x64 fastbin

最新推荐文章于 2021-04-02 20:36:46 发布
最新推荐文章于 2021-04-02 20:36:46 发布
阅读量363 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/78953455
版权 
#undef _FORTIFY_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int BufForTst[100];

int main(int argc, char *argv[]) 
{
    void *buf0,*buf1,*buf2,*buf3;
    BufForTst[1]=0x29;
    buf0 = malloc(0x80);
    memset(buf0, "A", 0x80);
    printf("buf0 %x",buf0);
    buf1 = malloc(0x80);
    memset(buf1, "B", 0x80);
    printf("buf1 %x",buf1);
    printf("正常的chunk1、chunk2被分配\n");
    free(buf0);

    buf2=malloc(1);
    memset(buf2, 0xb8, 1);

    printf("buf2 malloc\n");
    printf("buf0 %x",buf0);
    return 0;
}

gcc -g test.c -o test
list n
b n
c

0x555555755ff0: 0x00000000  0x00000000  0x00000000  0x00000000
0x555555756000: 0x00000000  0x00000000  0x00000091  0x00000000
0x555555756010: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756020: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756030: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756040: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756050: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756060: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756070: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756080: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756090: 0x00000000  0x00000000  0x00000091  0x00000000
0x5555557560a0: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x5555557560b0: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x5555557560c0: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x5555557560d0: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x5555557560e0: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x5555557560f0: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x555555756100: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x555555756110: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x555555756120: 0x00000000  0x00000000  0x00020ee1  0x00000000

free后

0x555555755ff0: 0x00000000  0x00000000  0x00000000  0x00000000
0x555555756000: 0x00000000  0x00000000  0x00000091  0x00000000
0x555555756010: 0xf7dd1b58  0x00007fff  0xf7dd1b58  0x00007fff
0x555555756020: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756030: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756040: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756050: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756060: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756070: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756080: 0x98989898  0x98989898  0x98989898  0x98989898
0x555555756090: 0x00000090  0x00000000  0x00000090  0x00000000
0x5555557560a0: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x5555557560b0: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x5555557560c0: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x5555557560d0: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x5555557560e0: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x5555557560f0: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x555555756100: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x555555756110: 0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a  0x9a9a9a9a
0x555555756120: 0x00000000  0x00000000  0x00000411  0x00000000
(gdb) x/50x $rax
0x555555756010: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756020: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756030: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756040: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756050: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756060: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756070: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756080: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756090: 0x00000000  0x00000000  0x00020f71  0x00000000
0x5555557560a0: 0x00000000  0x00000000  0x00000000  0x00000000
0x5555557560b0: 0x00000000  0x00000000  0x00000000  0x00000000
0x5555557560c0: 0x00000000  0x00000000  0x00000000  0x00000000
0x5555557560d0: 0x00000000  0x00000000
(gdb) list 17
12      buf0 = malloc(0x80);
13      memset(buf0, "A", 0x80);
14      printf("buf0 %x",buf0);
15      buf1 = malloc(0x80);
16      memset(buf1, "B", 0x80);
17      printf("buf1 %x",buf1);
18      printf("正常的chunk1、chunk2被分配\n");
19      free(buf0);
20      
21      buf2=malloc(1);
(gdb) b 21
Breakpoint 3 at 0x555555554855: file test.c, line 21.
(gdb) c
Continuing.
buf0 55756010buf1 557564b0正常的chunk1、chunk2被分配

Breakpoint 3, main (argc=1, argv=0x7fffffffdf58) at test.c:21
21      buf2=malloc(1);
(gdb) x/50x 0x555555756000
0x555555756000: 0x00000000  0x00000000  0x00000091  0x00000000
0x555555756010: 0xf7dd1b58  0x00007fff  0xf7dd1b58  0x00007fff
0x555555756020: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756030: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756040: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756050: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756060: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756070: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756080: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756090: 0x00000090  0x00000000  0x00000410  0x00000000
0x5555557560a0: 0x30667562  0x37353520  0x31303635  0x66756230
0x5555557560b0: 0x35352031  0x34363537  0xade63062  0xb8b8e5a3
0x5555557560c0: 0x63849ae7  0x6b6e7568
(gdb) n
22      memset(buf2, 0xb8, 1);
(gdb) 
24      printf("buf2 malloc\n");
(gdb) x/50x $rax
0x555555756010: 0xf7dd1bb8  0x00007fff  0xf7dd1bd8  0x00007fff
0x555555756020: 0x38383838  0x38383838  0x00000071  0x00000000
0x555555756030: 0xf7dd1b58  0x00007fff  0xf7dd1b58  0x00007fff
0x555555756040: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756050: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756060: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756070: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756080: 0x38383838  0x38383838  0x38383838  0x38383838
0x555555756090: 0x00000070  0x00000000  0x00000410  0x00000000
0x5555557560a0: 0x30667562  0x37353520  0x31303635  0x66756230
0x5555557560b0: 0x35352031  0x34363537  0xade63062  0xb8b8e5a3
0x5555557560c0: 0x63849ae7  0x6b6e7568  0x8180e331  0x6e756863
0x5555557560d0: 0xa2e8326b  0x8688e5ab

