fast bin attack和demo

最新推荐文章于 2024-08-19 17:27:07 发布
最新推荐文章于 2024-08-19 17:27:07 发布
阅读量144 收藏
点赞数
分类专栏: pwn 文章标签: jvm python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62326489/article/details/125886931
版权

1前提条件

1,符合fastbin大小的堆块

2.堆溢出漏洞

2源码

 这段话的判断逻辑是a,b,c三个堆块,我们一开始释放a,然后再释放a时

这时会报错为double free,但是如果我们 一开始让

然后 我们让a指向b然后b此时又指向a,然后a又指向b就会变成

 这个时候我们修改从a指向b的指针也就是fd指针就能让后一个a任意指向地址,此时就算只剩最后一个检查方式即fastbin的大小要保持一致

然后最后就是一个house spirit即可用的堆块和不可用的堆块

然后就是结合demo的理解

demo

1fastbin dump

链接:https://pan.baidu.com/s/1ybe8XglymkiiTKMZhJxTxg 
提取码:1111

 

 这样申请出来的堆块

这个例子演示了 fastbin 的 double free
首先申请了 3 个 chunk
第一个 malloc(8): 0x564d644d92a0
第二个 malloc(8): 0x564d644d92c0
第三个 malloc(8): 0x564d644d92e0
free 掉第一个
当我们再次 free 0x564d644d92a0 的时候, 程序将会崩溃因为 0x564d644d92a0 在 free 链表的第一个位置上
我们先 free 0x564d644d92c0.
现在我们就可以再次 free 0x564d644d92a0 了, 因为他现在不在 free 链表的第一个位置上

 这段程序验证的就是第一个保护机制,不能连续两次释放同一个内存否则会报错free(): double free detected in tcache 2

2demo2

验证consolidate机制

申请两个 fastbin 范围内的 chunk: p1=0x560c517792a0 p2=0x560c517792c0
先 free p1
去申请 largebin 大小的 chunk,触发 malloc_consolidate(): p3=0x560c517792e0
因为 malloc_consolidate(), p1 会被放到 unsorted bin 中
free(): double free detected in tcache 2

3demo3

house of spirit

通过伪造fake chunk,将原本的不可控区域申请出来

这一段进行堆块的伪造, 

其中从chunk【1】开始的原因是mem指针的前段chunk是不能进行修改的

这边伪造一个指针并将其释放,就将伪造的chunk段放到了bins中

此时再申请一个大小为0x30的

堆块就会将这一段拉出来 

 

 

 

从而实现对原本不可控段的利用

 

