好好说话之Fastbin Attack(3):Alloc to Stack

已于 2022-03-18 10:08:37 修改
阅读量1.4k 收藏 4
点赞数 15
分类专栏: 堆溢出 文章标签: pwn 堆溢出 fastbin attack alloc to stack 二进制安全
于 2020-12-17 18:55:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41202237/article/details/111300546
版权

真的是好久好久都没更新了。。。。最近换工作再加上考CISP-PTE认证耽误了很长一段时间,这段时间打算把CISP-PTE的一些考点总结出来,如果你是做渗透工作或者ctf的web手,这个认证其实并不难。再来说说这篇文章吧,Alloc to Stack这种利用技巧其实和前面两篇区别不大,只不过就是伪造的chunk放在了栈上。这篇文章不会很长,因为wiki上没有适配的例子,自己也没找到。如果有做过这种技巧的例子的师傅,欢迎评论区留言~wiki上2015 9447 CTF : Search Engine这道题我会在下一篇文章中单独解析~

编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ

往期回顾:
好好说话之Fastbin Attack(2):House Of Spirit
好好说话之Fastbin Attack(1):Fastbin Double Free
好好说话之Use After Free
好好说话之unlink

Alloc to Stack

介绍

Alloc to Stack这种技巧和前两篇文章中的Fastbin Double Free与house of spirit技术差不多。这三种技巧的本质都在于fastbin链表的特性:当前chunk的fd指针指向下一个chunk

Alloc to Stack这种技术关键点在于劫持fastbin链表中chunk的fd指针,把fd指针指向我们想要分配的栈上,从而实现 控制栈中的一些关键数据,例如返回地址等

演示

在这个例子中,为了方便理解,我们讲fake_chunk置于栈中称为stack_chunk,同时劫持了fastbin链表中的chunk的fd值,通过把fd值指向stack_chunk就可以实现在栈中分配fastbin chunk

  1 /*gcc -g test.c -o test*/
  2 #include<stdio.h>
  3 
  4 typedef struct _chunk
  5 {   
  6     long long pre_size;
  7     long long size;
  8     long long fd;
  9     long long bk;
 10 } CHUNK,*PCHUNK;
 11 
 12 int main(void)
 13 {   
 14     CHUNK stack_chunk;
 15     
 16     long long *chunk1;
 17     long long *chunk_a;
 18     
 19     stack_chunk.size=0x21;
 20     chunk1=malloc(0x10);
 21     
 22     free(chunk1);
 23     
 24     *(long long *)chunk1=&stack_chunk;
 25     malloc(0x10);
 26     chunk_a=malloc(0x10);
 27     return 0;
 28 }

我们来一起解读一下这个例子,首先自定义了一个结构体,long long型的,所以我们在你使用gcc编译的时候要编译成64位的。定义的结构体为了伪造嘛,所以和正常chunk的结构体一样,成员变量都是prev_size、size、fd、bk。接下来看main函数,首先创建了一个结构体指针stack_chunk。接着创建了两个long long类型的指针chunk1和chunk_a。将结构体 stack_chunk的size成员变量的值设置为0x21,创建一个0x10大小的chunk(实际堆块大小为0x20),并将chunk的malloc指针赋给chunk1指针。接下来释放了chunk1。重新在chunk1指针指向的位置赋予stack_chunk指针,接着 重新申请0x10的chunk,在将chunk的malloc指针赋给chunk_a

接下来使用gdb调试一下这个例子:gdb打开之后,因为我们在编译阶段使用了-g参数,所以首先在第22行下断点,然后执行,使用heap命令查看一下当前的堆块状态

在这里插入图片描述

接下来将断点下在第24行,使程序完成释放,我们去看一下bin中的情况以及被释放chunk的内部状态:

在这里插入图片描述

可以看到在释放之后chunk精准的落在了fastbin中,由于chunk1前面并没有任何chunk被释放,所以chunk的fd位置为空,不指向任何chunk。但是这里出现了一个问题,在释放chunk1之后并没有将其malloc指针置空,这就造成了chunk1可以被重新修改的状况。接下来我们将断点下在第25行,完成对chunk1中fd的修改:

在这里插入图片描述

由于将chunk1中fd的值修改成了stack_chunk的结构体指针,那么在fastbin中看来,stack_chunk是在chunk1前面被释放的一个块,而stack_chunk其实是部署在栈上的一个伪造chunk:

