how2heap-fastbin_dup_consolidate

最新推荐文章于 2024-02-10 12:32:51 发布
最新推荐文章于 2024-02-10 12:32:51 发布
阅读量233 收藏 1
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/117136633
版权

fastbin_dup_consolidate

  • consolidate 过程

    1. 若 get_max_fast() 返回 0,则进行堆的初始化工作,然后进入第 7 步
    2. 从 fastbin 中获取一个空闲 chunk
    3. 尝试向后合并
    4. 若向前相邻 top_chunk,则直接合并到 top_chunk,然后进入第 6 步
    5. 否则尝试向前合并后,插入到 unsorted_bin 中
    6. 获取下一个空闲 chunk,回到第 2 步,直到所有 fastbin 清空后进入第 7 步
    7. 退出函数

  • poc

    a=malloc(x);
b=malloc(x);
free(a)//a进入fastbin中
 
c = malloc(0x400)
//申请large bin的时候已经执行了malloc_consolidate,使得fastbin中的a放入smallbin中

free(a)
//并不会报错,因为这个时候a已经被放到了smallbin之中,fastbin中没有a,之后a再次进入fastbin中
 
//此时的a中信息如下:
a.bk->smallbin
a.fd->0//由于处在fastbin的第一个,所以fd被清空
 
malloc(x) = a//这时候a中存在smallbin的信息,可以进行泄露
malloc(x) = a//可以再次申请,再次得到a

  1. 申请两个fast bin大小的chunka、chunkb,释放chunk a

    在这里插入图片描述

  2. 申请lage bin大小的chunk c,此时会进行malloc_consolidate,将fast bin中的chunk放入small bin,可以泄漏small bin中的信息

    在这里插入图片描述

  3. 此时fast bin中没有bin,可以再次释放chunk a,触发double free

    在这里插入图片描述

  4. 后面的操作,就跟double free 一样利用即可.

