how2heap-fastbin_dup_consolidate.c

已于 2023-06-04 10:15:18 修改
阅读量217 收藏
点赞数
分类专栏: PWN 文章标签: pwn
于 2023-05-27 22:07:54 首次发布
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/130906374
版权

源码:

#include <stdio.h>
#include <stdint.h>
#include <stdlib.h>

int main() {
  void* p1 = malloc(0x40);
  void* p2 = malloc(0x40);
  fprintf(stderr, "Allocated two fastbins: p1=%p p2=%p\n", p1, p2);
  fprintf(stderr, "Now free p1!\n");
  free(p1);

  void* p3 = malloc(0x400);
  fprintf(stderr, "Allocated large bin to trigger malloc_consolidate(): p3=%p\n", p3);
  fprintf(stderr, "In malloc_consolidate(), p1 is moved to the unsorted bin.\n");
  free(p1);
  fprintf(stderr, "Trigger the double free vulnerability!\n");
  fprintf(stderr, "We can pass the check in malloc() since p1 is not fast top.\n");
  fprintf(stderr, "Now p1 is in unsorted bin and fast bin. So we'will get it twice: %p %p\n", malloc(0x40), malloc(0x40));
}

环境:
ubuntu16.04
libc 2.23

编译:
gcc -g fastbin_dup_consolidate.c -o fastbin_dup_consolidate

条件:
free(fast_binA)的是fastbin_chunk;
malloc(largebin_chunk)的是largebin_chunk;

支持:
Libc各版本都行;

原理:
malloc(large_bin) 时由于是 large_bin chunk ,会调用 malloc_consolidate(),这个函数会遍历所有的 fastbin 把里面的 chunk 该合并合并,该清楚使用就标志清楚使用标志,然后全部插入 unsorted bin 中。

利用- double free:
malloc(largebin_chunk)后再次free(fast_binA)的时候,Fastbin对double free的检查机制是仅仅检查fastbin的头chunk是否与当前要释放的这个相同size的chunk地址一样。而我们的 chunk 早到 unsorted bin 中去了,所以为0,是不同的,不同就能再次执行free(fast_binA)。构造出 fastbin 和 unsorted bin 中都有同一个 chunk(fast_binA),也就是我们可以把它 malloc(fast_binA) 出来两次

总结:
利用malloc(largebin_chunk)把free(fast_binA)移动到unsorted bin中;
再次free(fast_binA),即double free了fast_binA;

