unsorted bin attack

最新推荐文章于 2024-07-19 12:05:00 发布
最新推荐文章于 2024-07-19 12:05:00 发布
阅读量399 收藏 3
点赞数 1
分类专栏: CTF PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abel_big_xu/article/details/109730640
版权
CTF 同时被 2 个专栏收录
23 篇文章 2 订阅
订阅专栏
PWN
14 篇文章 1 订阅
订阅专栏

0x01 unsorted bin

基本来源

  1. 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。
  2. 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。
  3. 当进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。

基本使用情况

  1. Unsorted Bin 在使用的过程中,采用的遍历顺序是 FIFO,即插入的时候插入到 unsorted bin 的头部,取出的时候从链表尾获取。
  2. 在程序 malloc 时,如果在 fastbin,small bin 中找不到对应大小的 chunk,就会尝试从 Unsorted Bin 中寻找 chunk。如果取出来的 chunk 大小刚好满足,就会直接返回给用户,否则就会把这些 chunk 分别插入到对应的 bin 中。

0x02 unsorted bin attack原理

源码在glibc2.23 /malloc/malloc.c:3515中,当将一个 unsorted bin 取出的时候,会将 bck->fd 的位置写入本 Unsorted Bin 的位置。如果能控制bk的值,就能能将unsorted_chunks(av)写入到任意地址。将某个位置写入一个大数。

/* remove from unsorted list */
unsorted_chunks (av)->bk = bck;
bck->fd = unsorted_chunks (av);

如果将chunk1的bk覆盖为G_ptr-0x10,当chunk1被取下的时候

  1. *G_ptr将会被重新赋值为chunk1->fd
  2. main_arena_unsortedbin->bk=&G_ptr-0x10
    在这里插入图片描述

简单示例

程序是在ubuntu1604的系统中编译(没有tcache)。

  1. 申请0x80,0x10(防止和topchunk合并)两个堆块
  2. 释放0x80的堆块进入unsorted bin
  3. 修改bk为&ptr-0x10
  4. 重新申请0x80大小的堆块
  5. 此时ptr的内容已经被修改了
#include<stdio.h>
#include<stdlib.h>
#include<string.h>

int main()
{
  char *ptr1=NULL,*ptr2,*ptr3;
  ptr2 = malloc(0x80);
  malloc(0x10);
  free(ptr2);
  ((void**)ptr2)[1]=&ptr1-2;
  fprintf(stderr,"ptr1:%p\n",ptr1);
  malloc(0x80);
  fprintf(stderr,"ptr1:%p\n",ptr1);
  return 0;
}

