Fastbin的利用

最新推荐文章于 2024-03-31 09:32:53 发布
最新推荐文章于 2024-03-31 09:32:53 发布
阅读量680 收藏
点赞数
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014377094/article/details/123301558
版权

我是传送门:

pwn_wiki_fastbinattackFastbin Attack - CTF Wiki (ctf-wiki.org)

how2heap                 GitHub - shellphish/how2heap: A repository for learning various heap exploitation techniques.

bin结构 

struct malloc_chunk {
  /* #define INTERNAL_SIZE_T size_t */
  INTERNAL_SIZE_T      prev_size;  /* Size of previous chunk (if free).  */
  INTERNAL_SIZE_T      size;       /* Size in bytes, including overhead. */
  struct malloc_chunk* fd;         /* 这两个指针只在free chunk中存在*/
  struct malloc_chunk* bk;
 
  /* Only used for large blocks: pointer to next larger size.  */
  struct malloc_chunk* fd_nextsize; /* double links -- used only if free. */
  struct malloc_chunk* bk_nextsize;
};

当使用状态下,fd,bk无。

默认情况下大小为16到80字节的chunk被分类到fast chunk,按照8字节递增。大小固定。

Double Free

字面意思,free同一个chunk两次。

同一chunk不能直接连续free两次,会报异常,因此采用中间夹一个绕过。

对已malloc的chunk我们分别命名为1,2.

依次free1,free2,free1会产生如下效果

 fastbin采用LIFO单链表方式以fd连接,最新free的chunk会放到链表尾,main_arena指向它,其fd指向原链表尾。

利用:完成上述后malloc(chunk1),再篡改fd,则能够实现任意地址分配堆块的效果 (首先要通过验证),这就相当于任意地址写任意值的效果。

验证:_int_malloc 会对欲分配位置的 size 域进行验证,如果其 size 与当前 fastbin 链表应有 size 不符就会抛出异常。

House Of Spirit

伪造fastbin大小的chunk。

除chunk通用结构外需满足

1.fake chunk 的 ISMMAP 位不能为 1,因为 free 时,如果是 mmap 的 chunk,会单独处理。

2.fake chunk 地址需要对齐, MALLOC_ALIGN_MASK

   32位程序的话fake_chunk的prev_size所在地址就应该位0xXXXX00xXXXX4。64位的话地址就应      该在0xXXXX00xXXXX8

3.fake chunk 的 size 大小需要满足对应的 fastbin 的需求,同时也得对齐。

4.fake chunk 的 next chunk 的大小不能小于 2 * SIZE_SZ,同时也不能大于av->system_mem 。

  fake_chunk 的大小,大小必须是 2 * SIZE_SZ 的整数倍。如果申请的内存大小不是 2 *       SIZE_SZ   的整数倍,会被转换满足大小的最小的 2 * SIZE_SZ 的倍数。32 位系统中,SIZE_SZ    是 4;64 位系统中,SIZE_SZ 是 8。最大不能超过av->system_mem,即128kb。next_chunk的    大小一般我们会设置成为一个超过fastbin最大的范围的一个数,但要小雨128kb,这样做的目的      是在chunk连续释放的时候,能够保证伪造的chunk在释放后能够挂在fastbin中main_arena的前     面,这样以来我们再一次申请伪造chunk大小的块时可以直接重启伪造chunk

5.fake chunk 对应的 fastbin 链表头部不能是该 fake chunk,即不能构成 double free 的情况。

以数组构造的方式为例

unsigned long long fake_chunks[10] __attribute__ ((aligned (16)));
fake_chunks[1] = 0x40; // this is the size
fake_chunks[9] = 0x1234; // nextsize

[0]为prev_size,[1]为size(隐藏ismmap为0)0-7正好为0x40个字节

Alloc to Stack

修改fd指向构造好的栈,从而实现对栈的修改。与前面区别在于修改fd。

示例

typedef struct _chunk
{
    long long pre_size;
    long long size;
    long long fd;
    long long bk;
} CHUNK,*PCHUNK;

int main(void)
{
    CHUNK stack_chunk;

    void *chunk1;
    void *chunk_a;

    stack_chunk.size=0x21;
    chunk1=malloc(0x10);

    free(chunk1);