名字被注册了诶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bin文件和Hex文件相互转换
05-15
在IT领域,我们经常需要处理各种格式的数据文件,其中Bin(二进制)文件和Hex(十六进制)文件是常见的两种类型。这两种文件都包含了二进制数据,但它们的表示方式有所不同,使得在特定场景下需要进行相互转换。 **...
单片机hex转bin工具
11-21
单片机编程与烧录是电子工程领域中的基础工作,其中涉及到不同的文件格式,如HEX和BIN。本文将深入探讨这些格式以及“单片机hex转bin工具”的相关知识。 首先,我们要理解HEX和BIN文件的区别。HEX文件,全称Intel ...
fastbin attack快速入门
abelxu
11-13 1147
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小堆块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,堆块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小堆块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
[pwn]堆:fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...
堆漏洞挖掘——fastbin attack漏洞
董哥的黑板报
08-12 3186
一、核心思想 通过fastbins链的管理,达到目标地址(target)读写 二、原理图解 fastbin存储freechunk的单链表结构: fastbins是如何存取fastchunk的,见文章:https://blog.csdn.net/qq_41453285/article/details/97613588 第一步:我们知道被free的chunk会被放入到arena所管理的f...
unstored bins attack
m0_62326489的博客
08-22 232
h
2023年银行卡BIN
08-31
总结来说,2023年的银行卡BIN码仍然是支付安全和风险管理的关键元素,而“banks_bin.sql”这样的数据库文件则是实现这些功能的核心工具。理解并正确利用这些信息对于银行、商家以及整个金融行业都至关重要。
hex和bin互转工具
01-29
hex bin elf等单片机固件互转,非常方便好用,谁用谁知道!!!
串口和bin文件工具软件
03-12
串口和BIN文件工具软件是嵌入式系统开发中常用的重要辅助工具,它们在STM32、ARM架构以及单片机编程中发挥着至关重要的作用。STM32是一款基于ARM Cortex-M内核的微控制器,广泛应用在各种电子设备中,而BIN文件则是...
JVM感知docker容器内存资源限制
7*24小时的运维dog
08-19 644
我设置了 100MB 的容器内存,但JVM 设置了17.3G 的最大堆?它很可能会导致内核在某个时候杀死JVM程序在K8s中Deployments配置资源限制和预留的时候,比如设置最大内存为100M。但是宿主机的总内存为80G,这时候Pod启动后会超出内存限制,被Deployments杀掉。但为了维护设置的副本数量又创建新的,如此反复。原因是默认情况JVM默认最大堆空间为系统总内存的1/4,在容器中没有感知到集群为Pod设置的资源限制,而是按宿主机的内存算的,所以最终超过限制内存。
JVMJVM 实战调优指南赋案例(保姆篇)
A的博客
08-16 850
即时编译器(JIT)将字节码编译为机器码,以提高运行时性能。热点编译(HotSpot Compilation):编译热点代码,提高执行效率。逃逸分析(Escape Analysis):优化对象的内存分配和回收。
数据库分库分表的介绍
0
08-16 1017
概览 :: ShardingSphere (apache.org)ShardingSphere是一套开源的分布式数据库中间件解决方案组成的生态圈,它由、Sharding-Proxy和Sharding-Sidecar(计划中)这3款相互独立的产品组成。他们均提供标准化的数据分片、分布式事务和数据库治理功能,可适用于如Java同构、异构语言、云原生等各种多样化的应用场景。Sharding-JDBC是ShardingSphere的第一个产品,也是ShardingSphere的前身。
什么是线程和应用?线程和进程区别是什么?
最新发布
zhanghaiou07657的博客
08-19 363
• 进程是具有一定独立功能的程序关于某个数据集合上的一次运行活动,是系统进行资源分配和调度的一个独立单位。• 一个线程指的是进程中一个单一顺序的控制流,一个进程中可以并发多个线程,每条线程并行执行不同的任务。• 线程之间在同一进程内并发执行,虽然可以在多核心处理器上同时运行多个线程,但受到所属进程资源的限制。• 线程的切换开销相对较小,因为多个线程共享同一进程的资源,只需要切换线程的执行上下文。• 进程之间是相对独立的,可以在不同的处理器核心上同时运行,实现真正的并行执行。二、线程和进程的区别。
jvm】直接引用
王佑辉的博客
08-17 310
直接引用与虚拟机的内存布局紧密相关,不同的虚拟机实现可能会有不同的内存布局,因此同一个符号引用在不同的虚拟机实例上翻译出来的直接引用可能不同。2.是指向内存中实际存在的对象的引用,它与虚拟机的内存布局紧密相关,是JVM进行对象访问和操作的基础。1.在JVM的类加载过程中,当类被加载到内存中并初始化后,类中的符号引用会被解析为直接引用。(即被引用的),哪些是不可达的(即未被引用的),从而对不可达的对象进行回收。2.通过直接引用,JVM可以直接访问对象的属性和方法,执行对象的操作等。
Java虚拟机 (JVM) 中的三色标记 (Three-Color Marking)
K___End的博客
08-16 340
三色标记算法是一种有效的并发标记技术,它被广泛应用于Java虚拟机的垃圾收集器中,特别是在那些追求低暂停时间的垃圾收集器中,如CMS和G1。通过将标记过程分解为多个阶段,并采用并发执行的方式,三色标记算法能够在减少暂停时间的同时保持垃圾收集的有效性。
嵌入式day28
weixin_70572180的博客
08-15 1221
嵌入式学习第二十八天,今天学习了关于线程的退出以及退出后线程资源的回收,同时也对比了进程与线程之间的关于创建,调度和安全性的优缺点。也学习了关于线程之间的资源竞争问题,面对互斥的线程使用同一全局变量时,需要给线程进行加锁操作,当然加锁后也要进行解锁和锁的销毁。最后讲了死锁的相关知识,要了解死锁产生的四个必要条件以及死锁的应对方法。今天最后复习了前面c语言指针方面的一点知识,发现自己不及时复习之前的知识,遗忘很多,后面还是要对自己薄弱的知识方面进行及时的查漏补缺。后面继续加油吧!
复习之 JVM【类加载机制,内存模型,GC 】
lijinlong1989的博客
08-15 1121
先加载项目1 ,再加载项目2的时候开始加载spring5 发现相同包下相同的类都已经被加载了,就不会再去加载了,但是实际上spring5 没有被加载,加载的时spring4 就会出现问题,所以tomcat 通过自定义类加载器的方式去打破双亲委派,每个项目自己加载自己的。Java中的所有类,必须被装载到JVM中才能运行,这个装载工作是由jvm中的类装载器完成的,.class文件可以在虚拟机运行,但不是直接和操作系统交互,需要jvm解释给操作系统,解释的时候需要java类库,这样就能和操作系统交互。
JVM CMS运行原理
K___End的博客
08-16 957
CMS垃圾收集器通过并发执行大部分的垃圾回收工作来减少应用程序的暂停时间,这对于需要低延迟的应用场景非常有用。尽管CMS在减少暂停时间方面表现出色,但由于它不进行内存压缩,可能会导致内存碎片化问题。随着Java版本的更新,新的垃圾收集器如G1 (Garbage First) 和ZGC (Z Garbage Collector) 等提供了更好的解决方案,它们既能够减少暂停时间,又能解决内存碎片问题。
fast bin、small bin、unsorted bin large bin的区别与共同点
07-15
快速块(fast bin)、小型块(small bin)、未排序块(unsorted bin)和大型块(large bin)是堆管理中不同的内存块分类。它们有一些区别和共同点,如下所示: 区别: 1. 大小范围:快速块是一组固定大小的小块,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值