hercu1iz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
how2heap-2.23-03-fastbin_dup_consolidate
blind cat
01-04 469
因为large chunk需要的空间较大,会尝试将fastbin中的chunk合并转移到unsortedbin,并将相邻下一chunk的pre_in_use置0。在通过申请large chunk时,会触发malloc_consolidate,会将chunk a放入到unsorted bin->small bin,此时下一个chunk b的prev_inuse清零。现在就可以在chunk a中伪造chunk,释放下一个chunk b,从而产生unlink,通过unlink进行利用。
how2heap-2.23-04-unsorted_bin_leak
blind cat
01-04 959
unsorted bin leak原理:将chunk从unsorted bin申请回来时,chunk中保存的与unsorted bin相关的地址没有被清除,可以通过该地址获取libc的基地址。
how2heap-fastbin_dup_consolidate
huzai9527的博客
05-21 233
fastbin_dup_consolidate consolidate 过程 若 get_max_fast() 返回 0,则进行堆的初始化工作,然后进入第 7 步 从 fastbin 中获取一个空闲 chunk 尝试向后合并 若向前相邻 top_chunk,则直接合并到 top_chunk,然后进入第 6 步 否则尝试向前合并后,插入到 unsorted_bin 中 获取下一个空闲 chunk,回到第 2 步,直到所有 fastbin 清空后进入第 7 步 退出函数 poc a=malloc(x
How2heap--fastbin_dup_consolidate(by glibc-2.23)
qq_53058639的博客
07-25 80
首先malloc两个0x40大小的fastbin chunk同样申请0x40,加上0x10大小的chunk头,1字节的假大小(由于inuse位为1),实际大小为0x50继续调试,对p1进行了freep1被放进fastbin的空闲链表然后再malloc一个0x400大小的largbin chunk来看一下_int_malloc()源码检查是否是fastbin范围检查是否是smallbin范围都不是就判断属于largebin
how2heapfastbin_dup_consolidate(包含sleepyholder)
eeeeeight的博客
03-29 440
fastbin_dup_consolidate Column: Mar 28, 2021 昨日dasctf, 临时学会了house of orange, 但依旧爆零, 哎, 只能说自己不够努力 利用方式及其效果: 方式: 很简单, 先申请一个fastbin范围内的堆1, 再随便申请一个堆2防止被topchunk合并, 之后释放堆1, 申请large bin大小的堆3, 最后释放一次堆1, 此时不会段错误, 而会让堆1同时存在于fastbin与unsortedbin中 效果: 个人认为how2heap中讲的并
Hitcon 2016 SleepyHolder-fastbin_dup_consolidate
九层台
03-08 440
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <signal.h> #include <fcntl.h> #include <sys/stat.h> #include <sys/types.h> #define BASE 4...
how2heap个人学习总结
u014377094的博客
04-17 699
how2heap个人学习总结 1.fastbin_dup double free基本操作 2.27下由于多了tcache,可以先free7个填满tcache再calloc3个后free放入fastbin。calloc与malloc区别除了对语法略有不同,会对内容初始化以外还会跳过tcache直接执行int_malloc。 后续2.31,32,33,34无区别。 2.fastbin_dup_into_stack double free基操,有一点需要注意,fast chunk在获取时会对其大小 进行检测,检查
how2heap2.31学习(1)
m0_51251108的博客
09-30 617
how2heap里的libc2.31的fastbin部分
从零开始学howtoheapfastbins的double-free攻击实操2
最新发布
weixin_44626085的博客
02-10 1017
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见。
最新版linux jdk-16.0.2_linux-x64_bin.tar.gz
07-22
2. **版本号16.0.2**:这代表了JDK的特定版本,16表示主版本,0.2表示次要更新。每个版本都可能包含新的功能、性能改进和错误修复。JDK 16.0.2是一个重要的维护版本,提供了自JDK 16以来的一些安全性和稳定性增强。 ...
native_heapdump_viewer.py
07-16
3.抓取步骤2进程的堆栈数据,如进程pid是4723 am dumpheap -n 4723 /data/00.txt am dumpheap -n 4723 /data/01.txt 4.格式化堆栈数据 python native_heapdump_viewer.py --symbols symbols 00.txt >00.log python ...
platform-tools_r31.0.2-windows
07-05
平台工具包"platform-tools_r31.0.2-windows"是Android开发不可或缺的一部分,由Google官方发布,主要用于支持Android应用程序的构建、调试和部署。这个版本号表示这是平台工具的第31.0.2次更新,针对Windows操作...
api-ms-win-core-heap-l2-1-0.dll(32+64位都有)亲测可用
03-02
《api-ms-win-core-heap-l2-1-0.dll:操作系统核心堆管理库解析》 在Windows操作系统中,`api-ms-win-core-heap-l2-1-0.dll`是一个至关重要的动态链接库文件,它是系统核心堆管理的一部分,用于32位和64位系统。该...
api-ms-win-core-heap-l2-1-0(64-Bit).zip
11-27
《深入理解API-MS-WIN-CORE-HEAP-L2-1-0.dll:64位系统的内存管理关键组件》 在Windows操作系统中,API-MS-WIN-CORE-HEAP-L2-1-0.dll是核心堆管理库的一个重要组成部分,主要负责64位系统中的内存分配和管理。这个...
全网最硬核PWN入门_图解分析
个人笔记
04-03 6606
PWNLinux环境下的基础知识从C源码到可执行文件的生成过程程序的编译与链接什么是可执行文件可执行文件分类PE/ELFELF文件格式区分节和段的存储区域加载ELF / 查看节和段区分布命令段(segment)与节(section)程序数据在内存中的组织分布大端序与小端序存储关键寄存器静态链接与动态链接常用汇编指令intel 和 AT&T汇编格式 序 PWN知识只有不断的重复,实践才能熟悉掌握。以下知识点以LINUX系统环境下为主要说明(Windows的会有点区别)。 Linux环境下的基础知识
buuctf(pwn
个人笔记
04-04 2858
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
2021/10/18-如何调试pwn的exp或payload
个人笔记
10-19 1741
《2021年10月18日》 【连续第18天总结】 首先需要明白的是,你调试的exp.py是你输入的内容(即程序获取用户输入的信息)。 通过exp.py脚本与程序交互执行你的输入,跟手动一次次输入并无两样,所以想通过下断点调试查看你希望看到的具体位置数据的方法是一样的。 pwn调试小技巧 pwntool工具中一些好用的模块 context.log_level="debug" //输出显示调试信息,即用户输入与程序交互的信息 context.terminal = ["tmux","splitw","-h"]
堆简介(heap)_上
个人笔记
07-18 806
堆堆的特性堆VS栈对比堆的数据结构最重要的堆表(空表 和 快表)空表快表堆管理策略 堆的特性 (1)堆是一种在程序运行时动态分配的内存。所谓动态是指所需内存的大小在程序设计时 不能预先决定,需要在程序运行时参考用户的反馈。 (2)堆在使用时需要程序员用专用函数进行申请,如 C 语言中的 malloc 等函数、C++中的 new 函数等都是最常见的分配堆内存的函数。堆内存申请有可能成功,也有可能失败,这与申 请内存的大小、机器性能和当前运行环境有关。 (3)一般用一个堆指针来使用申请得到的内存,读、写、释放都
FreeRTOS内存分配解析-Heap_1.c详解
Heap_1.c仅提供pvPortMalloc()函数,用于分配内存,但不支持vPortFree()函数来释放内存,这意味着一旦内存分配出去,就无法回收,适合于那些不需要删除任务、队列或信号量的应用场景。 Heap_1的内存分配策略基于一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值