fastbin attack学习总结

已于 2022-04-16 16:52:08 修改
阅读量2.5k 收藏
点赞数
分类专栏: pwn 文章标签: 系统安全
于 2022-04-16 16:50:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/124216213
版权

文章目录

之前没有全面的学习,现在网上资料真是比几年前全面的多了,这里总结回顾一下fastbin attack的原理思路。这里参考的博主链接如下,写的确实很详实
https://blog.csdn.net/Breeze_CAT/article/details/103788698

一、基础知识

需要了解fastbin的分配原理,fastbins是管理在malloc_state结构体重的一串单向链表,分为0x20-0x80总共7个链表:

  • 每次free释放对应大小的堆块,会加入到对应的链表中
  • 每次malloc分配堆块,会从对应大小的链表中分配一个堆块
  • 维护malloc_state遵循后入先出的原则(LIFO)

关于第三条原则,用引用网站的两张图便可以解释清楚
在这里插入图片描述

在这里插入图片描述

二、double free

double free+fastbin attack的利用场景,通常在对堆块有越界写入的情况下,实现申请任意地址的malloc块
直接用下面的步骤进行举例说明

步骤一:申请两个fastbin大小的堆块1和2,然后分别释放chunk 1和chunk 2,fastbin的链表结构就会如下图
在这里插入图片描述
步骤二:通过越界写入,修改chunk1的状态值,使得chunk1能够再次被free,经过第二次free的chunk1后,链表状态如下
在这里插入图片描述
具体如何通过越界修改chunk1,我在后面会出一个unlink攻击篇详细介绍

步骤三:malloc一个新的chunk,chunk1被申请
在这里插入图片描述
步骤四:修改chunk1的指针指向(目的地址-0x10),然后申请新的chunk,原chunk2被申请
在这里插入图片描述

步骤五:申请新的new chunk,此时状态如下
在这里插入图片描述
可以看到,只要在申请一个new chunk,就可以申请一个到目标地址的块了,自此实现完毕

三、use after free

我理解的UAF应用场景比double free更广,而且实际是double free的后面几步(不知道自己的理解对不对)

步骤一:申请一个对应fastbin区间内的堆块并释放
在这里插入图片描述
步骤二:通过越界写入或者本身的指针操作修改free过的chunk的内容,指向目标地址
在这里插入图片描述

后面步骤和doule free一致

四、chunk extend

这个chunk extend大致讲的是通过堆布局或者一字节溢出,修改某个bin的大小,最终导致堆同一堆块内不同地址的操作,具体用一张图可以大致表示出来,详细还是去看原博主的内容把(个人目前没碰到过需要用这种方法的)
在这里插入图片描述

