how2heap-2.23-04-unsorted_bin_leak

已于 2024-01-04 15:50:10 修改
阅读量957 收藏 23
点赞数 21
分类专栏: 二进制安全 文章标签: linux pwn
于 2024-01-04 15:49:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014679440/article/details/135387375
版权
本文介绍了如何通过unsortedbinleak漏洞,利用内存分配和释放操作来保留fastbin和topchunk之间的地址信息,进而计算出main_arena的地址以及libc库的偏移,揭示了内存管理中的安全风险。
摘要由CSDN通过智能技术生成 
#include<stdio.h>
#include<malloc.h>

int main()
{
        char* a = malloc(0x88);
        char* b = malloc(0x8);

        free(a);
        long* c = malloc(0x88);
        printf("%lx , %lx\n",c[0],c[1]);
        return 0;
}

unsorted bin leak原理:将chunk从unsorted bin申请回来时,chunk中保存的与unsorted bin相关的地址没有被清除,可以通过该地址获取libc的基地址

main_arean->bins初始化数据的含义

之前的文章过,画了个图介绍过,how2heap-2.23-03-fastbin_dup_consolidate,现在粘贴过来
在这里插入图片描述

将chunk释放到unsorted bin中

  • char* a = malloc(0x88); 申请一个大于fastbin范围的chunk a
  • char* b = malloc(0x8); 预防chunk a被释放后与top chunk合并
  • free(a); 将chunk a释放到 unsorted bin中

可以看到unsorted bin中保存了chunk a的地址,chunk a的fd,bk也保存了unsorted bin的地址(实际是top的地址)
在这里插入图片描述

从unsorted bin中申请回chunk

long* c = malloc(0x88);将chunk a重新申请回来,unsorted bin恢复为chunk a放进去之前的数据,而chunk a fd,bk中保存的unsorted bin的地址(实际是top的地址)并没有被清除
读取chunk c的c[0],c[1]就能获取unsorted bin的地址(实际是top的地址)
在这里插入图片描述

获取main_arean的地址

可以计算出top到main_arean的距离是8 * 11 = 88(在64位系统下:4字节的mutex + 4字节的flags + 8*10的fastbinY数组),从而得到main_aren的地址

获取main_arean在libc中的偏移

通过 __malloc_trim 函数得出

int
__malloc_trim (size_t s)
{
  int result = 0;

  if (__malloc_initialized < 0)
    ptmalloc_init ();

  mstate ar_ptr = &main_arena;	// <<<<<<<<<<<<<<<<<
  do
    {
      (void) mutex_lock (&ar_ptr->mutex);
      result |= mtrim (ar_ptr, s);
      (void) mutex_unlock (&ar_ptr->mutex);

      ar_ptr = ar_ptr->next;
    }
  while (ar_ptr != &main_arena);

