pwn工具箱之fastbin attack

最新推荐文章于 2022-05-03 01:01:33 发布
最新推荐文章于 2022-05-03 01:01:33 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29343201/article/details/72627537
版权

fastbin attack

基本信息

  • 利用类型: 堆利用
  • 堆利用类型: 针对fastbin的利用
  • 利用思想: 利用fastbin的free只检查是否和上一个freechunk相等,使得同一个chunk两次进入free list,造成UAF,可以更改fastbin free chunk的fd信息,最终分配一个特定地址

利用难点

  1. 需要能够两次free同一个chunk
  2. 更改fd的时候,为了能够在之后的malloc之后返回这个值,需要通过一个check,会检查fd指向的这个位置的size(这个位置可以不用对齐),看是否属于正要malloc的这个bin的范围。

详细信息

fast bin的free检查了比较多的东西,所以这里就不再都贴出来了,其漏洞的主要原因在于fastbin
的实现其实是一个单链表实现的栈,后进先出,free的时候只检查了这个栈的栈顶,这样的话,
只要不是连续的free两次同一个chunk,就可以顺利的将一个chunk放进free list。之后的分配会使得
chunk虽然在free list里,但是也被分配了出来,这样就可以更改到fd指针,使其指向其他位置。

检查栈顶的代码如下:

