PWN入门笔记 FastBinAttack+HouseOfSpirit+UnsortedBinLeak

最新推荐文章于 2024-02-05 11:36:00 发布
最新推荐文章于 2024-02-05 11:36:00 发布
阅读量1.5k 收藏 6
点赞数 3
分类专栏: PWN_of_CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cossack9989/article/details/80444069
版权

好久没发文章了,从3月到5月所有学习记录全都存档在gitee上,包括本篇所有相关题目的exp,链接在此~
接下来想讲一讲自己对FastBinAttack和HouseOfSpirit以及UnsortedBinLeak的认识,因为我发现这俩攻击方法和这一种泄露方法最近用的贼多(也很好用),与其说是Pwn Heap,不如说是Pwn Linked-List(手动狗头)

FastBinAttack

Propaedeutics
What is fast bins?

64位系统中,FastChunk是用户申请的size在[0x20,0xA0]的堆块(32位系统中是[0x10,0x50]),而FastBin则是size在[0x20,0xA0]的空闲堆块。每个Fastbin实质上是一个LIFO的单向链表,而Fastbins实质上是一个数组,数组上10个元素储存着每个Fastbin的head

Structure of a chunk (freed or not)
(not used)(in bins)
+-----------+-----------+
| prev_size |    size   |
+-----------+-----------+
|     fd    |     bk    |
+-----------+-----------+
|fd_nextsize|bk_nextsize|(fastchunk do not have this part)
+-----------+-----------+
|         empty         |
+-----------------------+
(now used)(not in bins)
+-----------+-----------+
| prev_size |    size   |========|
+-----------+-----------+        |
|        content        |        |
+-----------------------+        |
                                 |
size(showed in the form of bits) |
+-----------------+-+-+-+        |
|                 | | | | <======|
+-----------------+-+-+-+
   NON_MAIN_ARENA<-| | |
        IS_MAPPED<---| |
    (P)PREV_INUSE<-----| (the prev_inuse of fastchunk is always 1)
#define MAX_FAST_SIZE     (80 * SIZE_SZ / 4)
// SIZE_SZ==4 in 32bits OS while 8 in 64bits OS
#ifndef DEFAULT_MXFAST
#define DEFAULT_MXFAST     (64 * SIZE_SZ / 4)
#endif
// MXFAST is a value can be modified

然而,ptmalloc 默认情况下会调用 set_max_fast(s) 将全局变量 global_max_fast 设置为 DEFAULT_MXFAST,也就是设置 fast bins 中 chunk 的最大值。当 MAX_FAST_SIZE 被设置为 0 时,系统就不会支持 fastbin 。

mfastbinptr fastbinsY[NFASTBINS];
// NFASTBINS usually is 10, that is to say, there should be 10 pointer to store bins of different size.

Click here to know more

Attack Method

攻击的关键在于控制一根fd指针,然后修改指针内容为一个恶意地址,于是malloc的下一个fast chunk就会出现在fd指向的恶意地址,于是就达成了MemoryWrite的目的。
而如何控制一根fd指针呢?
修改FastBin来修改已free的chunk,然后再调用若干次malloc直到成功重新使用edited fast chunk,下一个malloc的FastChunk将会出现在上一个chunk的fd指针里写入的恶意地址。恶意地址的特征是存在一段dword,其低地址的1byte恰好在FastChunk的size之间,而其余高地址bytes全为\x00。通常考虑在Global Offset Table或者Block Started by Symbol或者加载的libc(e.g __malloc_hook)中寻找一个合适的恶意地址。

NJUPT-CGCTF:note(300pt)

此题提供了edit功能,无需DoubleFree,直接在形成FastBin之后edit,即可控制fd,直接修改链表

ISCC2018:WriteSomePaper(200pt)

此题并未提供edit功能,需DoubleFree,再Add一次被DoubleFree的chunk,即可控制fd,间接修改链表

others

也可通过非OffByOne的堆溢出来修改链表,其余方法等待探索吧。

HouseOfSpirit

Propaedeutics
What is HOS?

free的参数可控,导致任意地址free,再次allocate遂导致指定地址MemoryWrite

Attack Method

通过修改fd来控制note_list,从而控制free的参数,广义上而言,大多数情况下可以通过fastbin来进行攻击

ISCC2018:HappyHotel(300pt)

其实这道题原题是LCTF2016的pwn200……无语了这破比赛。通过溢出override指针,再去free这个指针,从而HOS。

UnsortedBinLeak

经常需要用到LibcBaseAddr,这时候就必须来一发UnsortedBinLeak

Propaedeutics
What is unsorted bin?

UnsortedBin只有一个链表,且是FIFO的环形双向链表。当释放SmallChunk或者LargeChunk时,不会将它们添加到SmallBin或者LargeBin中,而是添加到UnsortedBin中。而UnsortedBin有一个特性,就是第一个处于其中的空闲chunk的fd和bk都指向main_arena中一固定地址比如<main\_arena+88>这种。

Leak Method
NJUPT-CGCTF:note(300pt)

