How2heap--fastbin_dup_consolidate(by glibc-2.23)

最新推荐文章于 2022-09-30 20:37:09 发布
最新推荐文章于 2022-09-30 20:37:09 发布
阅读量184 收藏 2
点赞数
分类专栏: 网络安全 文章标签: 渗透测试 网络安全 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56642842/article/details/118935430
版权

fastbin_dup_consolidate.c 源码

调试分析

首先malloc两个0x40大小的fastbin chunk

同样申请0x40,加上0x10大小的chunk头,1字节的假大小(由于inuse位为1),实际大小为0x50

继续调试,对p1进行了free

p1被放进fastbin的空闲链表

然后再malloc一个0x400大小的largbin chunk

来看一下_int_malloc()源码

检查是否是fastbin范围

检查是否是smallbin范围

都不是就判断属于largebin

可以看到这里在获取了largebin的下表后会检查在分配区(av)内是否有fast chunk (本例有)

如果有则触发malloc_consolidate,对分配区内的chunk进行合并分类

查看consolidate源码

主要做的就是向前合并、向后合并相邻的chunk,如果相邻的是top chunk则并入top chunk,重复这三步直到fastbin链表为空,且合并后的chunk会放到unsortedbin中,除了top chunk

而这里在free完p1后malloc了一个0x400大小的chunk

0x400 = 1024,实际分配大小为0x400 + 0x10 = 0x410

大于1024字节的chunk会从largebins中申请

此时就会触发malloc_consolidate

p1就会从fastbin中被放到unsortedbin

之后会先在unsortedbin里面整理查找是否有符合大小的chunk,在这个过程中p1就会被分类到smallbin中(因为这里已经没有去fastbin的选择了)

这个过程我们没有跟踪所以我们查看heap的时候会看到0x40大小的p1 chunk被分到了smallbin中而不是unsortedbin

然后unsortedbin为空,仍未返回需要大小的chunk,则在largebin中查找是否有合适大小的chunk(这里就不是’exact fit’了),由于largebin此时为空,则在lastremainder中切割一块0x410大小的chunk出来返回给用户,并将剩下的lastremainder保存为top chunk

