How2heap--UnsortedbinAttack(by glibc-2.23)

最新推荐文章于 2024-04-19 15:28:35 发布
最新推荐文章于 2024-04-19 15:28:35 发布
阅读量233 收藏
点赞数
分类专栏: 网络安全 黑客 漏洞复现 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56642842/article/details/118975068
版权

UnsortedbinAttack.c 源码

image-20201217204056644

调试分析

1.首先定义了一个变量,存放在栈上

image-20201217205947124

2.然后malloc一个0x400大小的chunk p

image-20201217210145616

3.为了防止在下一次执行free的时候 chunk p 被consolidate合并到 top chunk 中,这里再申请一个0x500大小的chunk。

image-20201217210418350

4.然后将chunk p free掉,

最低0.47元/天 解锁文章
m0_56642842
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
0ctf2018_heapstorm2 wp
weixin_44008345的博客
04-08 166
0ctf_2018_heapstorm2,large bin attack
0ctf_2018_heapstorm2 && rctf_2019_babyheap
qq_73149934的博客
06-14 155
分配合适的chunk,unsortedbin 剩余的一个chunk(0x4e1)是我们需要的largebin chunk,此时处于释放状态。这看似没有问题,但是注意,strcpy函数会在末尾加上null,相当于13个字节,发生了off by null。2.23-0ubuntu11house of storm,poison null byte,堆风水,堆orw。分配合适的chunk,chunk2是unsorted chunk(0x4f1),此时处于分配状态。同时,mallopt函数禁用了fastbin。
unsored bin attack(非常规打法,算是进阶?)2.23版本
最新发布
m0_74220442的博客
04-19 276
这里就是读入size 关键点来了,我们这里存储的实质上是v2的值也就是我们输入的size进入记录中,但是我们创造的chunk块 明显是由strdup(byte_6020c0)接受的字符作为我们实际创造的chunk值,但是我们edit的时候 读入的又是我们开始输入size的值,这里也就造成了堆溢出。这里的0x602260 通过调试是没有传上去的 我试着改为p64(0)就会报错 因为这个位置会有一个mov 传的地址,rax到上面去,所以必须得是个地址 至于是什么不重要 ,只要能访问就行。
好好说话之Unsorted Bin Attack
hollk’s blog
01-15 3430
Unsorted Bin Attack很简单,序言就不多说了,直接看本文讲解就好,抓紧时间把wiki写完,我要去搞IOT固件分析了!!!!
unsorted bin attack
abelxu
11-17 353
0x01 unsorted bin 基本来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。 当进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。 基本使用情况
House of storm
tbsqigongzi的博客
08-05 805
结合了unsorted_bin_attack和Largebin_attack的攻击技术,实现任意地址分配chunk,任意地址写。
rctf_2019_babyheap、0ctf_2018_heapstorm2学习(house of storm
weixin_46521144的博客
09-10 1375
0ctf_2018_heapstorm2 这道题算是house of storm的起源。 house of storm的原理其实就是:结合利用largebin attack和劫持unsortedbin后一个chunk的bk,实现把堆地址写入到任意地址,再结合unsortedbin的bk指针分配时只检查size而不检查chunk完整性(这里有点疑惑,unlink检查应该很严格,可能是绕过了而不是没有检查)分配到这个地址上(add(0x48))实现的结果和unlink差不多。 具体利用条件: glibc2.3
UnsortedBin Attack
yms0211的博客
09-13 918
Unsorted Bin Attack
buuoj Pwn writeup 166-170
yongbaoii的博客
06-03 230
166 picoctf_2018_echo back 167 168 169 170
api-ms-win-core-heap-l2-1-0.dll(32+64位都有)亲测可用
03-02
api-ms-win-core-heap-l2-1-0.dll 32位 api-ms-win-core-heap-l2-1-0.dll 64位
api-ms-win-core-heap-l2-1-0.dll
08-29
api-ms-win-core-heap-l2-1-0.dll
api-ms-win-core-heap-l2-1-0(64-Bit).zip
11-27
64位的api-ms-win-core-heap-l2-1-0.dll,解决计算机中丢失api-ms-win-core-heap-l2-1-0.dll的问题。
heap-viewer:一个IDA Pro插件,用于检查glibc堆,专注于漏洞利用开发
04-13
当前支持glibc malloc实现(ptmalloc2)。要求IDA Pro> = 7.0经过测试glibc 2.23 <= 2.29(x86,x64)特征堆跟踪器(malloc / free / calloc / realloc) 检测重叠和双重释放使用可视化Malloc块信息块编辑器多...
CTF pwn题堆入门 -- Unsorted bin
lifanxin的博客
04-08 3112
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆题中常见的,当一个堆块被释放时,且该堆块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
how2heap学习笔记
weixin_30394251的博客
10-11 1070
github源代码地址 这里只分析glibc2.25堆分配的特性,为了方便调试编译时使用 gcc -g -no-pie <input_file_name> -o <output_file_name> 0.fastbin_dup_consolidate   glibc在分配一个large chunk时会先检查是否存在fastbins,如果存在则合并fastbi...
堆漏洞挖掘——unsortedbin attack漏洞
董哥的黑板报
08-13 3169
一、核心思想 实现在任意地址写一个数值 局限性:通常unsortedbin attack只能够在目标地址写一个大数值 unsortedbin attack通常是为了配合fastbin attack而使用的 fastbin attack见文章:https://blog.csdn.net/qq_41453285/article/details/99315504 二、原理图解 当从unsor...
how2heap注意点总结-上
九层台
03-11 915
1.chunk的申请机制,在申请chunk的时候满足first-fit算法(从unsorted bin中遍历遇到第一个比需要chunk大的chunk切割,然后遍历unsorted bin链对应chunk放入对应位置) (所需chunk大小大于small bin或者small bin中没有找到恰好满足的chunk大小,或者fastbin中没有找到合适的chunk大小会引起fast bins遍历合并放...
heap-use-after-free问题
11-12
heap-use-after-free问题是指在释放了某个内存块之后,仍然对该内存块进行读写操作,这种操作可能会导致程序崩溃或者出现其他不可预知的错误。下面是一个演示代码: ```c #include #include int main() { int *...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值