unsorted bin attack

最新推荐文章于 2024-07-19 12:05:00 发布
最新推荐文章于 2024-07-19 12:05:00 发布
阅读量384 收藏 3
点赞数 1
分类专栏: CTF PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abel_big_xu/article/details/109730640
版权
CTF 同时被 2 个专栏收录
23 篇文章 2 订阅
订阅专栏
PWN
14 篇文章 1 订阅
订阅专栏

0x01 unsorted bin

基本来源

  1. 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。
  2. 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。
  3. 当进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。

基本使用情况

  1. Unsorted Bin 在使用的过程中,采用的遍历顺序是 FIFO,即插入的时候插入到 unsorted bin 的头部,取出的时候从链表尾获取。
  2. 在程序 malloc 时,如果在 fastbin,small bin 中找不到对应大小的 chunk,就会尝试从 Unsorted Bin 中寻找 chunk。如果取出来的 chunk 大小刚好满足,就会直接返回给用户,否则就会把这些 chunk 分别插入到对应的 bin 中。

0x02 unsorted bin attack原理

源码在glibc2.23 /malloc/malloc.c:3515中,当将一个 unsorted bin 取出的时候,会将 bck->fd 的位置写入本 Unsorted Bin 的位置。如果能控制bk的值,就能能将unsorted_chunks(av)写入到任意地址。将某个位置写入一个大数。

/* remove from unsorted list */
unsorted_chunks (av)->bk = bck;
bck->fd = unsorted_chunks (av);

如果将chunk1的bk覆盖为G_ptr-0x10,当chunk1被取下的时候

  1. *G_ptr将会被重新赋值为chunk1->fd
  2. main_arena_unsortedbin->bk=&G_ptr-0x10
    在这里插入图片描述

简单示例

程序是在ubuntu1604的系统中编译(没有tcache)。

  1. 申请0x80,0x10(防止和topchunk合并)两个堆块
  2. 释放0x80的堆块进入unsorted bin
  3. 修改bk为&ptr-0x10
  4. 重新申请0x80大小的堆块
  5. 此时ptr的内容已经被修改了
#include<stdio.h>
#include<stdlib.h>
#include<string.h>

int main()
{
  char *ptr1=NULL,*ptr2,*ptr3;
  ptr2 = malloc(0x80);
  malloc(0x10);
  free(ptr2);
  ((void**)ptr2)[1]=&ptr1-2;
  fprintf(stderr,"ptr1:%p\n",ptr1);
  malloc(0x80);
  fprintf(stderr,"ptr1:%p\n",ptr1);
  return 0;
}