在这里插入图片描述

那么这样一来堆管理器就会认为在fastbin0x20这条单向链表中存在两个0x20被释放的chunk。那么如果连续申请两块0x20大小的chunk,栈上伪造的stack_chunk就会被作为一个chunk来启用。我们将断点定到27行,完成两次申请,再去看一下bin中的状况:

在这里插入图片描述

可以看到原来被挂进fastbin中的stack_chunk被启用调走了

总结

通过该技术我们可以把 fastbin chunk 分配到栈中,从而控制返回地址等关键数据。要实现这一点我们需要劫持 fastbin 中 chunk 的 fd 域,把它指到栈上,当然同时需要栈上存在有满足条件的 size 值

在这里插入图片描述

hollk
关注
专栏目录
正确解决std::bad_alloc异常的有效解决方法
wbajsjhhhhh的博客
05-11 8109
正确解决std::bad_alloc异常的有效解决方法
Qt基础之四十一:记一次QVector的bad alloc问题追踪
草上爬的博客
12-07 5291
记一次QVector的bad alloc问题追踪
Fastbins attackAlloc_to_stack
yms0211的博客
04-12 268
Fastbins attackAlloc_to_stack 这个利用技巧与前面的house of spirit 和 double free很类似。都是利用fastbins 中单链表成员只用 fd 指针这个特点来将伪造的fake_chunk 挂进 fastbins中再申请出来进行利用 回到我们的主题啊,alloc_to_stack,顾名思义,这个技巧就是修改fd 指针将伪造的fake_chunk分配到栈段上面去。 演示: #所用例子为wiki上的例子# typedef struct _chunk {
stackalloc 分配栈内存
ajian11的专栏
08-26 1583
using System;class Test{    static unsafe void Main()    {        int* fib = stackalloc int[100];        int* p = fib;        *p++ = *p++ = 1;        for (int i = 2; i &lt; 100; ++i, ++p)        {    ...
Large bin attack
abelxu
11-26 1938
0x01 large bin Large bins 中一共包括 63 个 bin,index为64~126,每个 bin 中的 chunk 的大小不一致,而是处于一定区间范围内。(本文讨论的代码和结构都是在glibc2.23 64位的情况) 1.largebin的一些结构 在largebin的处理过程中会用到fd_next和bk_nextsize来加快chunk的处理。 struct malloc_chunk { INTERNAL_SIZE_T prev_size; /* Size of
PRO(2.31largebin attack)
qq_33590156的博客
12-04 2882
关于largebin pro版本给了修复chunk flag的函数,而且show和edit都只看flag,free还没清指针,可以各种UAF。 但是,add中只能申请large chunk,这导致UAF不能进行任意地址申请,而且版本是libc2.31。 所以我们能用的就只能是largebin attack了,首先利用原理是,在largebin的管理中,采用先进先出的原则(插队头,取队尾),而且会排序,队头大,到队尾依次变小, 四个指针: fd是从队头一直指向队尾,队尾的fd指向main_arena; bk则
好好说话Large Bin Attack
hollk’s blog
01-20 4855
large bin attack这种方法本质上并不难,只是有点绕而已。他和上一篇unsorted bin attack有点类似,都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题,只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attack和House系列啦!终于要熬出头了???? 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
large bin attack & house of strom
seaaseesa的博客
06-12 1178
large bin attack & house of strom large bin attack是一种利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
C++内存分配详解四:std::alloc行为剖析
qq_34269632的博客
04-12 3360
C++标准容器分配器的动作详细分析
mongodb错误tcmalloc: large alloc out of memory, printing stack and exiting解决办法
12-16
tcmalloc: large alloc 2061584302080 bytes == (nil) @ Tue Nov 26 17:45:04.539 out of memory, printing stack and exiting: 0xdddd81 0x6cfb4e 0x121021d 0xafcc1f 0xaf815f 0xaf8d1d 0xaf8e0f 0xaf52ae 0xaf53...
