2.fastbin_dup

最新推荐文章于 2023-06-21 00:13:35 发布
最新推荐文章于 2023-06-21 00:13:35 发布
阅读量305 收藏 2
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/pfcode/p/10989825.html
版权

源代码  演示了double free

 1 #include <stdio.h>
 2 #include <stdlib.h>
 3 
 4 int main()
 5 {
 6     fprintf(stderr, "This file demonstrates a simple double-free attack with fastbins.\n");
 7 
 8     fprintf(stderr, "Allocating 3 buffers.\n");
 9     int *a = malloc(8);
10     int *b = malloc(8);
11     int *c = malloc(8);
12 
13     fprintf(stderr, "1st malloc(8): %p\n", a);
14     fprintf(stderr, "2nd malloc(8): %p\n", b);
15     fprintf(stderr, "3rd malloc(8): %p\n", c);
16 
17     fprintf(stderr, "Freeing the first one...\n");
18     free(a);
19 
20     fprintf(stderr, "If we free %p again, things will crash because %p is at the top of the free list.\n", a, a);
21     // free(a);
22 
23     fprintf(stderr, "So, instead, we'll free %p.\n", b);
24     free(b);
25 
26     fprintf(stderr, "Now, we can free %p again, since it's not the head of the free list.\n", a);
27     free(a);
28 
29     fprintf(stderr, "Now the free list has [ %p, %p, %p ]. If we malloc 3 times, we'll get %p twice!\n", a, b, a, a);
30     fprintf(stderr, "1st malloc(8): %p\n", malloc(8));
31     fprintf(stderr, "2nd malloc(8): %p\n", malloc(8));
32     fprintf(stderr, "3rd malloc(8): %p\n", malloc(8));
33 }

运行结果

checksec

 

