how2heap-double free

最新推荐文章于 2024-02-09 11:10:41 发布
最新推荐文章于 2024-02-09 11:10:41 发布
阅读量139 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/117127463
版权
本文揭示了doublefree攻击原理,如何利用未检查chunk标识的漏洞,通过填充tcache并操纵内存分配,实现任意地址写入。重点讲解了doublefree条件、tcache的影响以及操作流程,包括假chunk的使用和内存分配的控制。
摘要由CSDN通过智能技术生成

how2heap

double free

  • 通过double free 能够实现hose of spirit,即能够在想要的地址分配相应的chunk,实现任意地址写
  • double free 存在的条件是,在free的时候没有检查chunk的标识位(用户)
  • glibc 2.2加入tcache后,double free需要先填满tcache

  1. double free 后的bins情况

    在这里插入图片描述

  2. 第一次申请,写入fake_chunk_addr

    在这里插入图片描述

  3. 再连续两次申请,消耗fastbin,只剩下fake_chunk在链表中

    在这里插入图片描述

  4. 下一次申请,就会将chunk分配到fake_chunk_addr的地方

huzai9527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
how2heap-2.23-11-poison_null_byte
blind cat
01-08 1322
当然不止这一种,下面最简单的形式。
how2heap-2.23-01-fastbin_dup
blind cat
01-04 1219
在从fastbin中申请chunk的时候,会检查该链中chunk的是否确实属于该fastbin链,检查的是在fastbin中的下标,实际检查的是该chunk的size。然后为了适应这个欲修改位置的fastbin,需要自己申请malloc合适该chunk的大小,再释放到fastbin,并将欲修改的位置链进去。将fastbinY中存储的chunk申请出来,并将该chunk->fd中存储的地址放到fastbinY中。因为会对fastbinY中之前释放的chunk与刚刚释放的chunk进行检查。
heapdouble free
weixin_44113469的博客
04-14 533
susctf tache_pwn 利用double free 控制全局变量,泄露puts函数地址,查出libc库,利用malloc_hook写入one_gadget执行。 为了加深理解,画了一个图 malloc_hook 钩子利用同理。 exp from pwn import* p = remote("211.65.197.117",10007) a = ELF("./libc6_2.2...
Glibc堆利用-Double Free
pointerr的博客
10-24 315
Glibc堆利用-Double Free 漏洞成因:使用完一个chunk之后,只是free掉了指针,没有将内容置null 漏洞结果:可以实现任意地址的写功能。 0x01 这里我们采用了师傅的样例程序,先检查该程序: 看到:保护全开,使用ida进行反编译分析: 发现经典菜单栏:并且实现了以下功能: void __fastcall main(__int64 a1, char **a2, char **a3) { int v3; // ebx int v4; // [rsp+Ch] [rbp-44h]
Double Free浅析(泄露堆地址的一种方法)
omnispace的博客
04-18 7265
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞。double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像和普通的堆溢出伪造chunk然后free触发unlink...
Linux堆溢出漏洞利用之unlink
AliMobileSecurity的博客
06-06 4954
本文详细介绍了unlink攻击技术的核心原理,虽然上述介绍的unlink漏洞利用技术已经失效,但是还是有必要认真学习,因为它一方面可以进一步加深我们对glibc malloc的堆栈管理机制的理解,另一方面也为后续的各种堆溢出攻击技术提供思路。
Double free(hows2heap
fanghuapyk的博客
04-23 1659
1.fastbin_dup fast bin fast bin主要是用来存放一些小的内存,使用fastbin可以提高小内存的分配效率,在默认情况下,对于SIZE_SZ为4B(32位)的平台,小于64B(字节)的chunk分配请求,和对于SIZE_SZ为8B(64位)的平台,小于128B的chunk分配请求首先会在fast bin中查找是否有所需大小的chunk存在,如果存在,就会直接返回内存资源,如果不存在,才会到其他bins中去查找。 fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过 f
How2heap -- fastbin_dup_into_stack(by glibc-2.23)
m0_56642842的博客
05-31 203
how2heap 的 fastbin_dup_into_stack.c 源码 pwndbg 调试观察 先malloc了3块内存 堆块结构: 这里堆信息显示的堆块地址都比栈上存储的堆块地址小0x10,这是因为heap显示的地址是堆块的真正的头部地址,指向的是堆块的第一个数据prev_size,而栈上存储的地址是返回给用户使用的指针fd的位置,pre_size和size字段在64位操作系统上都是8字节大小,所以前面占了0x10,导致看到的两个地址相差0x10大小 至于申请的堆块大小为0x20,实际size
