Fastbins dup_consolidate探究

最新推荐文章于 2023-07-25 10:00:08 发布
最新推荐文章于 2023-07-25 10:00:08 发布
阅读量321 收藏 1
点赞数
分类专栏: 漏洞挖掘与利用 文章标签: ctf、pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/100141895
版权

演示代码

#include <stdio.h>
#include <stdint.h>
#include <stdlib.h>

int main() {
  void* p1 = malloc(0x40);
  void* p2 = malloc(0x40);
  fprintf(stderr, "Allocated two fastbins: p1=%p p2=%p\n", p1, p2);
  fprintf(stderr, "Now free p1!\n");
  free(p1);

  void* p3 = malloc(0x400);
  fprintf(stderr, "Allocated large bin to trigger malloc_consolidate(): p3=%p\n", p3);
  fprintf(stderr, "In malloc_consolidate(), p1 is moved to the unsorted bin.\n");
  free(p1);
  fprintf(stderr, "Trigger the double free vulnerability!\n");
  fprintf(stderr, "We can pass the check in malloc() since p1 is not fast top.\n");
  fprintf(stderr, "Now p1 is in unsorted bin and fast bin. So we'will get it twice: %p %p\n", malloc(0x40), malloc(0x40));
}
  • 使用GDB调试一下,首先分配两个大小在 fastbins 内的chunk,这里是 0x40 。此时各个 chunk 的信息如下:
    在这里插入图片描述
  • 然后释放其中一个 chunk ,此时 fastbins 中就存放着这块 chunk
    在这里插入图片描述
  • 然后申请一块大小在 largebin 范围内的 chunk,此时发现之前在 fastbins 中的 chunk 被放到了 smallbins 中,并且 size 字段也扩大了 0x10
    在这里插入图片描述
  • 此时 fastbins 中空了,我们可以再一次释放它,就会发现在 fastbins 中又出现了它,而且 smallbins 中存在的并不会消失。
    在这里插入图片描述
  • 那么接下来两次分配大小为 0x40 即可得到两块地址相同的 chunk ,分别来自 fastbinssmallbins
    在这里插入图片描述

原理

  • 相关 glibc 的代码

      ...
  else
      {
        idx = largebin_index (nb);
        if (have_fastchunks (av))
          malloc_consolidate (av);
      }
  ...

  • 系统根据用户申请的大小找到 largebins 中的位置,然后检查 fastbins 中是否有 chunk,有的话就会发生 malloc_consolidate,将其放置 smallbins ,并重新设置头部信息。

      ...
      if (!in_smallbin_range (size)) {
        p->fd_nextsize = NULL;
        p->bk_nextsize = NULL;
      }

      set_head(p, size | PREV_INUSE);
      p->bk = unsorted_bin;
      p->fd = first_unsorted;
      set_foot(p, size);
    }
  ....

总结&思考

  • 从以上演示中,给我最直观的感觉就是可以实现 类型混淆

  • 利用的条件:

      1.能够释放多次同一个指针
  2.能够分配任意大小

  • 额外条件:

      1.可以向堆中写入数据

.

