4.fastbin_dup_consolidate

最新推荐文章于 2024-02-10 12:32:51 发布
最新推荐文章于 2024-02-10 12:32:51 发布
阅读量306 收藏 1
点赞数
原文链接:http://www.cnblogs.com/pfcode/p/10989832.html
版权

源代码

 1 #include <stdio.h>
 2 #include <stdint.h>
 3 #include <stdlib.h>
 4 
 5 int main() {
 6   void* p1 = malloc(0x40);
 7   void* p2 = malloc(0x40);
 8   fprintf(stderr, "Allocated two fastbins: p1=%p p2=%p\n", p1, p2);
 9   fprintf(stderr, "Now free p1!\n");
10   free(p1);
11 
12   void* p3 = malloc(0x400);
13   fprintf(stderr, "Allocated large bin to trigger malloc_consolidate(): p3=%p\n", p3);
14   fprintf(stderr, "In malloc_consolidate(), p1 is moved to the unsorted bin.\n");
15   free(p1);
16   fprintf(stderr, "Trigger the double free vulnerability!\n");
17   fprintf(stderr, "We can pass the check in malloc() since p1 is not fast top.\n");
18   fprintf(stderr, "Now p1 is in unsorted bin and fast bin. So we'will get it twice: %p %p\n", malloc(0x40), malloc(0x40));
19 }

运行结果

checksec

 

首先申请p1,p2两个0x40大小的内存,在fastbin大小范围内

之后释放p1

再申请了一个0x400字节的p3  属于large bin触发malloc_consolidate()

