Fastbins attack : Alloc_to_stack

已于 2022-04-12 22:52:32 修改
阅读量258 收藏 1
点赞数 4
文章标签: 安全
于 2022-04-12 21:08:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yms0211/article/details/124134298
版权

Fastbins attack : Alloc_to_stack

这个利用技巧与前面的house of spirit 和 double free很类似。都是利用fastbins 中单链表成员只用 fd 指针这个特点来将伪造的fake_chunk 挂进 fastbins中再申请出来进行利用

回到我们的主题啊,alloc_to_stack,顾名思义,这个技巧就是修改fd 指针将伪造的fake_chunk分配到栈段上面去。

演示:

#所用例子为wiki上的例子#

typedef struct _chunk
{
    long long pre_size;
    long long size;
    long long fd;
    long long bk;
} CHUNK,*PCHUNK;

int main(void)
{
    CHUNK stack_chunk;

    void *chunk1;
    void *chunk_a;

    stack_chunk.size=0x21;
    chunk1=malloc(0x10);

    free(chunk1);

    *(long long *)chunk1=&stack_chunk;
    malloc(0x10);
    chunk_a=malloc(0x10);
    return 0;
}

讲一下这个程序的流程:

首先模仿正常chunk定义了一个chunk结构体,并定义了一个结构体变量 PCHUNK。进入主函数,首先定义了一个结构体变量stack_chunk,然后定义了两个指针,为stack_chunk分配了一个0x10大小的堆块,之后将其释放。之后将stack_chunk 所在位置的指针赋给chunk1 ,之后申请0x10大小的堆块,并将堆块指针分配给 chunk_。

使用gcc -g test.c -o test 这个命令编译生成一个可执行文件,并用gdb调试一下:

首先将断点下在第19 行,将程序运行到这里,看一下我们申请分配的的堆块中的内容:
在这里插入图片描述

就是一个正常的chunk。然后我们将断点下在21行,也就是释放完堆块后的一步,这个时候我们看一下bin 中的情况:
在这里插入图片描述

可以看见这个堆块去往了fastbins 。之后我们顺着程序的流程继续往下,可以发现我们这个程序是存在漏洞的:在释放掉第一个malloc分配的堆块后并没有将指向这个堆块的指针置空,这里就出现了一个 use after free 的漏洞(也就是我们可以利用没有被置空的chunk1 指针对这个地址上的堆块进行修改)

在程序中的:

    *(long long *)chunk1=&stack_chunk;

这一句就是对这个chunk中fd指针进行修改,将它改为先前定义的那个stack_chunk 所指向的堆块地址。

由于 fd指针被修改和fastbins 的机制,这个本来不属于程序本身分配的一段内存就被挂进了fastbins,这样我们就能将这个在栈上伪造的堆块挂进fastbins ,并且由于它的位置是被修改的堆块的fd 指针,所以在下一次同大小的分配中,我们就可以再次启用它了。

