How2heap -- fastbin_dup_into_stack(by glibc-2.23)

最新推荐文章于 2024-03-31 09:32:53 发布
最新推荐文章于 2024-03-31 09:32:53 发布
阅读量207 收藏 2
点赞数
分类专栏: 漏洞复现 黑客 网络安全 文章标签: 数据挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56642842/article/details/117408638
版权
本文详细分析了how2heap的fastbin_dup_into_stack.c,通过pwndbg调试展示了堆内存管理的过程,讨论了fastbin分配策略,特别是double free漏洞的产生原因和利用方式,最后提出了安全建议——free后应将指针置NULL。
摘要由CSDN通过智能技术生成

how2heap 的 fastbin_dup_into_stack.c 源码

pwndbg 调试观察

先malloc了3块内存

堆块结构:

这里堆信息显示的堆块地址都比栈上存储的堆块地址小0x10,这是因为heap显示的地址是堆块的真正的头部地址,指向的是堆块的第一个数据prev_size,而栈上存储的地址是返回给用户使用的指针fd的位置,pre_size和size字段在64位操作系统上都是8字节大小,所以前面占了0x10,导致看到的两个地址相差0x10大小

至于申请的堆块大小为0x20,实际size位显示的却比申请大小大1字节,这是因为size字段低三比特位为特殊的flag值

分别为

​ NON_MAIN_ARENA, 记录当前堆是否不属于主线程,1表示不属于,0表示属于

​ IS_MAPPED, 记录当前堆是否是由mmap分配的

​ PREV_INUSE, 记录前一个堆块是否被分配(就是是否在使用状态)

但是fastbin为了快速分配使用&#

最低0.47元/天 解锁文章
m0_56642842
关注
专栏目录
how2heap-2.23-02-fastbin_dup_into_stack
blind cat
01-04 350
fastbin_dup_into_stackfastbin_dup没啥区别 https://blog.csdn.net/u014679440/article/details/135383465。仅仅是欲修改的位置,在栈中。
堆学习——fastbin_dup_into_stack
qq_41560595的博客
03-13 491
前面写了double free实现,现在写double free的升级篇, #include <stdio.h> #include <stdlib.h> int main() { fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" "returning a pointer to a controlled location (in this case, the
3.fastbin_dup_into_stack
06-08 484
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" 7 "r...
fastbin_dup_into_stack.c 调试记录
a673562566的博客
08-18 198
源码如下 int main() { fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" "returning a pointer to a controlled location (in this case, the stack).\n"); unsigned long long stack_var; fprintf(stderr, "The addres...
pwn学习-how2heap-fastbin_dup
qq_39153247的博客
08-20 1486
今天打完比赛身心疲惫,来复习复习把,写一点简单的把   之所以记录一下fastbin,是因为现阶段我能接触到最多的就是它了。   fastbins: 程序中总是会分配一些比较小的堆块,对于这些堆块来说,如果我们直接将他们合并,那么下次申请的时候还需要重新切割出来,降低了运行的效率,所以ptmalloc设计了fastbins. fastbins共有10个bin,分别是8-80字节,依次增...
how2heap 1-4
WHOISjxb的博客
04-06 607
文章目录1. First_fit.c2. Fastbin_dup.c 64位系统以下各字段均为8字节,32位系统为4字节。 glibc2.26及以上版本有tcache机制。咱目前也不太懂,快刀斩乱麻,glibc2.25的实验在Ubuntu16.04上做,glibc版本信息如下: 1. First_fit.c 运行结果: 分析: 新版的how2heap这里改为0x512、0x256(十六进制...
how2heap glibc 2.27
qq_46441427的博客
10-10 755
fastbin dup 展示了glibc2.27里利用double free进行的fastbin attack #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { setbuf(stdout, NULL); printf("This file demonstrates a simple double-free attack with fastbins.\n"); pri
从零开始学howtoheapfastbins的double-free攻击实操2
weixin_44626085的博客
02-10 1031
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见。
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4289
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
0ctf_2017_babyheap-fastbin_dup_into_stack
个人笔记
05-19 456
参考:题目下载参考[1]通过pause()构成一个断点。本人尝试的其它方式都无法在payload中下断成功。如有知道的师傅欢迎在评论区分享。
堆机制利用之fastbin
weixin_48066554的博客
05-04 2346
堆机制利用之fastbin 前半部分:基于libc2.23(无tcache) 堆机制(fastbin等) 想要了解堆的机制利用方法必须要先了解堆的基本机制以及结构 目前主要使用的内存管理库是ptmalloc,而在ptmalloc中,用户请求的空间由名为chunk的数据结构表示 下面就是一个标准的chunk结构 该chunk中,**prev_size参数为前一chunk(如果未被使用)的大小,size参数为该chunk的大小,而P参数(pre_insue)为标志位,标志前一个chunk的使用情况。**而上述
fastbin attack快速入门
abelxu
11-13 1184
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小堆块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,堆块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小堆块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
堆漏洞挖掘中的bins分类(fastbin、unsorted bin、small bin、large bin)
热门推荐
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin链中的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
linux适当堆内存,linux堆内存漏洞利用之fastbin
weixin_42245967的博客
04-30 397
背景介绍在前一节主要介绍了Glibc的堆内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc堆内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为:fastbin的攻击smallbin的攻击largebin的攻击unsorted bin的攻击top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利用具体的fastbin的介绍请参考前一节和 Linux堆内...
fastbin attack
m0_64195960的博客
07-19 1421
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
探索Fastbin:一款高效的C语言内存管理工具
最新发布
gitblog_00077的博客
03-31 346
探索Fastbin:一款高效的C语言内存管理工具 项目地址:https://gitcode.com/funny/fastbin 项目简介 Fastbin 是一个轻量级、快速且灵活的C语言内存管理系统,旨在提升你的程序在内存分配和释放时的效率。它的设计灵感来源于现代操作系统的内存管理策略,尤其是对小块内存的处理,使得开发者能够在不牺牲性能的前提下,更好地管理程序的内存。 技术分析 Fastbin的核...
Fastbin的利用
u014377094的博客
03-05 669
我是传送门: pwn_wiki_fastbinattackFastbin Attack - CTF Wiki (ctf-wiki.org) how2heap GitHub - shellphish/how2heap: A repository for learning various heap exploitation techniques. bin结构 struct malloc_chunk { /* #define INTERNAL_SIZE_T size...
Fastbin attack
aoque9909的博客
06-25 415
Fastbin Attack 暂时接触到了两种针对堆分配机制中fastbin的攻击方式,double free和house of spirit Double free 基本原理 与uaf是对free之后的指针直接进行操作不同,double free通过利用fastbin对堆的分配机制,改写在fastbin中的chunk,实现对指定内存的堆块分配。 先正常释放chunk1和c...
FreeRTOS内存分配解析-Heap_1实例
如果需要动态分配和释放内存,那么可能需要选择FreeRTOS提供的其他更复杂的内存管理方案,如Heap_2、Heap_3或Heap_4,它们提供了内存回收的功能。 Heap_1 是一个简单而确定性的内存分配方案,适合那些对内存管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值