    *(long long *)chunk1=&stack_chunk;
    malloc(0x10);
    chunk_a=malloc(0x10);
    return 0;
}

Arbitrary Alloc

Arbitrary Alloc 其实与 Alloc to stack 是完全相同的,唯一的区别是分配的目标不再是栈中。 事实上只要满足目标地址存在合法的 size 域(这个 size 域是构造的,还是自然存在的都无妨),我们可以把 chunk 分配到任意的可写内存中,比如 bss、heap、data、stack 等等。

Marx_ICB
关注
pwn题中fastbin利用
Vicl1fe的博客
09-28 683
参考和题目链接链接:https://paper.seebug.org/445/#pwnfastbin 前言 这个题,我搞了有一天,没搞出来,就在我快放弃的时候,才终于解出来,可能系统不一样,我覆盖不了参考文章的地址,最后我覆盖了别的地址。具体来看看吧。 ...
fastbin attack学习总结
Assassin
04-16 2565
之前没有全面的学习,现在网上资料真是比几年前全面的多了,这里总结回顾一下fastbin attack的原理思路。这里参考的博主链接如下,写的确实很详实 https://blog.csdn.net/Breeze_CAT/article/details/103788698 一、基础知识 需要了解fastbin的分配原理,fastbins是管理在malloc_state结构体重的一串单向链表,分为0x20-0x80总共7个链表: 每次free释放对应大小的堆块,会加入到对应的链表中 每次malloc分配堆块,会
堆机制利用fastbin
weixin_48066554的博客
05-04 2369
堆机制利用fastbin 前半部分:基于libc2.23(无tcache) 堆机制(fastbin等) 想要了解堆的机制利用方法必须要先了解堆的基本机制以及结构 目前主要使用的内存管理库是ptmalloc,而在ptmalloc中,用户请求的空间由名为chunk的数据结构表示 下面就是一个标准的chunk结构 该chunk中,**prev_size参数为前一chunk(如果未被使用)的大小,size参数为该chunk的大小,而P参数(pre_insue)为标志位,标志前一个chunk的使用情况。**而上述
linux堆内存漏洞利用fastbin
pang241的专栏
09-24 1838
背景介绍在前一节主要介绍了Glibc的堆内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc堆内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为: - fastbin的攻击 - smallbin的攻击 - largebin的攻击 - unsorted bin的攻击 - top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利
利用学习之fastbin attack
Hpasserby的博客
10-06 750
原理 fastbin attack是一类漏洞的利用方法,是指所有基于 fastbin 机制的漏洞利用方法。主要利用fast bin的单链表管理机制。 相关源码: malloc: /* If the size qualifies as a fastbin, first check corresponding bin. This code is safe to execute ev...
PWNFastbin 与 Tcache 的利用
u014377094的博客
05-03 1205
从本周开始,针对ctfwiki的顺序,整理堆的攻击方式,顺便练一下手。克服惰性与抗拒,才能继续进步。 首先是为何把fastbin和tcache放第一个整理,因为fastbin和tcache是所有后续攻击的基础,为了实现写入“任意”地址,通常情况下都是利用fastbin和tcache,有个明显的原因就是fastbin和tcache都采用单链表结构,结构更加简单,简单也意味着缺少复杂的检测,更加利于我们去利用。其次,为何把它俩放一起,原因还是两者的结构相似,地位相近,但细节上有不同,放在一起对比利用。 再说
一个实例讲解fastbins上的堆利用
小强的博客
09-06 1475
这道题是hctf2016年“就是干”那道题。附件有下载地址及writeup。我就是分析一下: 首先IDA分析一下: 新建两个结构体 00000000 str_struct struc ; (sizeof=0x20) 00000000 str dq ? 00000008 str_padding dq ? 00000010 size
fastbin 利用小结之fastbin double free, house of spirit
chenzhenyu1983的博客
04-23 1487
fastbin 利用小结之fastbin double free, house of spirit1、fastbin chunk 结构未分配的chunk|         |  size  ||  fd  |         |已分配chunk|       |   size  ||    content     | ……malloc返回的指针指向content位置 2、Fastbin Doub...
从两道基础题简单认识和了解fastbin double free漏洞的利用
weixin_44864859的博客
07-13 1056
fastbin double free原理 Fastbin Double Free 是指 fastbin 的 chunk 可以被多次释放,因此可以在 fastbin 链表中存在多次。这样导致的后果是多次分配可以从 fastbin 链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆 (type confused) 的效果。(即可以构造假的chunk实现任意地址写) Fastbin Double Free 能够成功利用主要有两部分的原因 fastbin 的堆块被释放后