而由于在consolidate的过程中p1被移动到smallbin中了,fastbin现在没有记录p1

所以我们可以再次free p1

现在,我们就同时在fastbin和smallbin里有p1

我们就可以malloc p1两次

第一次malloc结束

p1从原来的fastbin记录变为了smallbin

第二次malloc结束

p1被malloc两次才变为allocated状态

此时就发生了 ‘double free’,两次申请的chunk指针指向同一块内存,

m0_56642842
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn学习-how2heap-fastbin_dup
qq_39153247的博客
08-20 1424
今天打完比赛身心疲惫,来复习复习把,写一点简单的把   之所以记录一下fastbin,是因为现阶段我能接触到最多的就是它了。   fastbins: 程序中总是会分配一些比较小的堆块,对于这些堆块来说,如果我们直接将他们合并,那么下次申请的时候还需要重新切割出来,降低了运行的效率,所以ptmalloc设计了fastbins. fastbins共有10个bin,分别是8-80字节,依次增...
How2heap -- fastbin_dup_into_stack(by glibc-2.23)
m0_56642842的博客
05-31 200
how2heapfastbin_dup_into_stack.c 源码 pwndbg 调试观察 先malloc了3块内存 堆块结构: 这里堆信息显示的堆块地址都比栈上存储的堆块地址小0x10,这是因为heap显示的地址是堆块的真正的头部地址,指向的是堆块的第一个数据prev_size,而栈上存储的地址是返回给用户使用的指针fd的位置,pre_size和size字段在64位操作系统上都是8字节大小,所以前面占了0x10,导致看到的两个地址相差0x10大小 至于申请的堆块大小为0x20,实际size
Double free(hows2heap
fanghuapyk的博客
04-23 1618
1.fastbin_dup fast bin fast bin主要是用来存放一些小的内存,使用fastbin可以提高小内存的分配效率,在默认情况下,对于SIZE_SZ为4B(32位)的平台,小于64B(字节)的chunk分配请求,和对于SIZE_SZ为8B(64位)的平台,小于128B的chunk分配请求首先会在fast bin中查找是否有所需大小的chunk存在,如果存在,就会直接返回内存资源,如果不存在,才会到其他bins中去查找。 fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过 f
堆漏洞 -fastbin_dup
qq_43390703的博客
10-18 420
double free #include <stdio.h> #include <stdlib.h> #include <string.h> int main() { fprintf(stderr, "Allocating 3 buffers.\n"); char *a = malloc(9); char *b = malloc(9); char *c = malloc(9); strcpy(a, "AAAAAAAA"); strcpy(b, "BBBBBBBB"); s
how2heap(1):fastbin_dup 2.31
hollk’s blog
08-25 838
fastbin_dup 2.27 源码 # gcc -g fastbin_dup.c -o fastbin_dup 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <assert.h> 4 5 int main() 6 { 7 setbuf(stdout, NULL); 8 9 printf("This file demonstrates a
buuctf ACTF_2019_message(tcache bin dup / fastbin dup)
qq_36918532的博客
04-19 765
有些图片显示不出来,我懒的在复制粘贴了,可以直接去我笔记里面看 网上的这道题的,大部分的exp都是写的16.04,使用的fastbin double free,但是在buuctf上根本打不通,因为人家都要求了是18.04,,所以这里写了两个版本(均可以打通) buuctf ACTF_2019_message 安全检查:FULL RELRO(got表不可写),GS,NX都开了 菜单题(堆的) 增加函数:判断当前堆指针是否为空,为空就创建 删除函数:一是没有判断该地方是否有值,而是没有将堆指针置空,可能出
core_analyzer-2.18-src_Only_heap_src-only_analyzer_dump_
10-01
"core_analyzer-2.18-src_Only_heap_src-only_analyzer_dump_" 这个标题表明我们正在讨论一个专门用于分析内存堆(heap)的工具,名为 "core analyzer" 的源代码版本,具体是2.18版。"src only" 指出这个版本仅包含...
09-Index-Heap-Advance.rar_heap_show6nm
09-24
标题中的“09-Index-Heap-Advance.rar_heap_show6nm”似乎暗示这是一个关于数据结构中堆(Heap)的进阶教程,其中可能包含了C语言实现的代码示例。"rar"表明这是一个压缩文件,而"show6nm"可能是某种特定的展示或...
api-ms-win-core-heap-l1-1-0.rar_MFC_Noé 1
09-20
标题中的“api-ms-win-core-heap-l1-1-0.rar_MFC_Noé 1”表明这是一个关于Windows API,特别是核心堆内存管理组件的资源,与MFC(Microsoft Foundation Classes)框架有关,由Noé创建的第一个版本。MFC是微软提供...