  return result;
}

在这里插入图片描述

通过__malloc_hook得出
在这里插入图片描述

main_arena_offset = ELF("libc.so.6").symbols["__malloc_hook"] + 0x10

之后便能计算出libc的基地址

showme#
关注
  • 21
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
how2heap-2.23-16-house_of_orange
blind cat
01-08 541
house of orange
how2heap 2.23版本
m0_60886511的博客
10-27 239
how2heap 堆利用
PWN练习---Heap_1
qq_74259765的博客
06-25 755
pwn--堆题部分做题的wp
how2heap2.31学习(2)
m0_51251108的博客
10-01 1025
how2heaplibc2.31的house部分
how2heap-2.31学习
Tw0的博客
06-08 186
当前常用的glibc版本都开始升级到2.31以后了,相对于ubuntu来说就是20.04、22.04之后的版本。同时接触heap的tcache部分也有很长一段时间了,但是平时做题的时候,都是凭印象用各种技巧。本文通过how2heap的例子对2.31的技巧进行巩固总结一下。
how2heap glibc 2.27
qq_46441427的博客
10-10 485
fastbin dup 展示了glibc2.27里利用double free进行的fastbin attack #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { setbuf(stdout, NULL); printf("This file demonstrates a simple double-free attack with fastbins.\n"); pri
how2heap总结
Juny0117的博客
12-07 749
今天,让我们来总结下how2heap,之前粗略过了一下,但最近发现还是有很多细节不太清楚,于是现在回头来重新调试下how2heap。 就按顺序来吧。 0x01 fastbin_dup: 源码: 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 ...
how2heap 源码及输出
weixin_30509393的博客
05-09 185
备个份,慢慢写总结 1 first_fit 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <string.h> 4 5 int main() 6 { 7 printf("This file doesn't demonstrate an atta...
BUUCTF-pwn(18)
njh18790816639的博客
07-10 836
360chunqiu2017_smallest 整体较为简单; 先放个exo;较为简单; from pwn import * context(arch='amd64', os='linux', log_level='debug') binary = './smallest' #r = remote('node4.buuoj.cn',26277) r = process(binary) elf = ELF(binary) main_addr = 0x4000B0 mov_edx_400 = 0x4000
api-ms-win-core-heap-l2-1-0.dll(32+64位都有)亲测可用
03-02
《api-ms-win-core-heap-l2-1-0.dll:操作系统核心堆管理库解析》 在Windows操作系统中,`api-ms-win-core-heap-l2-1-0.dll`是一个至关重要的动态链接库文件,它是系统核心堆管理的一部分,用于32位和64位系统。该...
api-ms-win-core-heap-l2-1-0(64-Bit).zip
11-27
《深入理解API-MS-WIN-CORE-HEAP-L2-1-0.dll:64位系统的内存管理关键组件》 在Windows操作系统中,API-MS-WIN-CORE-HEAP-L2-1-0.dll是核心堆管理库的一个重要组成部分,主要负责64位系统中的内存分配和管理。这个...
api-ms-win-core-heap-l2-1-0.dll
08-29
api-ms-win-core-heap-l2-1-0.dll
core_analyzer-2.18-src_Only_heap_src-only_analyzer_dump_
10-01
"core_analyzer-2.18-src_Only_heap_src-only_analyzer_dump_" 这个标题表明我们正在讨论一个专门用于分析内存堆(heap)的工具,名为 "core analyzer" 的源代码版本,具体是2.18版。"src only" 指出这个版本仅包含...
git教程【源码管理系统教程及版本管理功能教程】
08-13
git是一种源码管理系统(source code management,缩写为SCM)。它对当前文件提供版本管理功能,核心思想是对当前文件建立一个对象数据库(object database),将历史版本信息存放在这个数据库中。 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
财务收入支出系统
08-13
工资表,财务报表,对账表,付款申请,财务报告,费用支出表,财务收支 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
某智能工厂数字化化集成落地项目.pptx
08-13
某智能工厂数字化化集成落地项目.pptx
某流域水生态治理建设项目智慧管理工程可行性研究报告
最新发布
08-13
某流域水生态治理建设项目智慧管理工程可行性研究报告,内容包括: 1、统一物联感知平台 ,实现流域智能视频工业电视系统的有效覆盖,按照实用与先进并存的原则,并兼顾考虑与环保局、气象局以及水利部、省建点位的有效结合,在重点位、市管河流交汇处进行补充设置。 2、江流域智慧管理平台 注重应用开发与业务管理相融合,加强信息应用在河道规划、景观设计、防污控制、日常监管等业务工作中的应用,不断提高智慧管理与服务的应用实效。本期项目设计水安全、水资源、水环境、水生态、通航管理、公众服务、闸坝智能调水、水管理创新等。 3、统一时空信息服务平台 统一数据服务平台建设市统一大数据服务平台,对现有各业务数据进行整合基础。包括数据汇聚平台、分布式数据计算与存储、数据治理平台、数据资源管理平台,构建水务大数据湖,实现数据资源的统一管理和服务。 4、统一应用平台 实现对水务局现有系统进行整合,并搭建智慧水务统一应用平台框架。在统一整理市水务局现有业务系统的基础上,实现统一用户管理、单点登录智慧水务系统、智慧河道系统、综合保障系统、水资源管理系统、供排水管理系统、水利水保管理系统、河湖管理系统等。
FATAL ERROR: CALL_AND_RETRY_LAST Allocation failed - JavaScript heap out of memory
03-31
This can happen when a program tries to allocate more memory than the available heap size, or when there is a memory leak in the code. To solve this error, you can try the following: 1. Increase ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值