将fastbin中的p1移入small bin

此时p1不在fastbin头部

所以可以再次释放

释放后

fastbin 和 small bin中都有p1

再次申请两次都可以得到指向p1的内存

调试后得出上图,可知,先取出fastbin中的p1,再取出small bin中的p1

这就又造成了double free

转载于:https://www.cnblogs.com/pfcode/p/10989832.html

aaa15893831716
关注
堆学习——fastbin_dup_into_stack
qq_41560595的博客
03-13 500
前面写了double free实现,现在写double free的升级篇, #include <stdio.h> #include <stdlib.h> int main() { fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" "returning a pointer to a controlled location (in this case, the
Hitcon 2016 SleepyHolder-fastbin_dup_consolidate
九层台
03-08 460
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <signal.h> #include <fcntl.h> #include <sys/stat.h> #include <sys/types.h> #define BASE 4...
how2heap的fastbin_dup_consolidate(包含sleepyholder)
eeeeeight的博客
03-29 454
fastbin_dup_consolidate Column: Mar 28, 2021 昨日dasctf, 临时学会了house of orange, 但依旧爆零, 哎, 只能说自己不够努力 利用方式及其效果: 方式: 很简单, 先申请一个fastbin范围内的堆1, 再随便申请一个堆2防止被topchunk合并, 之后释放堆1, 申请large bin大小的堆3, 最后释放一次堆1, 此时不会段错误, 而会让堆1同时存在于fastbin与unsortedbin中 效果: 个人认为how2heap中讲的并
Fastbins dup_consolidate探究
qq_41252520的博客
08-29 316
演示代码 #include <stdio.h> #include <stdint.h> #include <stdlib.h> int main() { void* p1 = malloc(0x40); void* p2 = malloc(0x40); fprintf(stderr, "Allocated two fastbins: p1=%p p...
how2heap-fastbin_dup_consolidate
huzai9527的博客
05-21 241
fastbin_dup_consolidate consolidate 过程 若 get_max_fast() 返回 0,则进行堆的初始化工作,然后进入第 7 步 从 fastbin 中获取一个空闲 chunk 尝试向后合并 若向前相邻 top_chunk,则直接合并到 top_chunk,然后进入第 6 步 否则尝试向前合并后,插入到 unsorted_bin 中 获取下一个空闲 chunk,回到第 2 步,直到所有 fastbin 清空后进入第 7 步 退出函数 poc a=malloc(x
find_dup_1.zip_Duplicate Text
09-14
它使用了一种名为`find_dup.awk`的Awk脚本来查找和处理文本文件中重复的行。Awk是一种强大的文本分析工具,尤其适用于处理结构化数据,如CSV或TSV文件。 首先,我们需要理解`find_dup.awk`脚本的工作原理。在Awk中...
Test_dup_x2.rar_The Test
09-14
在这个名为"Test_dup_x2.rar_The Test"的压缩包中,我们有两个源代码文件:AddAdapter.c 和 Test_dup_x2.c,它们可能涉及到适配器模式的应用。以下是关于适配器模式及其相关知识点的详细解释。 适配器模式的主要...
rem_dup_1.rar_active directory
09-19
在给定的“rem_dup_1.rar_active directory”资源中,我们可以推断这是一个关于解决Active Directory中重复条目问题的测试案例。在描述中提到的“not univoce record”是指非唯一记录,这可能指的是在Active ...
Test_dup.rar_out
09-24
标题“Test_dup.rar_out”可能是指一个名为“Test_dup”的项目或测试用例的结果输出,其中包含了与数组边界错误相关的测试结果。“.rar”后缀表明这是一个压缩文件,可能包含了项目的源代码或者日志信息。而“out”...
How2heap--fastbin_dup_consolidate(by glibc-2.23)
qq_53058639的博客
07-25 103
首先malloc两个0x40大小的fastbin chunk同样申请0x40,加上0x10大小的chunk头,1字节的假大小(由于inuse位为1),实际大小为0x50继续调试,对p1进行了freep1被放进fastbin的空闲链表然后再malloc一个0x400大小的largbin chunk来看一下_int_malloc()源码检查是否是fastbin范围检查是否是smallbin范围都不是就判断属于largebin
2.fastbin_dup
06-08 316
源代码  演示了doublefree 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 fprintf(stderr, "This file demonstrates a simple double-free attack with fastbin...
堆漏洞 -fastbin_dup
qq_43390703的博客
10-18 453
double free #include <stdio.h> #include <stdlib.h> #include <string.h> int main() { fprintf(stderr, "Allocating 3 buffers.\n"); char *a = malloc(9); char *b = malloc(9); char *c = malloc(9); strcpy(a, "AAAAAAAA"); strcpy(b, "BBBBBBBB"); s
how2heap(1):fastbin_dup 2.31
hollk’s blog
08-25 890
fastbin_dup 2.27 源码 # gcc -g fastbin_dup.c -o fastbin_dup 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <assert.h> 4 5 int main() 6 { 7 setbuf(stdout, NULL); 8 9 printf("This file demonstrates a
Double free(hows2heap)
fanghuapyk的博客
04-23 1737
1.fastbin_dup fast bin fast bin主要是用来存放一些小的内存,使用fastbin可以提高小内存的分配效率,在默认情况下,对于SIZE_SZ为4B(32位)的平台,小于64B(字节)的chunk分配请求,和对于SIZE_SZ为8B(64位)的平台,小于128B的chunk分配请求首先会在fast bin中查找是否有所需大小的chunk存在,如果存在,就会直接返回内存资源,如果不存在,才会到其他bins中去查找。 fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过 f
how2heap个人学习总结
u014377094的博客
04-17 752
how2heap个人学习总结 1.fastbin_dup double free基本操作 2.27下由于多了tcache,可以先free7个填满tcache再calloc3个后free放入fastbin。calloc与malloc区别除了对语法略有不同,会对内容初始化以外还会跳过tcache直接执行int_malloc。 后续2.31,32,33,34无区别。 2.fastbin_dup_into_stack double free基操,有一点需要注意,fast chunk在获取时会对其大小 进行检测,检查
从零开始学howtoheap:fastbins的double-free攻击实操2
最新发布
weixin_44626085的博客
02-10 1045
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见。
【PWN】Fastbin 与 Tcache 的利用
u014377094的博客
05-03 1205
从本周开始,针对ctfwiki的顺序,整理堆的攻击方式,顺便练一下手。克服惰性与抗拒,才能继续进步。 首先是为何把fastbin和tcache放第一个整理,因为fastbin和tcache是所有后续攻击的基础,为了实现写入“任意”地址,通常情况下都是利用fastbin和tcache,有个明显的原因就是fastbin和tcache都采用单链表结构,结构更加简单,简单也意味着缺少复杂的检测,更加利于我们去利用。其次,为何把它俩放一起,原因还是两者的结构相似,地位相近,但细节上有不同,放在一起对比利用。 再说
Linux 堆溢出之fastbin实例
M021的专栏
11-11 4000
Linux下堆溢出 fastbin实例
CTF用户态pwn总结(二) Unlink
weixin_41918450的博客
09-26 1691
CTF用户态pwn总结(二) Unlink unlink是CTF中非常常见的一种题型 unlink时的一些性质 unlink是在free掉一个chunk的时候,如果与之相邻的chunk是free状态,并且不是投票chunk时,会将chunk从原来的链表中unlink,并触发合并,fast bin并不会触发合并,只有当满足条件触发fast bin合并时,即当申请的chunk大小大于fast bins...
select group_concat(b.reason_id) as reason_id from fgz_plyj.case_fix_attrs a inner join fgz_plyj.fgz_reason b on a.case_id=b.case_id inner join fgz_plyj.court_url c on a.case_id=c.case_id inner join fgz_plyj.case_optlog e on a.case_id=e.case_id where c.is_dup='N'and DATE_FORMAT(c.create_time, '%Y')<DATE_FORMAT(NOW(), '%Y')+1 and b.result_type='发回重审' and a.trial_round ='二审' 在查询这个数据是,fgz_reason表有重复字段导致结果重复,如何去重
07-14
WHERE c.is_dup = 'N' AND DATE_FORMAT(c.create_time, '%Y') < DATE_FORMAT(NOW(), '%Y') + 1 AND b.result_type = '发回重审' AND a.trial_round = '二审' ``` 这样修改后的查询语句将确保在执行GROUP_CONCAT函数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值