pwn工具箱之fastbin attack
jmp esp
05-22 2265
fastbin attack基本信息 利用类型: 堆利用 堆利用类型: 针对fastbin的利用 利用思想: 利用fastbin的free只检查是否和上一个freechunk相等,使得同一个chunk两次进入free list,造成UAF,可以更改fastbin free chunk的fd信息,最终分配一个特定地址 利用难点 需要能够两次free同一个chunk 更改fd的时候,为了能够在之后的ma
mysql ignore_dup_key_mysql 忽略主键冲突、避免重复插入的几种方式
weixin_42499441的博客
01-28 1065
方案一:使用 ignore 关键字如果是用主键primary或者唯一索引unique区分了记录的唯一性,避免重复插入记录可以使用:insertignoreinto table_name(email,phone,user_id) values('test9@163.com','99999','9999'),这样当有重复记录就会忽略,执行后返回数字0,还有个应用就是复制表,避免重复记录:inser...
4.fastbin_dup_consolidate
06-08 309
源代码 1 #include <stdio.h> 2 #include <stdint.h> 3 #include <stdlib.h> 4 5 int main() { 6 void* p1 = malloc(0x40); 7 void* p2 = malloc(0x40); 8 fprintf(st...
Hitcon 2016 SleepyHolder-fastbin_dup_consolidate
九层台
03-08 462
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <signal.h> #include <fcntl.h> #include <sys/stat.h> #include <sys/types.h> #define BASE 4...
2.fastbin_dup
06-08 319
源代码  演示了doublefree 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 fprintf(stderr, "This file demonstrates a simple double-free attack with fastbin...
How2heap--fastbin_dup_consolidate(by glibc-2.23)
qq_53058639的博客
07-25 109
首先malloc两个0x40大小的fastbin chunk同样申请0x40,加上0x10大小的chunk头,1字节的假大小(由于inuse位为1),实际大小为0x50继续调试,对p1进行了freep1被放进fastbin的空闲链表然后再malloc一个0x400大小的largbin chunk来看一下_int_malloc()源码检查是否是fastbin范围检查是否是smallbin范围都不是就判断属于largebin
Test_dup_x2.rar_The Test
09-14
在这个名为"Test_dup_x2.rar_The Test"的压缩包中,我们有两个源代码文件:AddAdapter.c 和 Test_dup_x2.c,它们可能涉及到适配器模式的应用。以下是关于适配器模式及其相关知识点的详细解释。 适配器模式的主要...
rem_dup_1.rar_active directory
09-19
在给定的“rem_dup_1.rar_active directory”资源中,我们可以推断这是一个关于解决Active Directory中重复条目问题的测试案例。在描述中提到的“not univoce record”是指非唯一记录,这可能指的是在Active ...
find_dup_1.zip_Duplicate Text
09-14
"find_dup_1.zip_Duplicate Text"这个项目就是针对这个问题的一个实例。它使用了一种名为`find_dup.awk`的Awk脚本来查找和处理文本文件中重复的行。Awk是一种强大的文本分析工具,尤其适用于处理结构化数据,如CSV或...
DUP_MOSAIC.zip_We Two
07-15
matlab code for mosaicing of two images.here we use homography and ransac for mosaicng of two images.
how2heap的fastbin_dup_consolidate(包含sleepyholder)
eeeeeight的博客
03-29 462
fastbin_dup_consolidate Column: Mar 28, 2021 昨日dasctf, 临时学会了house of orange, 但依旧爆零, 哎, 只能说自己不够努力 利用方式及其效果: 方式: 很简单, 先申请一个fastbin范围内的堆1, 再随便申请一个堆2防止被topchunk合并, 之后释放堆1, 申请large bin大小的堆3, 最后释放一次堆1, 此时不会段错误, 而会让堆1同时存在于fastbin与unsortedbin中 效果: 个人认为how2heap中讲的并
how2heap-fastbin_dup_consolidate
huzai9527的博客
05-21 242
fastbin_dup_consolidate consolidate 过程 若 get_max_fast() 返回 0,则进行堆的初始化工作,然后进入第 7 步 从 fastbin 中获取一个空闲 chunk 尝试向后合并 若向前相邻 top_chunk,则直接合并到 top_chunk,然后进入第 6 步 否则尝试向前合并后,插入到 unsorted_bin 中 获取下一个空闲 chunk,回到第 2 步,直到所有 fastbin 清空后进入第 7 步 退出函数 poc a=malloc(x