在这里插入图片描述

0x03 总结

利用流程

  • Unsorted Bin Attack
    利用 unsorted bin attack ,修改 global_max_fast 全局变量,由于 global_max_fast 变量为控制最大的 Fast chunk 的大小,将这里改写为 unsorted bin 的地址 (一般来说是一个很大的正数),就能使之后的 chunk 都被当作 fast chunk,即可进行 Fast bin attack。
  • Fast Bin Attack
努力学习的大康
关注
专栏目录
How2heap--UnsortedbinAttack(by glibc-2.23)
m0_56642842的博客
07-21 266
UnsortedbinAttack.c 源码 调试分析 1.首先定义了一个变量,存放在栈上 2.然后malloc一个0x400大小的chunk p 3.为了防止在下一次执行free的时候 chunk p 被consolidate合并到 top chunk 中,这里再申请一个0x500大小的chunk。 4.然后将chunk p free掉, 注意这里, chunk p被放到了unsortedbin中,且fd和bk指针都指向main_arena+88 然后我们改写chunk p的bk指针。 需要
fastbin attack + unsorted bin attack+ heap overflow+ double free fastbin + double free unlink
qq_39869547的博客
10-27 380
0x1 fastbin依靠单链表来组织的,堆管理结构始终维护一个指向最后一个chunk的指针(倒数第二个chunk的fd,通常情况这个fd指向的是下一个chunk起始地址)。这个指针决定了下一次要分配的chunk地址。 也就是说默认分配最好一个chunk给用户使用,同时最后一个chunk也是我们一开始第一个free掉的 0x2 我们的目的修改某一个chunk的fd ,这样我们就可以任意地址分配我们...
Unsorted Bin Attack
qq_45595732的博客
11-26 439
Unsorted Bin Attack Unsorted Bin Attack 被利用的前提 -------------控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效果 -------------实现修改任意地址值为一个较大的数值。 Unsorted bin的来源 1,当一个较大的 chunk 被分割成两半后,如果剩下的部分大于MINSIZE,就会被放到 unsorted bin 中。 2,释放一个不属于 fast bin
unsortedbin attack
最新发布
yjh_fnu_ltn的博客
07-19 943
(因为unsorted_chunks(av)地址本来就知道,不需要用过链尾的p去找它的下一个即fd值),所以即使我们修改了其为一个不合法的值也没有关系。然而,需要注意的是,unsorted bin 链表可能就此破坏,在插入 chunk 时,可能会出现问题。类似于unlink的过程,要将链尾的chunkp,取出来,即 unsorted_chunks(av)->bk = p->bk;我们可以看到,在该链表中必有一个节点(不准确的说,是尾节点,这个就意会一下把,毕竟循环链表实际上没有头尾)的。
堆漏洞挖掘——unsortedbin attack漏洞
董哥的黑板报
08-13 3246
一、核心思想 实现在任意地址写一个数值 局限性:通常unsortedbin attack只能够在目标地址写一个大数值 unsortedbin attack通常是为了配合fastbin attack而使用的 fastbin attack见文章:https://blog.csdn.net/qq_41453285/article/details/99315504 二、原理图解 当从unsor...
13.unsorted_bin_attack
06-09 224
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main(){ 5 fprintf(stderr, "This file demonstrates unsorted bin attack by write a large unsigned long value into...
UnsortedBin Attack
yms0211的博客
09-13 1028
Unsorted Bin Attack
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1583
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
CTF pwn题堆入门 -- Unsorted bin
lifanxin的博客
04-08 3251
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆题中常见的,当一个堆块被释放时,且该堆块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
BUUCTF hitcontraining_magicheap[堆]
weixin_45441024的博客
12-28 391
BUUCTF hitcontraining_magicheap[堆](Unsorted bin attack) 我们先来学习一下什么是Unsorted binattack 用ctfwiki里面的例子来进行解释: Unsorted Bin Attack,顾名思义,该攻击与 Glibc 堆管理中的的 Unsorted Bin 的机制紧密相关。 Unsorted Bin Attack 被利用的前提是控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效
好好说话之Unsorted Bin Attack
hollk’s blog
01-15 3829
Unsorted Bin Attack很简单,序言就不多说了,直接看本文讲解就好,抓紧时间把wiki写完,我要去搞IOT固件分析了!!!!
unsigned long long 溢出 乘_二进制安全之堆溢出(系列)—— unsorted bin attack
weixin_39611754的博客
11-30 114
本文是二进制安全之堆溢出系列的第十章节,主要介绍unsorted bin attack。原理实现效果只能在任意地址写入一个大数 通常在一个地址写入7f,然后配合fastbin attack使用,达到任意地址写的效果断链操作/* remove from unsorted list */ bck = victim->bk unsorted_chunks (av)->bk = bck; ...
pwn工具箱之unsorted bin attack
jmp esp
07-03 2803
unsorted bin attack基本信息利用类型:堆利用 堆利用类型:针对unsorted bin的利用,也就是需要用normal chunk或者large chunk释放得到的 利用思想:unsorted bin是一个双链表,在分配时会将unsorted bin中的chunk从unsorted bin中移除,是一个链表的unlink操作。如果能够控制unsorted bin chunk的
从wiki 重新打基础之 Unsorted Bin Attack
qq_41071646的博客
07-19 409
之所以 看 Unsorted Bin Attack 因为感觉 Fastbin 还有 UAF算是比较熟悉的 所以 直接看 Unsorted Bin 其实Unsorted Bin 也是比较熟悉的 在泄露 libc库的时候就认真的看过 这个东西 ,是当small chunk或large chunkfree掉之后,不会直接进入smallbin或largebin,而是会先进入unsorte...
CTF-PWN-house-of-orange (unsortedbin attack+IO_FILE文件结构利用)
SuperGate的博客
02-22 959
程序综述 [*] '/home/supergate/Desktop/Pwn/houseoforange' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled FORTIFY: ...
hitcontraining_lab14学习(以及Unsorted Bin的个人理解
a2590035252的博客
09-16 1556
适合和我一样的菜鸡pwner
unsortedbin attack的一些记录
xieyichensss的博客
04-26 133
写于2021.4.26 0:17 仅对自己的学习做一波总结和程序调试 首先编写一个程序 #include<stdio.h> #include<malloc.h> #include<unistd.h> #include<string.h> int main() { int size = 0x100; char p = malloc(size); printf("%p\n",p); free(p); (long)(p+8) = 0x601100; char *r=
【PWN】Unsorted bin与Large binAttack
u014377094的博客
05-03 864
今天继续整理攻击方法,逆水行舟,不进则退。 Unsorted bin attack与Large bin attack两者我还是放在一起了,因为两者相近,都是通过修改bk(bk_nextsize)来实现对一块区域的修改,漏洞在于缺少*(bk)->fd的检测。 unsortedbin的利用点 /* remove from unsorted list */ if (__glibc_unlikely (bck->fd != victim))
fast bin、small bin、unsorted bin large bin的区别与共同点
07-15
快速块(fast bin)、小型块(small bin)、未排序块(unsorted bin)和大型块(large bin)是堆管理中不同的内存块分类。它们有一些区别和共同点,如下所示: 区别: 1. 大小范围:快速块是一组固定大小的小块,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值