这里free(buf0)后 malloc buf2 结果地址是一个。
这里写图片描述

这里这个分配堆内存时,fastbin 不一定按快来分配。就是按顺序在地址上分配,释放的内存,在分配是就会在刚释放的地址上分配。
写入一个字节后,释放的内存中存在的指针fd 0xf7dd1b58 0x00007fff
在buf2的出现后变成了0xf7dd1bb8 0x00007fff
最后以为变化了。
这个地址应该可以泄露出.bss的地址。
这样之的话就可已泄漏出很多地址

所谓的释放重引用,应该是释放后,内存可以重新利用吧。

from zio import *

io=zio('./tst',timeout=9999)
#io.gdb_hint()
io.read_until('break')

sc='a'*32+l32(0x0)+l32(0x29)+l32(0x804A060)
#sc='abcd'
io.writeline(sc)
io.read()
inquisiter
关注
专栏目录
在pwn题中fastbin的利用
Vicl1fe的博客
09-28 672
参考和题目链接链接:https://paper.seebug.org/445/#pwnfastbin 前言 这个题,我搞了有一天,没搞出来,就在我快放弃的时候,才终于解出来,可能系统不一样,我覆盖不了参考文章的地址,最后我覆盖了别的地址。具体来看看吧。 ...
从两道基础题简单认识和了解fastbin double free漏洞的利用
weixin_44864859的博客
07-13 1041
fastbin double free原理 Fastbin Double Free 是指 fastbin 的 chunk 可以被多次释放,因此可以在 fastbin 链表中存在多次。这样导致的后果是多次分配可以从 fastbin 链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆 (type confused) 的效果。(即可以构造假的chunk实现任意地址写) Fastbin Double Free 能够成功利用主要有两部分的原因 fastbin 的堆块被释放后
x64 fastbin2
inquisiter
01-05 230
p=gdb.debug('./freenote_x64','''b *0x400caa c x/50x $rax c c c x/100x $rax-0x50 ''') notelen=0x10new_note("A"*notelen) new_note("B"*notelen) new_note("C"*notelen) new_note("D"*notelen) delete_note(2) d
fastbin3x64
inquisiter
01-06 211
notelen = 0x80#new_note("/bin/sh\x00"+"A"*(notelen-8)) new_note("A"*notelen) new_note("B"*notelen) new_note("C"*notelen) delete_note(2) delete_note(1) delete_note(0)fd = 0x11111111 #notetable bk = f
堆漏洞挖掘中fastbins的大小(DEFAULT_MXFAST、MAX_FAST_SIZE)
董哥的黑板报
07-30 2002
一、fastbins大小的默认最大值(DEFAULT_MXFASTfastbin中支持的fastchunk的默认最大值为128字节。在glibc中用“DEFAULT_MXFAST”宏定义表示 二、fastbins大小的最大值(MAX_FAST_SIZE) 但是其支持的fastchunk的数据空间最大为160字节。在glibc中用“MAX_FAST_SIZE”宏定义表示 最大值的g...
Linux 堆溢出之fastbin实例
M021的专栏
11-11 3993
Linux下堆溢出 fastbin实例
PWN入门笔记 FastBinAttack+HouseOfSpirit+UnsortedBinLeak
cossack9989的博客
05-24 1527
好久没发文章了,从3月到5月所有学习记录全都存档在gitee上,包括本篇所有相关题目的exp,链接在此~ 接下来想讲一讲自己对FastBinAttack和HouseOfSpirit以及UnsortedBinLeak的认识,因为我发现这俩攻击方法和这一种泄露方法最近用的贼多(也很好用),与其说是Pwn Heap,不如说是Pwn Linked-List(手动狗头) FastBinAttack P...
fastbin attack + unsorted bin attack+ heap overflow+ double free fastbin + double free unlink
qq_39869547的博客
10-27 386
0x1 fastbin依靠单链表来组织的,堆管理结构始终维护一个指向最后一个chunk的指针(倒数第二个chunk的fd,通常情况这个fd指向的是下一个chunk起始地址)。这个指针决定了下一次要分配的chunk地址。 也就是说默认分配最好一个chunk给用户使用,同时最后一个chunk也是我们一开始第一个free掉的 0x2 我们的目的修改某一个chunk的fd ,这样我们就可以任意地址分配我们...
pwn 堆入门之fastbin attack
清霂的博客
04-02 333
目录floworeo b站原本有一个对堆基础讲的挺好的,好像叫pwn术进阶的堆溢出,但刚刚去看已经没了,好家伙,还好我刚看完,哈哈哈。 flow 涅普计划-ctf入门课堆溢出 #!/usr/bin/env python2 from pwn import * context(os="linux", arch="amd64", log_level="debug") #libc libc=ELF("libc.so.6") malloc_libc=libc.symbols['__malloc_hook'] m
堆漏洞挖掘中的bins分类(fastbin、unsorted bin、small bin、large bin)
热门推荐
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin链中的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
