossack9989的博客
05-24 1514
好久没发文章了,从3月到5月所有学习记录全都存档在gitee上,包括本篇所有相关题目的exp,链接在此~ 接下来想讲一讲自己对FastBinAttack和HouseOfSpirit以及UnsortedBinLeak的认识,因为我发现这俩攻击方法和这一种泄露方法最近用的贼多(也很好用),与其说是Pwn Heap,不如说是Pwn Linked-List(手动狗头) FastBinAttack P...
两种 fastbin attack 方法做 2014 hack.lu oreo
哒君的博客
07-31 621
终于第一次自己独立做出一道完整的堆题 方法一: ctf-wiki 很详细,不多赘述 方法二: 与 ctf-wiki 的思路类似,最终也是控制message的指针来达到任意地址写的目的 但是此处用的是 Arbitrary Alloc ,即控制fastbin块的fd指针来达成目的 具体请看exp的注释 exp: from pwn import * from LibcSearcher import ...
Upload Attack Framework:突破上传验证的安全威胁
"upload_attack_framework" 本文档主要探讨的是“UploadAttack”,即上传攻击框架,它是一种针对Web应用程序的安全威胁。作者CasperKid[Syclover][Insight-Labs]于2011年10月6日发布,属于攻击类知识,涉及到攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值