STL源码剖析 --- 空间配置器 std::alloc
鱼思故渊的专栏
12-07 2517
STL是建立在泛化之上的。数组泛化为容器,参数化了所包含的对象的类型。函数泛化为算法,参数化了所用的迭代器的类型。指针泛化为迭代器,参数化了所指向的对象的类型。STL中的六大组件:容器、算法、迭代器、配置器、适配器、仿函数。 这六大组件中在容器中分为序列式容器和关联容器两类,正好作为STL源码剖析这本书的内容。迭代器是容器和算法之间的胶合剂,从实现的角度来看,迭代器是一种将operator*、o
Largebin Attack原理详解
qq_41252520的博客
08-07 1576
攻击成效:能够向任意地址写地址,常配合其他攻击手法实现getshell。条件:能够修改Largebin−>bkLargebin−>bk。研究环境:Glibc2.31\textcolor{green}{研究环境:Glibc2.31}研究环境:Glibc2.31现在总结一下Largebin attack的一些利用条件和步骤。能够修改Largebin中的块的字段。程序中至少能够分配三种属于Largebin的不同大小的块。分配一块大小。...
Largebin_Attack知识理解(附赠分配释放过程回忆!)
a2590035252的博客
09-30 1160
朋友们好啊,我史混源行易太极门掌门人peiWhao。刚才有个朋友问我P老师发生甚么事了,我说怎么回事,给我发了几个网址,我一看!奥!原来是昨天,有一个年轻知识点,一个事largebin、、、、、、
好好说话Fastbin Attack(2):House Of Spirit
hollk’s blog
10-30 3237
Fastbin Attack的第二种攻击方式House Of Spirit,相对来说是double free的升华。在检查绕过的时候会相对麻烦一点,其他的地方还是挺简单的,如果上一篇文上你领悟的很好的话,这篇文章也不会很难理解。 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
从零开始学howtoheap:理解fastbins的​large_bin攻击
最新发布
weixin_44626085的博客
02-14 806
how2heap是由shellphish团队制作的利用教程,介绍了多种利用技术,后续系列实验我们就通过这个教程来学习。
PWN】Unsorted binLarge binAttack
u014377094的博客
05-03 863
今天继续整理攻击方法,逆水行舟,不进则退。 Unsorted bin attackLarge bin attack两者我还是放在一起了,因为两者相近,都是通过修改bk(bk_nextsize)来实现对一块区域的修改,漏洞在于缺少*(bk)->fd的检测。 unsortedbin的利用点 /* remove from unsorted list */ if (__glibc_unlikely (bck->fd != victim))
glibc-2.29 large bin attack 原理
qq_23066945的博客
11-14 1065
glibc-2.29 large bin attack 原理 原创: 星盟安全团队 星盟安全 该方法并非笔者发现,而是阅读 balsn 的 writeup 时分析而得到的,这里介绍一下这种攻击方法。 unsorted bin attack 在介绍新的攻击技术之前,先来缅怀一下 unsorted bin attack , 由于 glibc-2.29 新上的保护措施,使得 unsorted bin ...
CTF 用户态ptmalloc pwn总结(一)
weixin_41918450的博客
09-24 929
kernel pwn题不准备以总结的方式来写,准备每一道题一篇文章专门分析,有很多题网上都有不少解析,我只在github提供的脚本基础上进行复现和分析(因为能力不够,比赛时kernel pwn做不出,只能赛后复现了) 准备讲一下这三道题,关于强网杯的两道题其实是csaw2010的两道题进行了一些修改。最后会写一篇文章进行专门的总结,关于在这三道题复现过程中的问题以及一些利用技巧。 强网杯2018 ...
log4j反序列化漏洞详解及利用
热门推荐
Mr.Wang的博客
12-20 1万+
Log4j漏洞详解:带你体验一把hacker之路!
cma: cma alloc: alloc failed, reg-size: 900 pages,
05-19
这是一个CMA(Contiguous Memory Allocator)的错误信息,意思是在分配连续内存时失败了。CMA是一种用于分配大块物理内存的内核机制,通常用于高性能计算和嵌入式系统中。 这个错误信息中提到了“reg-size: 900 pages”,这意味着尝试分配900页的连续内存空间,但是系统没有足够的可用内存来满足这个请求。可能的原因包括系统物理内存不足、内存碎片化等。 要解决这个问题,可以尝试增加系统可用的物理内存,或者使用其他内存分配机制来代替CMA。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hollk

要不赏点?

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值