api-ms-win-core-heap-l2-1-0.dll(32+64位都有)亲测可用
03-02
《api-ms-win-core-heap-l2-1-0.dll:操作系统核心堆管理库解析》 在Windows操作系统中,`api-ms-win-core-heap-l2-1-0.dll`是一个至关重要的动态链接库文件,它是系统核心堆管理的一部分,用于32位和64位系统。该...
how2heap2.31学习(1)
最新发布
m0_51251108的博客
09-30 615
how2heap里的libc2.31的fastbin部分
CVE-2021-1675 Windows Print Spooler权限提升漏洞复现
m0_56642842的博客
07-26 3292
0x00 简介 微软6月发布的安全更新补丁中包括了一个Windows Print Spooler权限提升漏洞,漏洞CVE编号:CVE-2021-1675。未经身份验证的远程攻击者可利用该漏洞以SYSTEM权限在域控制器上执行任意代码,从而获得整个域的控制权。建议受影响用户及时更新漏洞补丁进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。 0x01 漏洞概述 Print Spooler是Windows系统中管理打印相关事务的服务,用于管理所有本地和网络打印队列并控制所有打印工作。Windows系统默认开启
CVE-2021-21351 XStream反序列化远程代码执行漏洞
m0_56642842的博客
08-13 2638
0x00 简介 XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。 0x01 漏洞概述 在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解组时处理的流包含类型信息以重新创建以前编写的对
CVE-2021-21220 Chrome远程代码执行漏洞复现
m0_56642842的博客
06-30 2533
0x00 简介 Google Chrome浏览器是一款由Google公司开发的网页浏览器,该浏览器基于其他开源软件撰写,包括WebKit,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。 通过CVE-2021-21220漏洞,受害者通过未开沙箱机制的Chrome浏览器打开攻击者置入恶意代码的网页后就会执行攻击者想要执行的任意代码。 微信作为腾讯公司发布的一款聊天工具。通过PC端微信用户可以直接在电脑上接受手机微信上的任何信息,例如接收:文字、图片、语音、视频等功能。这款软件是腾讯公司为了方
CVE-2021-24086 Windows系统TCP/IP拒绝服务漏洞复现
m0_56642842的博客
05-31 1978
简介 Windows IPv6协议栈存在一处拒绝服务漏洞,此漏洞的根本原因是IPv6的嵌套分片机制中,当尝试递归重组嵌套的分片时会计算内部有效载荷中包含的所有扩展标头,当重组扩展头约为0xffff字节的数据包时,在IPv6 ReassembleDatagram中发生的NULL指针取消引用,发生崩溃。 远程攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞可导致目标系统拒绝服务(蓝屏)。 漏洞影响系统版本 Windows 10 Version 20H2 for x64-based Systems
CVE-2021-29505 XStream远程代码执行漏洞复现
m0_56642842的博客
07-29 1958
0x00 简介 XStream是一个常用的Java对象和XML相互转换的工具,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,大大简化了XML序列化工作。 0x01 漏洞概述 XStream官方发布安全更新,修复了多个XStream 反序列化漏洞,其中就包含了CVE-2021-29505。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2021-29505反序列化代码执行漏洞等。漏洞复杂度低,
CVE-2021-3560 Polkit权限提升漏洞复现与分析
m0_56642842的博客
07-16 1695
0x00 简介 Polkit是Linux上的一个系统服务,其用于实现权限管理,通过给非特权进程授权,允许具有特权的进程(或者库文件lib)给非特权进程提供服务,由于Polkit被systemd使用,所有使用systemd的Linux发行版都会装有Polkit。 。 2021年06月03日,RedHat发布安全公告,修复了Linux Polkit中一个存在了7年的权限提升漏洞(CVE-2021-3560),该漏洞的CVSS评分为7.8,成功利用此漏洞的攻击者能够获得系统上的 root 权限。 0x01 漏洞
CVE-2021-31166 Windows HTTP协议栈远程代码执行漏洞复现
m0_56642842的博客
07-19 1365
0x00 简介 HTTP全称是Hyper Transfer protocol ,即超文本传输协议,当今普遍采用版本Http1.1,HTTP协议已属于应用层协议,它构建在TCP之上,处于TCP/IP架构的顶端,它是为Web浏览器与 Web 服务器之间的通信而设计的,Windows上的HTTP协议栈用于windows上的Web服务器,例如Internet Information Services(IIS)等,若该协议栈相关的组件存在漏洞,则可能导致远程恶意代码执行 0x01 漏洞概述 微软官方发布5月安全更新补
FreeRTOS内存分配解析-Heap_1实例
如果需要动态分配和释放内存,那么可能需要选择FreeRTOS提供的其他更复杂的内存管理方案,如Heap_2、Heap_3或Heap_4,它们提供了内存回收的功能。 Heap_1 是一个简单而确定性的内存分配方案,适合那些对内存管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值