五、相关练习题目

  • bugku Baby-heap1
Assassin__is__me
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[pwn]堆:fastbin attack详解
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...
fastbin attack快速入门
abelxu
11-13 1126
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小堆块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,堆块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小堆块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
Fastbin attack总结
WateranFire的博客
10-12 262
double free 思路: 构造fake chunk,将free chunk的fd指向fake chunk,使得下次malloc时返回fake chunk 检测: (1)fastbin 在执行 free 的时候仅验证了 main_arena 直接指向的块,即链表指针头部的块。对于链表后面的块,并没有进行验证。 (2)malloc申请伪造的fastbin时会检测fastbin的SIZE 流程: a1=malloc(); a2=malloc(); free(a1); free(a2); //
linux堆内存管理深入分析,【技术分享】Linux堆溢出之Fastbin Attack实例详解
weixin_39640090的博客
04-30 148
1. 摘要在近几年各大CTF比赛中,看到有很多次pwn类别题中出现fastbin攻击的情况,例如今年的defcon,RCTF,胖哈勃杯,0CTF final等等 ,fastbin attack是堆漏洞利用中十分常用、易用且有效的一种攻击方式,在网上的中文资料中,对其原理上进行讲述的文章有一些,但详细讲述如何实际利用的完整例子较少,本文将对该利用方式进行简要原理性阐述,并结合今年Defcon预选赛中...
强网杯:简单的UAF,fastbin attack打全局list,然后任意地址读写.zip
最新发布
12-18
【标题】:“强网杯:简单的UAF,fastbin attack打全局list,然后任意地址读写.zip”揭示了网络安全竞赛中的一个常见技术挑战,主要涉及的是C/C++程序中的内存管理漏洞利用,特别是未初始化的指针引用(Use-After-...
机器学习Attack and Defense.pdf
01-16
《机器学习Attack and Defense》是李宏毅教授关于机器学习安全性的讲解,主要探讨了如何构建鲁棒的机器学习模型,防止模型被恶意攻击。在实际应用中,仅仅让机器学习分类器在大部分时间工作是不够的,我们需要的是...
Adversarial Attack.pdf
06-27
台大机器学习李宏毅PPT
TANK ATTACK声卡驱动
12-28
TANK ATTACK声卡驱动最新版ASIO驱动,支持某宝198的双通道吉他声卡,内含2.8.47和2.9.15两个版本,分别都有32bit和64bit版本,自己根据需要安装。2.8.47版本比较稳定一点,直接安装就好,不需要注册码。
Attack_Http.rar_http attack下载
09-14
通过分析和运行`Attack_Http.java`,我们可以学习如何识别和应对HTTP攻击,理解HTTP协议的工作原理,以及在Java中实现一个基本的HTTP服务器。这不仅有助于提高网络安全意识,也有助于提升编程技能。
fastbin attack
m0_64195960的博客
07-19 1401
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
好好说话之Fastbin Attack(1):Fastbin Double Free
hollk’s blog
10-23 2912
好像拖更了好久。。。实在是抱歉。。。。主要是fastbin attack包含了四个部分,后面的例题不知道都对应着哪个方法,所以做完了例题才回来写博客。fastbin attack应该也会分四篇文章分开写。学了这么长时间pwn给我最大的感受就是量变确实可以引起质变,现在做题或者学习新的技术的时候可以隐约的进行以点看面的思考,通过某一处问题会在心里想象可能会引发什么什么样的后果。总的来说不后悔入坑pwn,字节之间的环环相扣让我深深的着迷!
Double Free浅析(泄露堆地址的一种方法)
omnispace的博客
04-18 7213
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞。double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像和普通的堆溢出伪造chunk然后free触发unlink...
0ctf_2017_babyheap
u014377094的博客
03-10 460
本人double free+fastbin攻击第一道题,看了两天,好在理解下来不难。 参考传送门[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com 惯例checksec一下 打开ida 1创建chunk,按1,2依次创建,2往里写,3free掉指定数字chunk,4print出指定chunk内容 不建议跟ida里一些函数死磕,硬读会恶心到,理解就ok。 这里先放exp,读一遍exp咱们再来解释 from pwn import
BugKu做题记录【pwn】(持续更新中)
Assassin
04-06 3190
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
pwn工具箱之fastbin attack
jmp esp
05-22 2233
fastbin attack基本信息 利用类型: 堆利用 堆利用类型: 针对fastbin的利用 利用思想: 利用fastbin的free只检查是否和上一个freechunk相等,使得同一个chunk两次进入free list,造成UAF,可以更改fastbin free chunk的fd信息,最终分配一个特定地址 利用难点 需要能够两次free同一个chunk 更改fd的时候,为了能够在之后的ma
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3791
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
BugKuCTF-入门逆向-baby
sr31275720281的博客
04-21 1875
BugKuCTF-入门逆向-baby 入门逆向 (https://ctf.bugku.com/challenges) 下载baby.zip,解压是一个.exe应用程序,打开闪退 先直接拖到Exeinfope分析, 32位 没有加壳(如果加壳的话要先脱壳才能继续操作) Exeinfope软件截图 软件简介及下载地址 https://www.cr173.com/soft/251956.html 然...
roarctf_2019_easyheap
z1r0的博客
04-10 406
roarctf_2019_easyheap 查看保护 有一个大uaf,show的条件是bss上的一个数据应该 为0xdead… 在666中可以进行删除和创建,这里有一个bug,602010这个数据变成0之后–就是成负数可以无限次使用了 攻击思路:因为有uaf和666这个功能,所以我们构造fastbin attack 形成double free,其实fastbin attack使用的是fastbin_dup_consolidate这个手法。构造出double free之后将堆申请到name_addr这里
BYOVD ATTACK 学习
10-28
BYOVD ATTACK是一种对抗攻击方法,它是基于白盒攻击的一种变体。BYOVD是“Bring Your Own Vulnerable Device”的缩写,它是一种黑盒攻击,攻击者可以使用自己的设备来攻击目标模型。BYOVD ATTACK的目标是在不知道...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值