步进程序看一下这个操作:
在这里插入图片描述

可以看见一个栈地址被挂进了fastbins ,而且还被peda给检测出来了😂

再往后步进去看一下对这个我们分配之后对这个stack_chunk 的再次启用:
在这里插入图片描述

可以看见这个栈段现在已经作为一个chunk 并且能被我们所控制了

youngmith
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
pwn工具箱之fastbin attack
jmp esp
05-22 2232
fastbin attack基本信息 利用类型: 堆利用 堆利用类型: 针对fastbin的利用 利用思想: 利用fastbin的free只检查是否和上一个freechunk相等,使得同一个chunk两次进入free list,造成UAF,可以更改fastbin free chunk的fd信息,最终分配一个特定地址 利用难点 需要能够两次free同一个chunk 更改fd的时候,为了能够在之后的ma
好好说话之Fastbin Attack(3):Alloc to Stack
hollk’s blog
12-17 1327
真的是好久好久都没更新了。。。。最近换工作再加上考CISP-PTE认证耽误了很长一段时间,这段时间打算把CISP-PTE的一些考点总结出来,如果你是做渗透工作或者ctf的web手,这个认证其实并不难。再来说说这篇文章吧,Alloc to Stack这种利用技巧其实和前面两篇区别不大,只不过就是伪造的chunk放在了栈上。这篇文章不会很长,因为wiki上没有适配的例子,自己也没找到。如果有做过这种技巧的例子的师傅,欢迎评论区留言~wiki上2015 9447 CTF : Search Engine这道题我会在
stackalloc 分配堆栈内存
ajian11的专栏
08-26 1552
using System;class Test{    static unsafe void Main()    {        int* fib = stackalloc int[100];        int* p = fib;        *p++ = *p++ = 1;        for (int i = 2; i < 100; ++i, ++p)        {    ...
ptmalloc——fastbins
weixin_34414196的博客
06-21 273
2019独角兽企业重金招聘Python工程师标准>>> ...
linux适当堆内存,linux堆内存漏洞利用之fastbin
weixin_42245967的博客
04-30 372
背景介绍在前一节主要介绍了Glibc的堆内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc堆内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为:fastbin的攻击smallbin的攻击largebin的攻击unsorted bin的攻击top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利用具体的fastbin的介绍请参考前一节和 Linux堆内...
Tensorflow2.0 之Could not create cudnn handle: CUDNN_STATUS_ALLOC_FAILED问题
01-20
Tensorflow2.0 之Could not create cudnn handle: CUDNN_STATUS_ALLOC_FAILED问题 问题描述: 在tensorflow2.0的学习过程中,遇到了Could not create cudnn handle: CUDNN_STATUS_ALLOC_FAILED,发现这个问题是我在...
dma-alloc.rar_dma_alloc_memory
09-14
consistent DMA memory allocation
alloc_convert_move.rar_class A
09-19
Manages a write within the utility thread. This class holds all the state around the writing and communicates with the ImageWriterHandler to dispatch messages.
无法解析的外部符号”private: char * __cdecl cv::String::allocate(unsigned __int64)” (?allocate@String@cv@@AEAA
01-20
1>—— 已启动生成: 项目: save-image, 配置: Release x64 —— 1>save-image-D435.obj : error LNK2001: 无法解析的外部符号 “private: char * __cdecl cv::String::allocate(unsigned __int64)” (?...
sram-alloc.rar_ALLOC_memory
09-14
SRAM allocator for Blackfin on-chip memory.
一个实例讲解fastbins上的堆利用附件
09-06
hctf 2016 就是干 一个实例讲解fastbins上的堆利用附件 一个实例讲解fastbins上的堆利用附件一个实例讲解fastbins上的堆利用附件
Fastbins dup_consolidate探究
qq_41252520的博客
08-29 277
演示代码 #include <stdio.h> #include <stdint.h> #include <stdlib.h> int main() { void* p1 = malloc(0x40); void* p2 = malloc(0x40); fprintf(stderr, "Allocated two fastbins: p1=%p p...
堆漏洞挖掘中fastbins的大小(DEFAULT_MXFAST、MAX_FAST_SIZE)
董哥的黑板报
07-30 1929
一、fastbins大小的默认最大值(DEFAULT_MXFASTfastbin中支持的fastchunk的默认最大值为128字节。在glibc中用“DEFAULT_MXFAST”宏定义表示 二、fastbins大小的最大值(MAX_FAST_SIZE) 但是其支持的fastchunk的数据空间最大为160字节。在glibc中用“MAX_FAST_SIZE”宏定义表示 最大值的g...
堆漏洞挖掘中bins的单向链表、双向链表存储结构
董哥的黑板报
07-28 3478
前言: 前面介绍过:fastbins为单链表存储。unsortedbin、smallbins、largebins都是双向循环链表存储 并且free掉的chunk,如果大小在0x20~0x80之间会直接放到fastbins上去,大于0x80的会放到unsortedbin上,然后进行整理 那么这些链表在glibc中到底是如何存储的哪,本片文章进行介绍 一、fastbins的单向链表存储结构 f...
堆机制利用之fastbin
weixin_48066554的博客
05-04 2296
堆机制利用之fastbin 前半部分:基于libc2.23(无tcache) 堆机制(fastbin等) 想要了解堆的机制利用方法必须要先了解堆的基本机制以及结构 目前主要使用的内存管理库是ptmalloc,而在ptmalloc中,用户请求的空间由名为chunk的数据结构表示 下面就是一个标准的chunk结构 该chunk中,**prev_size参数为前一chunk(如果未被使用)的大小,size参数为该chunk的大小,而P参数(pre_insue)为标志位,标志前一个chunk的使用情况。**而上述
Linux下fastbin利用小结——fd覆盖与任意地址free(House of Spirit)
weixin_30361641的博客
09-12 163
linux下的fastbin是ctf中pwn题的重点出题点。去年(2015)中,XCTF就有两站是使用fastbin的利用作为pwn400的压轴题来出现,这也是我刚开始接触fastbin的利用,参考了k0sh1师傅写在freebuf上的一篇文章。我写了几个demo来说明问题。 目录 1.关于fastbin 2.覆盖fd指针实现利用 3.任意地址free实现利用(House of Spiri...
堆漏洞挖掘中的bins分类(fastbin、unsorted bin、small bin、large bin)
热门推荐
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin链中的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
一个实例讲解fastbins上的堆利用
小强的博客
09-06 1437
这道题是hctf2016年“就是干”那道题。附件有下载地址及writeup。我就是分析一下: 首先IDA分析一下: 新建两个结构体 00000000 str_struct struc ; (sizeof=0x20) 00000000 str dq ? 00000008 str_padding dq ? 00000010 size
【逆向学习记录】堆分配中chunk&bins
卦星的专栏
03-23 3274
1 概述 学习堆的过程中,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux堆内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习堆溢出基础的佳作 Linux堆内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
orange.cpp:120:60: error: cannot convert ‘__gnu_cxx::__alloc_traits<std::allocator<std::__cxx11::basic_string<char> >, std::__cxx11::basic_string<char> >::value_type’ {aka ‘std::__cxx11::basic_string<char>’} to ‘const char*’ strcpy(PrintLog[index].cpValue,strResult.back());
最新发布
07-22
`strcpy`函数的第一个参数应该是`char*`类型,而你传入的是`std::__cxx11::basic_string<char>`类型。你可以使用`std::strcpy`来解决这个问题,或者使用`std::string`的成员函数`c_str()`来获取一个以null结尾的C...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值