    /* Check that the top of the bin is not the record we are going to add
       (i.e., double fr
最低0.47元/天 解锁文章
Anciety
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn题中fastbin的利用
Vicl1fe的博客
09-28 636
参考和题目链接链接:https://paper.seebug.org/445/#pwnfastbin 前言 这个题,我搞了有一天,没搞出来,就在我快放弃的时候,才终于解出来,可能系统不一样,我覆盖不了参考文章的地址,最后我覆盖了别的地址。具体来看看吧。 ...
探索Fastbin:一款高效的C语言内存管理工具
gitblog_00077的博客
03-31 314
探索Fastbin:一款高效的C语言内存管理工具 项目地址:https://gitcode.com/funny/fastbin 项目简介 Fastbin 是一个轻量级、快速且灵活的C语言内存管理系统,旨在提升你的程序在内存分配和释放时的效率。它的设计灵感来源于现代操作系统的内存管理策略,尤其是对小块内存的处理,使得开发者能够在不牺牲性能的前提下,更好地管理程序的内存。 技术分析 Fastbin的核...
PWNFastbin 与 Tcache 的利用
u014377094的博客
05-03 1093
从本周开始,针对ctfwiki的顺序,整理堆的攻击方式,顺便练一下手。克服惰性与抗拒,才能继续进步。 首先是为何把fastbin和tcache放第一个整理,因为fastbin和tcache是所有后续攻击的基础,为了实现写入“任意”地址,通常情况下都是利用fastbin和tcache,有个明显的原因就是fastbin和tcache都采用单链表结构,结构更加简单,简单也意味着缺少复杂的检测,更加利于我们去利用。其次,为何把它俩放一起,原因还是两者的结构相似,地位相近,但细节上有不同,放在一起对比利用。 再说
[pwn]堆:fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...
CTF PWN Fastbin堆溢出入门
liucc09的博客
12-12 585
目标程序及EXP下载 解题思路 添加新武器时会在偏移52个字节的地方存下上一个武器的内存地址如下: *((_DWORD *)dword_804A288 + 13) = v1; //13个DWORD就是13*4=52字节 输入武器名时存在溢出,因此可以覆盖这个地址,指向另一片内存; 提交订单时会通过单向链表的方式free各个武器的内存区域,由于第1步中可以修改武器链表的上一个武器内存地址,因此可以释放一个我们指定的内存到fastbin中; 我们指定的内存肯定得是我们可以控制的内存,例如程序中的mess
ptmalloc——fastbins
weixin_34414196的博客
06-21 273
2019独角兽企业重金招聘Python工程师标准>>> ...
CTF PWN 武器库题
12-12
CTF PWN 武器库题或rifle题,利用fastbin堆溢出得shell,
PwnWAF:用于AWD的pwn日志工具
05-16
用于AWD的pwn日志工具 描述 使用traceGen.py生成elf文件。 elf_name:我们要记录哪个elf文件 log_path:日志文件 计算机:此精灵的平台,(仅支持x86 / x86_64) 注意:elf_name和log_path必须是绝对路径 用法: ...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
2024NKCTF-pwn
03-25
2024NKCTF_pwn
pwn学习-how2heap-fastbin_dup
qq_39153247的博客
08-20 1403
今天打完比赛身心疲惫,来复习复习把,写一点简单的把   之所以记录一下fastbin,是因为现阶段我能接触到最多的就是它了。   fastbins: 程序中总是会分配一些比较小的堆块,对于这些堆块来说,如果我们直接将他们合并,那么下次申请的时候还需要重新切割出来,降低了运行的效率,所以ptmalloc设计了fastbins. fastbins共有10个bin,分别是8-80字节,依次增...
fastbin关于chunk size检查问题&&花式泄露libc&&极限getshell&&huxiangbei_2019_namesyste
azraelxuemo的博客
04-10 2781
上图就是大家很熟悉的关于fastbin大小的一个检查 首先是里面一层 chunksize 以及外面一层 这是c源码 而对于汇编层面,由于运行的时候知道具体是32位还是64位,所以做了一定的优化 r15就是我们对应的chunk头地址,+8就是size的起始地址 但注意看,我们其实只是取了size的低8位 那么这里就是绕过的关键,网上很多地方其实讲的都不是很多 只要我们找到的size的地方低8位满足如下要求即可 000000yx y满足在2~8之间就好,x随意 同时size高八位也随意 因为可以看到我.
CTF pwn题堆入门 -- Fast bin
lifanxin的博客
04-07 2370
这里写目录标题概述攻击方式实现任意地址分配fast bin poisoninghouse of spirit总结 概述   Fast bin是堆利用中最常遇见的情况,常见于libc2.23版本的pwn题中,在那个版本中还没有Tcache机制,在那个版本中漏洞利用还很轻松(????)。   这里简单总结一下fast bin的性质,64位机器下fast bin大小为0x20 – 0x80字节,每个bin链表之间以0x10字节递增;32位机器下为0x10 – 0x40,每个bin链表之间以0x8字节递增(上面的大
linux适当堆内存,linux堆内存漏洞利用之fastbin
weixin_42245967的博客
04-30 372
背景介绍在前一节主要介绍了Glibc的堆内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc堆内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为:fastbin的攻击smallbin的攻击largebin的攻击unsorted bin的攻击top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利用具体的fastbin的介绍请参考前一节和 Linux堆内...
Fastbins attack : Alloc_to_stack
yms0211的博客
04-12 258
Fastbins attack : Alloc_to_stack 这个利用技巧与前面的house of spirit 和 double free很类似。都是利用fastbins 中单链表成员只用 fd 指针这个特点来将伪造的fake_chunk 挂进 fastbins中再申请出来进行利用 回到我们的主题啊,alloc_to_stack,顾名思义,这个技巧就是修改fd 指针将伪造的fake_chunk分配到栈段上面去。 演示: #所用例子为wiki上的例子# typedef struct _chunk {
Fastbin attack
aoque9909的博客
06-25 402
Fastbin Attack 暂时接触到了两种针对堆分配机制中fastbin的攻击方式,double free和house of spirit Double free 基本原理 与uaf是对free之后的指针直接进行操作不同,double free通过利用fastbin对堆的分配机制,改写在fastbin中的chunk,实现对指定内存的堆块分配。 先正常释放chunk1和c...
Fastbins dup_consolidate探究
qq_41252520的博客
08-29 277
演示代码 #include <stdio.h> #include <stdint.h> #include <stdlib.h> int main() { void* p1 = malloc(0x40); void* p2 = malloc(0x40); fprintf(stderr, "Allocated two fastbins: p1=%p p...
pwn 堆入门之fastbin attack
清霂的博客
04-02 278
目录floworeo b站原本有一个对堆基础讲的挺好的,好像叫pwn术进阶的堆溢出,但刚刚去看已经没了,好家伙,还好我刚看完,哈哈哈。 flow 涅普计划-ctf入门课堆溢出 #!/usr/bin/env python2 from pwn import * context(os="linux", arch="amd64", log_level="debug") #libc libc=ELF("libc.so.6") malloc_libc=libc.symbols['__malloc_hook'] m
linux如何安装pwn
最新发布
05-08
1.安装Pwn工具包:Pwn工具包是一些常用的Pwn工具的集合,包括GDB、IDA等。在Linux系统上可以使用以下命令安装:sudo apt-get install gdb gcc gcc-multilib libc6-dev-i386 python2.7 python-pip python-dev git ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值