一个实例讲解fastbins上的堆利用
小强的博客
09-06 1464
这道题是hctf2016年“就是干”那道题。附件有下载地址及writeup。我就是分析一下: 首先IDA分析一下: 新建两个结构体 00000000 str_struct struc ; (sizeof=0x20) 00000000 str dq ? 00000008 str_padding dq ? 00000010 size
堆溢出----Fastbin Attack
qq_42192672的博客
10-23 1481
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/fastbin_attack/                   https://www.anquanke.com/post/id/85357 之前稍微了解了一波Use After Free ,运用了fastbin,这次继续学一下fastbin的其他攻击方式,希望能学会...
运行时出现错误 invalid fastbin entry (free):
Liber-coder的博客
11-19 5892
运行时出现错误 invalid fastbin entry (free)
(jarvisoj)(pwn)guestbook2/level6_x64
PLpa的博客
08-28 1137
guestbook2和level6_x64真的是一摸一样的,两个题目除了提示文字不同,其他的漏洞根本一样,鉴于jarvisoj中的pwn服务器比pwn2服务器要稳定一点,所以这里就写guestbook2。 前言: 这里,我提供两种方法解题,一种是利用unlink的任意地址读写功能泄露libc基址,一种是用unsorted bin和use after free来泄露libc基址,两种方法都行。 漏洞...
jarvisoj_freenote_x64
seaaseesa的博客
04-17 429
jarvisoj_freenote_x64 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能清空了标记但是,没有清空指针,使得可以多次free。 由于清空了标记,因此这个UAF只能用来double free。 用于输入的函数会输完a2个字符为止,会将堆里的指针覆盖掉,因此也无法直接泄露地址。 由此想到的方法就是构造overlap chunk,我们注意...
pwn工具箱之fastbin attack
jmp esp
05-22 2251
fastbin attack基本信息 利用类型: 堆利用 堆利用类型: 针对fastbin的利用 利用思想: 利用fastbin的free只检查是否和上一个freechunk相等,使得同一个chunk两次进入free list,造成UAF,可以更改fastbin free chunk的fd信息,最终分配一个特定地址 利用难点 需要能够两次free同一个chunk 更改fd的时候,为了能够在之后的ma
一步一步学ROP之gadgets和2free篇
omnispace的博客
03-06 2473
原文: http://drops.wooyun.org/binary/10638 0x00序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术,可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x64的ROP攻击。 一步一步学ROP之linux_x86篇http://d
好好说话之Fastbin Attack(1):Fastbin Double Free
hollk’s blog
10-23 3169
好像拖更了好久。。。实在是抱歉。。。。主要是fastbin attack包含了四个部分,后面的例题不知道都对应着哪个方法,所以做完了例题才回来写博客。fastbin attack应该也会分四篇文章分开写。学了这么长时间pwn给我最大的感受就是量变确实可以引起质变,现在做题或者学习新的技术的时候可以隐约的进行以点看面的思考,通过某一处问题会在心里想象可能会引发什么什么样的后果。总的来说不后悔入坑pwn,字节之间的环环相扣让我深深的着迷!
见微知著(二):解析ctf中的pwn--怎么利用double free
weixin_30515513的博客
12-18 202
  这次选2015年的0ctf的一道非常经典的pwn题,感觉这个题目作为练习题来理解堆还是很棒的。   运行起来,可以看出是一个实现类似于记事本功能的程序,就这一点而言,基本是套路了,功能都试一遍之后,就可以去试着寻找漏洞了, 看呀看,看呀看,发现一个问题,咦,好像在free堆的时候没有进行检查额,有趣,问题肯定就在这里了。   详细看过0day安全的都记得书里面的Dword Shoot...
FASTBIN CONSOLIDATION THRESHOLD, fastbin 中的chunk一般不会与其他chunk合并。但如果合并之后的chunk大于FASTBIN_CONSOLIDATION THRESHOLD ,就 会 触 发malloc consolidate()函数,将fastbin 中的 chunk 与其他 freechunk合并,然后移动到unsorted bin中。 #define FASTBIN CONSOLIDATION THRESHOLD (65536UL)
最新发布
07-20
这段代码是关于 fastbin 中的 chunk 合并的宏定义。 1. `FASTBIN_CONSOLIDATION_THRESHOLD` 宏定义表示 fastbin 中的 chunk 不会自动与其他 chunk 合并,除非合并后的大小超过了该阈值。该阈值的值为 65536UL,即 65536 个字节。 当 fastbin 中的 chunk 合并后的大小超过了 `FASTBIN_CONSOLIDATION_THRESHOLD`,就会触发 `malloc_consolidate()` 函数。该函数会将 fastbin 中的 chunk 与其他 free chunk 进行合并,并将合并后的 chunk 移动到 unsorted bin 中。 需要注意的是,这段代码可能是从某个特定上下文中提取的,我无法提供完整的代码和上下文。所以如果你需要更多信息或者有其他问题,请提供更多细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值