ptmalloc——fastbins
weixin_34414196的博客
06-21 306
2019独角兽企业重金招聘Python工程师标准>>> ...
linux适当堆内存,linux堆内存漏洞利用之fastbin
weixin_42245967的博客
04-30 409
背景介绍在前一节主要介绍了Glibc的堆内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc堆内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为:fastbin的攻击smallbin的攻击largebin的攻击unsorted bin的攻击top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利用具体的fastbin的介绍请参考前一节和 Linux堆内...
Fastbins attack : Alloc_to_stack
yms0211的博客
04-12 282
Fastbins attack : Alloc_to_stack 这个利用技巧与前面的house of spirit 和 double free很类似。都是利用fastbins 中单链表成员只用 fd 指针这个特点来将伪造的fake_chunk 挂进 fastbins中再申请出来进行利用 回到我们的主题啊,alloc_to_stack,顾名思义,这个技巧就是修改fd 指针将伪造的fake_chunk分配到栈段上面去。 演示: #所用例子为wiki上的例子# typedef struct _chunk {
堆漏洞挖掘中fastbins的大小(DEFAULT_MXFAST、MAX_FAST_SIZE)
董哥的黑板报
07-30 2037
一、fastbins大小的默认最大值(DEFAULT_MXFASTfastbin中支持的fastchunk的默认最大值为128字节。在glibc中用“DEFAULT_MXFAST”宏定义表示 二、fastbins大小的最大值(MAX_FAST_SIZE) 但是其支持的fastchunk的数据空间最大为160字节。在glibc中用“MAX_FAST_SIZE”宏定义表示 最大值的g...
Double free(hows2heap)
fanghuapyk的博客
04-23 1756
1.fastbin_dup fast bin fast bin主要是用来存放一些小的内存,使用fastbin可以提高小内存的分配效率,在默认情况下,对于SIZE_SZ为4B(32位)的平台,小于64B(字节)的chunk分配请求,和对于SIZE_SZ为8B(64位)的平台,小于128B的chunk分配请求首先会在fast bin中查找是否有所需大小的chunk存在,如果存在,就会直接返回内存资源,如果不存在,才会到其他bins中去查找。 fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过 f
how2heap个人学习总结
u014377094的博客
04-17 767
how2heap个人学习总结 1.fastbin_dup double free基本操作 2.27下由于多了tcache,可以先free7个填满tcache再calloc3个后free放入fastbin。calloc与malloc区别除了对语法略有不同,会对内容初始化以外还会跳过tcache直接执行int_malloc。 后续2.31,32,33,34无区别。 2.fastbin_dup_into_stack double free基操,有一点需要注意,fast chunk在获取时会对其大小 进行检测,检查
GDBGDB报错记录|经验教训
小鱼菜鸟的博客
10-11 1953
1、No source file named. or 没有在断点的地方停止 No source file named. Make breakpoint pending on future shared library load (gdb) b mps_guide_db.c:1699 No source file named mps_guide_d...
vld1q_dup_
最新发布
09-04
vld1q_dup_是ARM NEON体系结构中的一个指令。该指令是用于向量加载的一种形式,可以将一个标量值复制到一个向量寄存器中的所有元素。 vld1q_dup_指令的使用方式如下: vld1q_dup_寄存器, [地址] 其中,寄存器是目标向量寄存器,地址是要加载的标量值所在的内存位置。 这个指令的作用是将一个标量值复制到一个向量寄存器中的每个元素。加载的标量值位于内存中,并且该值可以是任何数据类型,例如整数、浮点数等。由于复制操作是同时进行的,所以可以提高程序执行效率。 使用vld1q_dup_指令的示例代码如下: float32_t scalar = 1.5; // 要复制的标量值 float32_t vector_result[4]; // 目标向量寄存器 float32_t *mem_address = &scalar; // 标量值的内存地址 // 使用vld1q_dup_指令将标量值复制到向量寄存器 vld1q_dup_f32(vector_result, mem_address); 经过上述指令的执行,向量寄存器vector_result中的每个元素都将被赋值为1.5。 总结来说,vld1q_dup_指令是ARM NEON体系结构中的一种向量加载指令,用于将一个标量值复制到一个向量寄存器中的每个元素。这个指令可以提高程序执行效率,并且可以适用于各种类型的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值