Fastbin attack
aoque9909的博客
06-25 431
Fastbin Attack 暂时接触到了两种针对堆分配机制中fastbin的攻击方式,double free和house of spirit Double free 基本原理 与uaf是对free之后的指针直接进行操作不同,double free通过利用fastbin对堆的分配机制,改写在fastbin中的chunk,实现对指定内存的堆块分配。 先正常释放chunk1和c...
堆漏洞挖掘中的bins分类(fastbin、unsorted bin、small bin、large bin)
热门推荐
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin链中的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
CTF pwn题堆入门 -- Fast bin
lifanxin的博客
04-07 2506
这里写目录标题概述攻击方式实现任意地址分配fast bin poisoninghouse of spirit总结 概述   Fast bin是堆利用中最常遇见的情况,常见于libc2.23版本的pwn题中,在那个版本中还没有Tcache机制,在那个版本中漏洞利用还很轻松(????)。   这里简单总结一下fast bin的性质,64位机器下fast bin大小为0x20 – 0x80字节,每个bin链表之间以0x10字节递增;32位机器下为0x10 – 0x40,每个bin链表之间以0x8字节递增(上面的大
fastbin attack快速入门
abelxu
11-13 1215
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小堆块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,堆块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小堆块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
探索Fastbin:一款高效的C语言内存管理工具
最新发布
gitblog_00077的博客
03-31 354
探索Fastbin:一款高效的C语言内存管理工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个轻量级、快速且灵活的C语言内存管理系统,旨在提升你的程序在内存分配和释放时的效率。它的设计灵感来源于现代操作系统的内存管理策略,尤其是对小块内存的处理,使得开发者能够在不牺牲性能的前提下,更好地管理程序的内存。 技术分析 Fastbin的核心在于其优化的内存分配算法。...
fastbin attack
m0_64195960的博客
07-19 1436
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
linux适当堆内存,linux堆内存漏洞利用fastbin
weixin_42245967的博客
04-30 407
背景介绍在前一节主要介绍了Glibc的堆内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc堆内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为:fastbin的攻击smallbin的攻击largebin的攻击unsorted bin的攻击top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利用具体的fastbin的介绍请参考前一节和 Linux堆内...
Fastbin attack总结
WateranFire的博客
10-12 290
double free 思路: 构造fake chunk,将free chunk的fd指向fake chunk,使得下次malloc时返回fake chunk 检测: (1)fastbin 在执行 free 的时候仅验证了 main_arena 直接指向的块,即链表指针头部的块。对于链表后面的块,并没有进行验证。 (2)malloc申请伪造的fastbin时会检测fastbin的SIZE 流程: a1=malloc(); a2=malloc(); free(a1); free(a2); //
LINUX内核研究----C/C++内存管理glibc运行库底层ptmalloc内存管理源码分析总结
风清扬
02-24 827
基础知识:32位进程的虚拟地址空间64位进程的虚拟地址空间应用程序的堆栈从最高地址处开始向下生长,.bss段与.Stack之间的空间是空闲的,空闲空间被分成两部分,一部分为heap,一部分为mmap映射区域。Heap和mmap区域都可以供用户自由使用,但是它在刚开始的时候并没有映射到内存空间内,是不可访问的。在向内核请求分配该空间之前,对这个空间的访问会导致segmentationfault(段错...
护网面试问题
cf6666666的博客
05-17 5780
1:护网是干什么? 护网行动是一场网络安全攻防演练。是针对全国范围的真实网络目标为对象的实战攻防活动 mimikatz的功能: 1:可以获取主机账号密码 1:第一步:使用Nmap扫描目标主机开放端口,ms17010是对445端口进行攻击的,所以我们要先对目标机进行端口扫描 2:第二步:获取权限 在这里我们利用ms17010(永恒之蓝)漏洞来获取靶机的权限。 运行msf,使用ms17010漏洞。 3:剩下的就是需要我们设置LHOST、RHOST、payload,分别是攻击机IP、靶机IP、攻击载荷。 4:配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值