huzai9527
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
core_analyzer-2.18-src_Only_heap_src-only_analyzer_dump_
10-01
"core_analyzer-2.18-src_Only_heap_src-only_analyzer_dump_" 这个标题表明我们正在讨论一个专门用于分析内存堆(heap)的工具,名为 "core analyzer" 的源代码版本,具体是2.18版。"src only" 指出这个版本仅包含...
How2heap--fastbin_dup_consolidate(by glibc-2.23)
qq_53058639的博客
07-25 79
首先malloc两个0x40大小的fastbin chunk同样申请0x40,加上0x10大小的chunk头,1字节的假大小(由于inuse位为1),实际大小为0x50继续调试,对p1进行了freep1被放进fastbin的空闲链表然后再malloc一个0x400大小的largbin chunk来看一下_int_malloc()源码检查是否是fastbin范围检查是否是smallbin范围都不是就判断属于largebin
4.fastbin_dup_consolidate
06-08 295
源代码 1 #include <stdio.h> 2 #include <stdint.h> 3 #include <stdlib.h> 4 5 int main() { 6 void* p1 = malloc(0x40); 7 void* p2 = malloc(0x40); 8 fprintf(st...
Fastbins dup_consolidate探究
qq_41252520的博客
08-29 294
演示代码 #include <stdio.h> #include <stdint.h> #include <stdlib.h> int main() { void* p1 = malloc(0x40); void* p2 = malloc(0x40); fprintf(stderr, "Allocated two fastbins: p1=%p p...
how2heapfastbin_dup_consolidate(包含sleepyholder)
eeeeeight的博客
03-29 440
fastbin_dup_consolidate Column: Mar 28, 2021 昨日dasctf, 临时学会了house of orange, 但依旧爆零, 哎, 只能说自己不够努力 利用方式及其效果: 方式: 很简单, 先申请一个fastbin范围内的堆1, 再随便申请一个堆2防止被topchunk合并, 之后释放堆1, 申请large bin大小的堆3, 最后释放一次堆1, 此时不会段错误, 而会让堆1同时存在于fastbin与unsortedbin中 效果: 个人认为how2heap中讲的并
Double free(hows2heap
fanghuapyk的博客
04-23 1624
1.fastbin_dup fast bin fast bin主要是用来存放一些小的内存,使用fastbin可以提高小内存的分配效率,在默认情况下,对于SIZE_SZ为4B(32位)的平台,小于64B(字节)的chunk分配请求,和对于SIZE_SZ为8B(64位)的平台,小于128B的chunk分配请求首先会在fast bin中查找是否有所需大小的chunk存在,如果存在,就会直接返回内存资源,如果不存在,才会到其他bins中去查找。 fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过 f
platform-tools_r31.0.2-windows
07-05
平台工具包"platform-tools_r31.0.2-windows"是Android开发不可或缺的一部分,由Google官方发布,主要用于支持Android应用程序的构建、调试和部署。这个版本号表示这是平台工具的第31.0.2次更新,针对Windows操作...
ion_heap.rar_ION_V2 _heap
09-19
2. **缓存对齐**:为了提高数据访问效率,ION V2 heap会确保分配的内存块满足缓存对齐的要求,这对于硬件加速和数据传输至关重要。 3. **内存共享**:ION V2 heap支持跨进程的内存共享,允许多个驱动程序或者进程...
native_heapdump_viewer.py
07-16
3.抓取步骤2进程的堆栈数据,如进程pid是4723 am dumpheap -n 4723 /data/00.txt am dumpheap -n 4723 /data/01.txt 4.格式化堆栈数据 python native_heapdump_viewer.py --symbols symbols 00.txt >00.log python ...
从零开始学howtoheapfastbins的double-free攻击实操2
最新发布
weixin_44626085的博客
02-10 1016
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见。
how2heap个人学习总结
u014377094的博客
04-17 698
how2heap个人学习总结 1.fastbin_dup double free基本操作 2.27下由于多了tcache,可以先free7个填满tcache再calloc3个后free放入fastbin。calloc与malloc区别除了对语法略有不同,会对内容初始化以外还会跳过tcache直接执行int_malloc。 后续2.31,32,33,34无区别。 2.fastbin_dup_into_stack double free基操,有一点需要注意,fast chunk在获取时会对其大小 进行检测,检查
堆机制利用之fastbin
weixin_48066554的博客
05-04 2312
堆机制利用之fastbin 前半部分:基于libc2.23(无tcache) 堆机制(fastbin等) 想要了解堆的机制利用方法必须要先了解堆的基本机制以及结构 目前主要使用的内存管理库是ptmalloc,而在ptmalloc中,用户请求的空间由名为chunk的数据结构表示 下面就是一个标准的chunk结构 该chunk中,**prev_size参数为前一chunk(如果未被使用)的大小,size参数为该chunk的大小,而P参数(pre_insue)为标志位,标志前一个chunk的使用情况。**而上述
fastbin attack快速入门
abelxu
11-13 1147
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小堆块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,堆块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小堆块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
堆漏洞挖掘中的bins分类(fastbin、unsorted bin、small bin、large bin)
热门推荐
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin链中的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
linux适当堆内存,linux堆内存漏洞利用之fastbin
weixin_42245967的博客
04-30 392
背景介绍在前一节主要介绍了Glibc的堆内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc堆内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为:fastbin的攻击smallbin的攻击largebin的攻击unsorted bin的攻击top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利用具体的fastbin的介绍请参考前一节和 Linux堆内...
fastbin attack
m0_64195960的博客
07-19 1416
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
2.fastbin_dup
06-08 310
源代码  演示了doublefree 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 fprintf(stderr, "This file demonstrates a simple double-free attack with fastbin...
堆学习——fastbin_dup_into_stack
qq_41560595的博客
03-13 472
前面写了double free实现,现在写double free的升级篇, #include <stdio.h> #include <stdlib.h> int main() { fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" "returning a pointer to a controlled location (in this case, the
FreeRTOS内存分配解析-Heap_1实例
如果需要动态分配和释放内存,那么可能需要选择FreeRTOS提供的其他更复杂的内存管理方案,如Heap_2、Heap_3或Heap_4,它们提供了内存回收的功能。 Heap_1 是一个简单而确定性的内存分配方案,适合那些对内存管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值