先申请了3块8字节内存,由于64位内存16字节对齐,所以加上头部0x10字节,都为0x20字节

查看堆分布

之后释放a,a进入0x20的fastbin链表,在头部处

此时如果再释放a,由于a在链表头部,inux堆管理机制不允许这么做,会报错

所以释放b  b->fd=a  a->fd=null

此时b在链表头部,所以a又可以释放了

b->fd=a  a->fd=b

此时0x20fastbin链表情况  a->b->a

此时再申请3次8字节的内存,会依次从0x20的fastbin链表中取出释放的堆块

遵循后进先出原则

3次申请的内存记为a1,b1,c1

a1分配到a的内存  b1分配到b的内存  c1分配到a的内存

造成了a1和c1都指向同一块内存,即a的内存

即造成了double free

转载于:https://www.cnblogs.com/pfcode/p/10989825.html

aaa15893831716
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn学习-how2heap-fastbin_dup
qq_39153247的博客
08-20 1403
今天打完比赛身心疲惫,来复习复习把,写一点简单的把   之所以记录一下fastbin,是因为现阶段我能接触到最多的就是它了。   fastbins: 程序中总是会分配一些比较小的堆块,对于这些堆块来说,如果我们直接将他们合并,那么下次申请的时候还需要重新切割出来,降低了运行的效率,所以ptmalloc设计了fastbins. fastbins共有10个bin,分别是8-80字节,依次增...
堆学习——fastbin_dup_into_stack
qq_41560595的博客
03-13 455
前面写了double free实现,现在写double free的升级篇, #include <stdio.h> #include <stdlib.h> int main() { fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" "returning a pointer to a controlled location (in this case, the
堆漏洞 -fastbin_dup
qq_43390703的博客
10-18 412
double free #include <stdio.h> #include <stdlib.h> #include <string.h> int main() { fprintf(stderr, "Allocating 3 buffers.\n"); char *a = malloc(9); char *b = malloc(9); char *c = malloc(9); strcpy(a, "AAAAAAAA"); strcpy(b, "BBBBBBBB"); s
how2heap(1):fastbin_dup 2.31
hollk’s blog
08-25 813
fastbin_dup 2.27 源码 # gcc -g fastbin_dup.c -o fastbin_dup 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <assert.h> 4 5 int main() 6 { 7 setbuf(stdout, NULL); 8 9 printf("This file demonstrates a
【PWN · Heap · how2heap】[fastbin_dup.c]
Mr_Fmnwon的博客
06-21 292
开始学习PWN堆相关的部分时,被繁复的知识冲昏了头脑。了解到how2heap是国外大神的系列堆漏洞小实验,于是尝试通过复现这些漏洞,并提取知识点。
Test_dup_x2.rar_The Test
09-14
Adapter showing the types of items that can be added to a Workspace.
Test_dup2_x2.rar_android
09-24
Cursor Wrapper Test extends Android Test Case.
rem_dup_1.rar_active directory
09-19
my test for duplicate entry in active directory for not univoce record
find_dup_1.zip_Duplicate Text
09-14
查找文件中重复的行,每个重复行只打印一次
Test_dup.rar_out
09-24
title expected Array Index Out Of Bounds Exception.
Fastbins dup_consolidate探究
qq_41252520的博客
08-29 277
演示代码 #include <stdio.h> #include <stdint.h> #include <stdlib.h> int main() { void* p1 = malloc(0x40); void* p2 = malloc(0x40); fprintf(stderr, "Allocated two fastbins: p1=%p p...
4.fastbin_dup_consolidate
06-08 289
源代码 1 #include <stdio.h> 2 #include <stdint.h> 3 #include <stdlib.h> 4 5 int main() { 6 void* p1 = malloc(0x40); 7 void* p2 = malloc(0x40); 8 fprintf(st...
buuctf ACTF_2019_message(tcache bin dup / fastbin dup)
qq_36918532的博客
04-19 745
有些图片显示不出来,我懒的在复制粘贴了,可以直接去我笔记里面看 网上的这道题的,大部分的exp都是写的16.04,使用的fastbin double free,但是在buuctf上根本打不通,因为人家都要求了是18.04,,所以这里写了两个版本(均可以打通) buuctf ACTF_2019_message 安全检查:FULL RELRO(got表不可写),GS,NX都开了 菜单题(堆的) 增加函数:判断当前堆指针是否为空,为空就创建 删除函数:一是没有判断该地方是否有值,而是没有将堆指针置空,可能出
Hitcon 2016 SleepyHolder-fastbin_dup_consolidate
九层台
03-08 431
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <signal.h> #include <fcntl.h> #include <sys/stat.h> #include <sys/types.h> #define BASE 4...
how2heap的fastbin_dup_consolidate(包含sleepyholder)
eeeeeight的博客
03-29 426
fastbin_dup_consolidate Column: Mar 28, 2021 昨日dasctf, 临时学会了house of orange, 但依旧爆零, 哎, 只能说自己不够努力 利用方式及其效果: 方式: 很简单, 先申请一个fastbin范围内的堆1, 再随便申请一个堆2防止被topchunk合并, 之后释放堆1, 申请large bin大小的堆3, 最后释放一次堆1, 此时不会段错误, 而会让堆1同时存在于fastbin与unsortedbin中 效果: 个人认为how2heap中讲的并
fastbin_dup_into_stack.c 调试记录
a673562566的博客
08-18 186
源码如下 int main() { fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" "returning a pointer to a controlled location (in this case, the stack).\n"); unsigned long long stack_var; fprintf(stderr, "The addres...
3.fastbin_dup_into_stack
06-08 467
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" 7 "r...
how2heap-fastbin_dup_consolidate
huzai9527的博客
05-21 227
fastbin_dup_consolidate consolidate 过程 若 get_max_fast() 返回 0,则进行堆的初始化工作,然后进入第 7 步 从 fastbin 中获取一个空闲 chunk 尝试向后合并 若向前相邻 top_chunk,则直接合并到 top_chunk,然后进入第 6 步 否则尝试向前合并后,插入到 unsorted_bin 中 获取下一个空闲 chunk,回到第 2 步,直到所有 fastbin 清空后进入第 7 步 退出函数 poc a=malloc(x
How2heap--fastbin_dup_consolidate(by glibc-2.23)
m0_56642842的博客
07-20 177
fastbin_dup_consolidate.c 源码 调试分析 首先malloc两个0x40大小的fastbin chunk 同样申请0x40,加上0x10大小的chunk头,1字节的假大小(由于inuse位为1),实际大小为0x50 继续调试,对p1进行了free p1被放进fastbin的空闲链表 然后再malloc一个0x400大小的largbin chunk 来看一下_int_malloc()源码 检查是否是fastbin范围 检查是否是smallbin范围 都不是就判断属于larg
select group_concat(b.reason_id) as reason_id from fgz_plyj.case_fix_attrs a inner join fgz_plyj.fgz_reason b on a.case_id=b.case_id inner join fgz_plyj.court_url c on a.case_id=c.case_id inner join fgz_plyj.case_optlog e on a.case_id=e.case_id where c.is_dup='N'and DATE_FORMAT(c.create_time, '%Y')<DATE_FORMAT(NOW(), '%Y')+1 and b.result_type='发回重审' and a.trial_round ='二审' 在查询这个数据是,fgz_reason表有重复字段导致结果重复,如何去重
最新发布
07-14
您可以在查询中使用DISTINCT关键字来去除重复的结果。您可以将GROUP_CONCAT函数应用在DISTINCT修饰的字段上,以确保去重后的结果。 以下是修改后的查询语句: ```sql SELECT GROUP_CONCAT(DISTINCT b.reason_id) AS reason_id FROM fgz_plyj.case_fix_attrs a INNER JOIN fgz_plyj.fgz_reason b ON a.case_id = b.case_id INNER JOIN fgz_plyj.court_url c ON a.case_id = c.case_id INNER JOIN fgz_plyj.case_optlog e ON a.case_id = e.case_id WHERE c.is_dup = 'N' AND DATE_FORMAT(c.create_time, '%Y') < DATE_FORMAT(NOW(), '%Y') + 1 AND b.result_type = '发回重审' AND a.trial_round = '二审' ``` 这样修改后的查询语句将确保在执行GROUP_CONCAT函数之前,结果集中的重复reason_id被去除。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值