pwn学习-how2heap-fastbin_dup
qq_39153247的博客
08-20 1478
今天打完比赛身心疲惫,来复习复习把,写一点简单的把   之所以记录一下fastbin,是因为现阶段我能接触到最多的就是它了。   fastbins: 程序中总是会分配一些比较小的堆块,对于这些堆块来说,如果我们直接将他们合并,那么下次申请的时候还需要重新切割出来,降低了运行的效率,所以ptmalloc设计了fastbins. fastbins共有10个bin,分别是8-80字节,依次增...
how2heap 1-4
WHOISjxb的博客
04-06 599
文章目录1. First_fit.c2. Fastbin_dup.c 64位系统以下各字段均为8字节,32位系统为4字节。 glibc2.26及以上版本有tcache机制。咱目前也不太懂,快刀斩乱麻,glibc2.25的实验在Ubuntu16.04上做,glibc版本信息如下: 1. First_fit.c 运行结果: 分析: 新版的how2heap这里改为0x512、0x256(十六进制...
how2heap glibc 2.27
qq_46441427的博客
10-10 736
fastbin dup 展示了glibc2.27里利用double free进行的fastbin attack #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { setbuf(stdout, NULL); printf("This file demonstrates a simple double-free attack with fastbins.\n"); pri
从零开始学howtoheap:理解fastbins的double-free攻击
最新发布
weixin_44626085的博客
02-09 1464
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客 1.fastbins的double-free攻击 下面的程序展示了fastbins的double-free攻击,可以泄露出一块已经被分配的内存指针。fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过fastbin->fd来遍历。由于free的过程会对free list做检查
图解double free 原理
yy2014yy的博客
03-22 2934
理解double free
Double Free浅析
热门推荐
这里没人
05-14 1万+
最近在研究一些堆上面的漏洞。然后某一天骑自行车在路上跑的时候我突然悟出了Double Free的真谛。 2333好像太中二了一点,我是根据堆溢出的利用方法启发,再结合linux中libc的源码。研究出了double free的利用方法。虽然有关double free的利用技巧已经不是一个秘密。不过好像很少有相关的中文的介绍,所以以一个初学者的角度来讲解一下double free漏洞的利用方法。 ...
ctf-pwn-patchelf-用题目给的libc运行二进制文件
huzai9527的博客
07-07 5380
用给定的libc进行调试 首先根据题目给你的libc,查找相应版本的连接器 然后去glibc-all-in-one中下载相应的ld文件 glibc-all-in-one安装步骤 https://github.com/matrix1001/glibc-all-in-one 使用 查看各unbuntu版本的glibc ./update_list cat list 下载对应版本的glibc ./download 2.27-3ubuntu1_amd64 下载好的glibc在l
[_IO_FILE] 原理解析
huzai9527的博客
11-10 3712
FSOP CFF-WIKI中有如下描述 FSOP 的核心思想就是劫持_IO_list_all 的值来伪造链表和其中的_IO_FILE 项,但是单纯的伪造只是构造了数据还需要某种方法进行触发。FSOP 选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用 fflush,也对应着会调用_IO_FILE_plus.vtable 中的_IO_overflow。 触发条件 梳理一下 FSOP 利用的条件,首先需
IDA修复跳表
huzai9527的博客
11-08 1966
一、 IDA打开遇到JUMP CS命令 这是由于GCC在编译超过5个switch的结构时会用跳表进行优化,变成上面的样子 二、使用EDIT --> other --> specify switch 将光标打在JUMP命令上按TAB键切换到汇编,然后才能进行编辑 我解释一下各个参数的意义 Address of Jump table:跳表的地址,cmp eax 5,之后跳到的地址,这里就是0x69E0 Number of elements:switch 的个数,先前cmp eax 5,加
orw_shellcode_模板
huzai9527的博客
05-23 1582
orw 64位 shellcode shellcode = "\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05" #pwntools context.arch = elf.arch shellcode = asm(shellcreaft.sh()) orw #pwntools shellcode = '' shellcode += shellcraft.open
heap-use-after-free
09-06
"heap-use-after-free" 是一种常见的内存错误,通常发生在程序试图在释放了一块内存后仍然引用该内存地址的情况下。 在使用堆分配的内存时,如果程序在释放内存后还引用该内存地址,就会导致 "heap-use-after-free...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值