fastbin attack漏洞之__malloc_hook攻击

最新推荐文章于 2022-04-14 17:35:01 发布
最新推荐文章于 2022-04-14 17:35:01 发布
阅读量5.3k 收藏 26
点赞数 4
分类专栏: 堆漏洞挖掘 文章标签: __malloc_hook 堆漏洞挖掘 fastbin attack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41453285/article/details/99321101
版权

一、概念

二、攻击方向

  • 方向①:我们可以将__malloc_hook函数指针改为got表中的其它函数指针,那么当执行malloc的时候就回去直接执行我们修改的函数。
  • 方向②:如果我们将__malloc_hook函数指针修改为one_gadget的地址,那么我们就可以在执行malloc的时候起一个shell。

三、攻击方法

  • 第一步:进程的__malloc_hook地址一定为0x7ffff7dd1b10,所以我们将0x7ffff7dd1b10作为我们的target目标。
  • 第二步:但是由于0x7ffff7dd1b10地址的指定偏移处的size成员数值不能够满足glibc的检测,因此我们需要在__malloc_hook地址附近找一块合适的地址作为我们的攻击目标。下图可以看出0x7ffff7dd1b10地址的数值都为0不符合要求。

  • 第三步:通过尝试发现,0x7ffff7dd1b10-0x23地址处的指定8字节偏移处的数值能够满足glibc的检测,所以我们最终把0x7ffff7dd1b10-0x23=0x7ffff7dd1aed地址作为我们的攻击目标。从下图可以看出,0x7ffff7dd1b10-0x23地址的数值为0x7f,满足size成员的要求。

四、演示案例

#include<stdio.h>
#include<malloc.h>
#include<unistd.h>
#include<string.h>
int main(){
    int size = 0x60;
    char *p = malloc(size);
    long __malloc_hook_addr = 0x7ffff7dd1b10;
    printf("%p\n",p);
    sleep(0);  //第一步,sleep函数为了程序打断点使用,无其他作用
	
    free(p);
    sleep(0);  //第二步
	
    printf("%p\n",p);
    *(long *)p = __malloc_hook_addr - 0x23;
    sleep(0);  //第三步
	
    char *q = malloc(size); 
    printf("%p\n",q);
    sleep(0);  //第四步
	

    char *r = malloc(size);
    printf("%p\n",r);
    sleep(0);  //第五步
	
    strcpy(r,"aaajunkjunkjunkjunkbbbbbbbb");
    sleep(0);  //第六步

    malloc(0);
    sleep(0);  //第七步
	
    return 0;
}

第一步

  • 在此处我们申请了一个chunk堆块,返回的指针为p(chunk的fd指针为p),并且从下图可以看到,申请的chunk头尾0x602000,printf打印的p(chunk的fd指针)指针为0x602010。

  • 并且程序的__malloc_hook函数地址就为0x7ffff7dd1b10。

第二步

  • 释放p,那么该chunk进入0x70~0x80大小范围的fastbin链中了,此时p指针还指向于chunk的fd成员处。

第三步

  • 由于__malloc_hook的地址不能够过系统的检测,我们将0x7ffff7dd1b10-0x23地址作为我们的攻击目标。
  • 在程序中我们将*p赋值为0x7ffff7dd1b10-0x23,也就是将fd的值变为攻击目标的地址。

  • 通过bins我们可以看到,本来freechunk的fd指针指向于0的,现在指向于我们的0x7ffff7dd1aed了(0x7ffff7dd1b10-0x23)。

第四步

  • 此时我们再去malloc(0x60),就是将我们刚才free的p申请出来使用了,并且p和q指向于同一块地址。
  • 由于p和q指向于同一地址,所以printf打印的地址也为0x602010。

  • 如果是正常释放,此时bin头的fd指针应该指向于0x0的,但是由于我们更改了freechunk的fd指针,所以malloc移除chunk之后,bin头的fd指针指向于我们的目标地址0x7ffff7dd1aed了。

第五步

  • 此时bin链的fd指向于我们的目标地址了,当我们再去malloc的时候,系统会将我们这块目标地址给我们使用,此时我们可以通过r指针来读写这块内存地址了。
  • 通过printf打印的内容可以看出,目标地址为0x7ffff7dd1aed,但是malloc的时候会偏移0x10,所以r的指针为0x7ffff7dd1aed+0x10=0x7ffff7dd1afd。

  • 由于目标地址为0x7ffff7dd1aed,而malloc的返回地址为0x7ffff7dd1aed+0x10(r的地址)。
  • 又因为目标地址是通过__malloc_hook的地址0x7ffff7dd1b10-0x23得到的,所以r的地址+0x13=就是我们__malloc_hook的地址。

第六步

  • 此处我们向目标地址处写入了字符串“aaajunkjunkjunkjunkbbbbbbbb”。通过计算地址偏移,字符串“bbbbbbbb”会被写入到原本存放__malloc_hook函数地址的地方。
  • 查看内存可以看到,存放__malloc_hook函数的地方被写入了字符串“bbbbbbbb”。

第七步

  • 我们知道malloc函数执行的时候会先检测__malloc_hook是否为空,如果不为空就执行__mallochook。
  • 此处我们将__malloc_hook地址内容写入了字符串“bbbbbbbb”,所以当malloc的时候,系统检测到此处有内容,就去执行,但是一执行,发现是字符串,于是就报错退出了。