连续Add两个SmallChunk后delete第一个并且Show,返回值即为&main_arena+88

SCUTCTF2017:babyheap

连续Add三个FastChunk(也可视作SmallChunk)后delete第一个并且Show,也返回了main_arena中偏移量固定的地址

The END

等我(不入流PWN手)把HouseOfOrange学会了再来发博客咯

最后打个小广告
欢迎大家加入W8Cloud,一起学习信息安全知识。
组织链接在此~
组织官网在此~

C0ss4ck
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
堆溢出----Fastbin Attack
qq_42192672的博客
10-23 1451
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/fastbin_attack/                   https://www.anquanke.com/post/id/85357 之前稍微了解了一波Use After Free ,运用了fastbin,这次继续学一下fastbin的其他攻击方式,希望能学会...
好好说话之Fastbin Attack(2):House Of Spirit
hollk’s blog
10-30 3090
Fastbin Attack的第二种攻击方式House Of Spirit,相对来说是double free的升华。在检查绕过的时候会相对麻烦一点,其他的地方还是挺简单的,如果上一篇文上你领悟的很好的话,这篇文章也不会很难理解。 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
fastbinattack&house of spirit——oreo
m0_61948538的博客
02-25 83
fastbinattack,double free,house of spirit
fastbin attack
m0_64195960的博客
07-19 1404
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
Fastbin attack总结
WateranFire的博客
10-12 262
double free 思路: 构造fake chunk,将free chunk的fd指向fake chunk,使得下次malloc时返回fake chunk 检测: (1)fastbin 在执行 free 的时候仅验证了 main_arena 直接指向的块,即链表指针头部的块。对于链表后面的块,并没有进行验证。 (2)malloc申请伪造的fastbin时会检测fastbin的SIZE 流程: a1=malloc(); a2=malloc(); free(a1); free(a2); //
pwn入门题目+exp
01-26
初级的ROP,附有完整exp,可以学一下
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞等
warmup pwn入门
02-11
pwn入门
信息安全PWN入门指导
07-18
信息安全PWN入门指导:用于CTF的入门PWN的学习,是入门指导。
hitcontraining_lab14学习(以及Unsorted Bin的个人理解
a2590035252的博客
09-16 1495
适合和我一样的菜鸡pwner
2014 hack.lu oreo house of sprit
m0_57754423的博客
02-14 218
什么是house of spirit? 简单说一下我自己的理解,详细的可以看wiki。 其核心在于在一个任意可写或间接可写的位置伪造一个fake_chunk,然后通过释放该fake_chunk,即可将该fake_chunk连入fastbin中,通过malloc达到分配指定地址chunk的目的。 看道例题:2014 hack.lu oreo 漏洞点:存在堆溢出,chunk未完全free 利用思路: 1.泄露libc: add一个chunk,并且将该chunk的第13个地址位改为任意函数的g
[pwn]堆:fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...
How2Heap笔记(三)
kelxLZ的博客
01-25 689
Author:ZERO-A-ONE Date:2021-01-22 一、house_of_spirit house-of-spirit 是一种 fastbins 攻击方法,通过构造 fake chunk,然后将其 free 掉,就可以在下一次 malloc 时返回 fake chunk 的地址,即任意我们可控的区域。house-of-spirit 是一种通过堆的 fast bin 机制来辅助栈溢出的方法,一般的栈溢出漏洞的利用都希望能够覆盖函数的返回地址以控制 EIP 来劫持控制流,但如果栈溢出的长度无.
PWN · heap | House Of Spirit】2014_hack.lu_oreo
最新发布
Mr_Fmnwon的博客
02-05 859
将chunk劫持到指定位置,能够大有作为,而House Of Spirit的目的就是这一点。最初了解仅是了解,通过本题,对于利用手法的利用,感悟更为深入。House of Spirit 是中的一种技术。该技术的核心在于在目标位置处伪造 fastbin chunk,并将其释放,从而达到分配指定地址的 chunk 的目的。要想构造 fastbin fake chunk,并且将其释放时,可以将其放入到对应的 fastbin 链表中,需要绕过一些必要的检测,即。
N1CTF 塞题vote分析
Juny0117的博客
04-13 295
  N1CTF 塞题vote分析:这个题是一个uaf的漏洞题,我们先看看漏洞(如下图),这两部分是很明显的对比的啊。当单独的一个count数组的数据和堆里的数据相同时候,就会释放堆,堆释放后的count还会有指针指向这块内存,释放后我们能够(通过vote)修改数据,典型的uaf。那么我们修改构造(fd)的数据时候,下次申请特定地址的内存的时候,就可以对特定内存进行修改的。    ...
CTF PWN Fastbin堆溢出入门
liucc09的博客
12-12 589
目标程序及EXP下载 解题思路 添加新武器时会在偏移52个字节的地方存下上一个武器的内存地址如下: *((_DWORD *)dword_804A288 + 13) = v1; //13个DWORD就是13*4=52字节 输入武器名时存在溢出,因此可以覆盖这个地址,指向另一片内存; 提交订单时会通过单向链表的方式free各个武器的内存区域,由于第1步中可以修改武器链表的上一个武器内存地址,因此可以释放一个我们指定的内存到fastbin中; 我们指定的内存肯定得是我们可以控制的内存,例如程序中的mess
堆漏洞挖掘中的Chunk分类(allocated chunk、free chunk、top chunk、last remainder chunk)
董哥的黑板报
07-22 3665
此图是在上篇文章介绍arena时用到的,我们可以看到:堆块被分为不同的种类,下面我们将来介绍这些 chunk的分类 每一类就是一个malloc_chunk结构体,因为这些chunk同属于一个堆块,所以在一块连续的内存中,只是通过区域中特定位置的某些标识符加以区分 glibc给我们申请的堆块主要分为以下几类: allocated chunk free chunk top chunk ...
ByteCTF note_five 经验总结
qq_43189757的博客
10-10 798
每到接触新知识得时候总要花不少力气搞懂(汗,这题是关于改写global_max_fast 再通过fastbin attack来getshell, 总结一下学到的知识点和解题思路 思路: 这题限制了chunk的size, 大小为0x8f~0x0x400,在edit info 函数处存在 off-by-one 漏洞,通过这个漏洞可以改写chunk的size 一开始的思路是创建几个chunk,然后通过修...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值