在这里插入图片描述

0x03 总结

利用流程

  • Unsorted Bin Attack
    利用 unsorted bin attack ,修改 global_max_fast 全局变量,由于 global_max_fast 变量为控制最大的 Fast chunk 的大小,将这里改写为 unsorted bin 的地址 (一般来说是一个很大的正数),就能使之后的 chunk 都被当作 fast chunk,即可进行 Fast bin attack。
  • Fast Bin Attack
努力学习的大康
关注
专栏目录
How2heap--UnsortedbinAttack(by glibc-2.23)
m0_56642842的博客
07-21 275
UnsortedbinAttack.c 源码 调试分析 1.首先定义了一个变量,存放在栈上 2.然后malloc一个0x400大小的chunk p 3.为了防止在下一次执行free的时候 chunk p 被consolidate合并到 top chunk 中,这里再申请一个0x500大小的chunk。 4.然后将chunk p free掉, 注意这里, chunk p被放到了unsortedbin中,且fd和bk指针都指向main_arena+88 然后我们改写chunk p的bk指针。 需要
ctf-pwn-堆—unsorted bin attack
xy_369的博客
05-23 312
上面只需要知道unsorted bin实现了将栈上的一个变量值变为了main_arena结构体中的一个地址,这句话仅出于个人理解,从参考链接2里得到的理解。1、个人翻译过后的代码(翻译自参考链接2)3、删除部分打印函数的代码。
Unsorted Bin Attack
qq_45595732的博客
11-26 451
Unsorted Bin Attack Unsorted Bin Attack 被利用的前提 -------------控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效果 -------------实现修改任意地址值为一个较大的数值。 Unsorted bin的来源 1,当一个较大的 chunk 被分割成两半后,如果剩下的部分大于MINSIZE,就会被放到 unsorted bin 中。 2,释放一个不属于 fast bin
unsortedbin attack
最新发布
yjh_fnu_ltn的博客
07-19 962
(因为unsorted_chunks(av)地址本来就知道,不需要用过链尾的p去找它的下一个即fd值),所以即使我们修改了其为一个不合法的值也没有关系。然而,需要注意的是,unsorted bin 链表可能就此破坏,在插入 chunk 时,可能会出现问题。类似于unlink的过程,要将链尾的chunkp,取出来,即 unsorted_chunks(av)->bk = p->bk;我们可以看到,在该链表中必有一个节点(不准确的说,是尾节点,这个就意会一下把,毕竟循环链表实际上没有头尾)的。
堆漏洞挖掘——unsortedbin attack漏洞
董哥的黑板报
08-13 3260
一、核心思想 实现在任意地址写一个数值 局限性:通常unsortedbin attack只能够在目标地址写一个大数值 unsortedbin attack通常是为了配合fastbin attack而使用的 fastbin attack见文章:https://blog.csdn.net/qq_41453285/article/details/99315504 二、原理图解 当从unsor...
13.unsorted_bin_attack
06-09 233
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main(){ 5 fprintf(stderr, "This file demonstrates unsorted bin attack by write a large unsigned long value into...
UnsortedBin Attack
yms0211的博客
09-13 1067
Unsorted Bin Attack
fastbin attack + unsorted bin attack+ heap overflow+ double free fastbin + double free unlink
qq_39869547的博客
10-27 389
0x1 fastbin依靠单链表来组织的,堆管理结构始终维护一个指向最后一个chunk的指针(倒数第二个chunk的fd,通常情况这个fd指向的是下一个chunk起始地址)。这个指针决定了下一次要分配的chunk地址。 也就是说默认分配最好一个chunk给用户使用,同时最后一个chunk也是我们一开始第一个free掉的 0x2 我们的目的修改某一个chunk的fd ,这样我们就可以任意地址分配我们...
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1600
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
CTF pwn题堆入门 -- Unsorted bin
lifanxin的博客
04-08 3291
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆题中常见的,当一个堆块被释放时,且该堆块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
BUUCTF hitcontraining_magicheap[堆]
weixin_45441024的博客
12-28 405
BUUCTF hitcontraining_magicheap[堆](Unsorted bin attack) 我们先来学习一下什么是Unsorted binattack 用ctfwiki里面的例子来进行解释: Unsorted Bin Attack,顾名思义,该攻击与 Glibc 堆管理中的的 Unsorted Bin 的机制紧密相关。 Unsorted Bin Attack 被利用的前提是控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效
好好说话之Unsorted Bin Attack
hollk’s blog
01-15 3974
Unsorted Bin Attack很简单,序言就不多说了,直接看本文讲解就好,抓紧时间把wiki写完,我要去搞IOT固件分析了!!!!
unsigned long long 溢出 乘_二进制安全之堆溢出(系列)—— unsorted bin attack
weixin_39611754的博客
11-30 120
本文是二进制安全之堆溢出系列的第十章节,主要介绍unsorted bin attack。原理实现效果只能在任意地址写入一个大数 通常在一个地址写入7f,然后配合fastbin attack使用,达到任意地址写的效果断链操作/* remove from unsorted list */ bck = victim->bk unsorted_chunks (av)->bk = bck; ...
pwn工具箱之unsorted bin attack
jmp esp
07-03 2819
unsorted bin attack基本信息利用类型:堆利用 堆利用类型:针对unsorted bin的利用,也就是需要用normal chunk或者large chunk释放得到的 利用思想:unsorted bin是一个双链表,在分配时会将unsorted bin中的chunk从unsorted bin中移除,是一个链表的unlink操作。如果能够控制unsorted bin chunk的
从wiki 重新打基础之 Unsorted Bin Attack
qq_41071646的博客
07-19 414
之所以 看 Unsorted Bin Attack 因为感觉 Fastbin 还有 UAF算是比较熟悉的 所以 直接看 Unsorted Bin 其实Unsorted Bin 也是比较熟悉的 在泄露 libc库的时候就认真的看过 这个东西 ,是当small chunk或large chunkfree掉之后,不会直接进入smallbin或largebin,而是会先进入unsorte...
堆漏洞挖掘中的bins分类(fastbin、unsorted bin、small bin、large bin)
热门推荐
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin链中的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
CTF-PWN-house-of-orange (unsortedbin attack+IO_FILE文件结构利用)
SuperGate的博客
02-22 985
程序综述 [*] '/home/supergate/Desktop/Pwn/houseoforange' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled FORTIFY: ...
hitcontraining_lab14学习(以及Unsorted Bin的个人理解
a2590035252的博客
09-16 1579
适合和我一样的菜鸡pwner
unsortedbin attack的一些记录
xieyichensss的博客
04-26 144
写于2021.4.26 0:17 仅对自己的学习做一波总结和程序调试 首先编写一个程序 #include<stdio.h> #include<malloc.h> #include<unistd.h> #include<string.h> int main() { int size = 0x100; char p = malloc(size); printf("%p\n",p); free(p); (long)(p+8) = 0x601100; char *r=
fast bin、small bin、unsorted bin large bin的区别与共同点
07-15
快速块(fast bin)、小型块(small bin)、未排序块(unsorted bin)和大型块(large bin)是堆管理中不同的内存块分类。它们有一些区别和共同点,如下所示: 区别: 1. 大小范围:快速块是一组固定大小的小块,通常用于快速分配和释放小型对象;小型块是一组尺寸逐渐增大的内存块,用于中等大小的对象;未排序块是不同尺寸的内存块,用于中等和大型对象;大型块是较大的内存块,通常用于分配较大的对象。 2. 管理方式:快速块和小型块使用特定的数据结构(如双向链表或位图)来管理内存块;未排序块和大型块使用不同的数据结构(如双向链表)来管理内存块。 3. 分配策略:快速块通常通过简单的指针移动来分配和释放内存块,具有较低的开销;小型块和未排序块通常采用更复杂的算法来选择合适的内存块进行分配和释放;大型块通常通过系统调用来分配和释放内存。 共同点: 1. 都是用于管理堆中的内存块,以支持动态内存分配和释放操作。 2. 都涉及内存块的分配、释放和管理,以提高内存使用效率和减少碎片。 3. 都使用特定的数据结构来组织和管理内存块,以便快速查找可用的内存块。 这些块分类是堆管理中常见的策略,旨在根据对象的大小和使用模式来优化内存分配和释放的性能。具体的实现可能会因不同的堆管理算法而有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值