  • 我是小董,V公众点击"笔记白嫖"解锁更多【堆漏洞挖掘】资料内容。

董哥的黑板报
关注
  • 4
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
web-attack
08-04
web-attack  
TANK ATTACK声卡驱动
12-28
TANK ATTACK声卡驱动最新版ASIO驱动,支持某宝198的双通道吉他声卡,内含2.8.47和2.9.15两个版本,分别都有32bit和64bit版本,自己根据需要安装。2.8.47版本比较稳定一点,直接安装就好,不需要注册码。
[pwn]fastbin attack详解
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”块。通常情况下与double fr...
attackapi-0.1.2.tar_AttackApi_
09-30
一款漏洞检测API检测平台. 学习新知识总结新经验.
pb_buffer_malloc.rar_The Store_malloc
09-14
Implementation of malloc-based buffers to store data that can t be processed by the hardware.
针对Breach攻击的CSRF防御模块的设计与实现
02-29
针对Breach攻击的CSRF防御模块的设计与实现,刘赟,郭燕慧,随着越来越多的真实Web世界的CSRF攻击事件的发生,更多的安全工程师开始重视起这个原本被忽略的攻击方式,新出现的BREACH攻击也对目�
malloc_hook 研究.
hjjdebug的专栏
04-07 2173
研究了一下__malloc_hook, 你可以用man __malloc_hook 获取它的第一认识. 原来它是glibc 定义的一组变量(函数指针), 由此而去调用对应的函数, 这就叫hook. 把这个hook 定义到哪里,它就会调用到哪里,于是就理解了这个hook, 下面给出 一个完成的示例加深理解, 是参考手册写出的代码,调试通过. 可以理解为也是一种代码注入手段. 用以检查内存泄露等! 源码: cat main.cpp #include <stdio.h> #include
fastbin attack攻击中关于 malloc__hook
半岛铁盒的博客
07-20 500
概述 在程序中设置钩子,用来在malloc,,对其进行检查,可以看到对应的函数调用后的地址是什么。 malloc__hook 也位于libc中的data段 它是一个地址 当调用 malloc 的时候 它会发生跳转到malloc__hook 所指向的地址 当我们把malloc__hook 所指向的地址 改为 system(“bin/sh”) 再次调用 malloc 的时候 就会发生跳转到 system() 处 操作 上述前提是获取 malloc__hook 的地址 有一个固定的偏移 (libc2.23 //
动手实现内存泄漏检测组件
菊头蝙蝠的博客
04-14 1875
c/c++没有垃圾回收机制,可能会出现内存泄漏 出现原因:内存分配与内存释放,没有做到匹配 1.如何预防内存泄漏? 2.内存泄漏如何解决? 1.如何知道内存泄漏 2.如何定位代码哪一行引起的内存泄漏 如何知道内存泄漏: 每次malloc/calloc/realloc 就 +1 每次free 就 -1 如果正常退出,不为0,说明存在内存泄漏 如何定位哪一行引起内存泄漏? 1.c自带的宏,__FILE__、_ FUNCTION _和、__LINE__,可以定位到具体文件,函数,哪一行 2.builtin_re
malloc源码分析---1
热门推荐
conansonic的博客
12-01 1万+
malloc源码分析 本文分析malloc的源码,首先从glibc开始,首先看malloc.c文件中的一段定义, strong_alias (__libc_malloc, __malloc) strong_alias (__libc_malloc, malloc) strong_alias是GNU C中的定义,编译器判定这里malloc是__libc_malloc的别名,__libc_m
wireless attack python
09-12
wireless attack python(英文版)
mempool_hook_userdef_0924
09-25
mempool_hook_userdef_0924mempool_hook_userdef_0924
mem.rar_Free!_malloc_malloc和free_mem_free_mem_malloc
09-20
实现自己的mem_malloc和mem_free
!!malloc参考代码与注释.zip_ malloc_malloc
09-23
lunix下用c编写malloc函数
mjjanusa-malloc-lab-2-04360fc.zip_csapp malloc_malloc l_malloc
09-22
csapp 实验 这是csapp实验中的第三个系列,有关malloc 的改写,就发了有用的
漏洞挖掘中的bins分类(fastbin、unsorted bin、small bin、large bin)
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin链中的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
漏洞挖掘——__lib_malloc函数、_int_malloc函数、__lib_free函数源码详解
董哥的黑板报
08-10 4438
_int_malloc函数介绍 当我们在应用层调用malloc申请的时候,在glibc中实际上调用的是_lib_malloc函数,但是_lib_malloc函数只是用来简单的封装_int_malloc函数的,_int_malloc函数才是申请的核心函数 _int_malloc会根据应用层用户申请的内存块大小,从而分配相应的chunk给用户使用 函数的分配内存的主要执行流程: ①请求...
漏洞挖掘中的malloc_consolidate与FASTBIN_CONSOLIDATION_THRESHOLD
董哥的黑板报
07-29 3727
一、何为consolidate 我们知道大于0x80的chunk被释放之后就放到了unsortedbin上面去,但是unsortedbin是一个未分类的bin,上面的chunk也处于未分类的状态。但是这些chunk需要在特定的条件下被整理然后放入到smallbins或者largebins中 这个整理的过程被称为unsortedbin的“consolidate”,但是“consolidate”是...
profiled attack
最新发布
04-27
A profiled attack is a type of cyber attack where the attacker uses information gathered about the target to tailor the attack specifically to that target. This information can include details about the target's system, network, or behavior, as well as personal information such as passwords or login credentials. By using this information, the attacker can increase the chances of a successful attack and reduce the time it takes to execute the attack. Profiled attacks can be more difficult to defend against than generalized attacks because they are specifically designed to exploit weaknesses in a particular system or network.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

董哥的黑板报

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值