Double Free浅析

最新推荐文章于 2023-08-01 21:37:12 发布
最新推荐文章于 2023-08-01 21:37:12 发布
阅读量1.9w 收藏 24
点赞数 7
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zh_explorer/article/details/80307030
版权
本文从一个初学者的角度详细介绍了Double Free漏洞的原理和利用方法。作者通过分析Linux中glibc的内存管理源码,解释了如何通过伪造chunk和欺骗操作系统来触发Double Free,并提供了自己编写的示例程序以演示漏洞利用过程。文章还提到了如何构造payload以绕过检查,实现对内存的非法操作。
摘要由CSDN通过智能技术生成

最近在研究一些堆上面的漏洞。然后某一天骑自行车在路上跑的时候我突然悟出了Double Free的真谛。
2333好像太中二了一点,我是根据堆溢出的利用方法启发,再结合linux中libc的源码。研究出了double free的利用方法。虽然有关double free的利用技巧已经不是一个秘密。不过好像很少有相关的中文的介绍,所以以一个初学者的角度来讲解一下double free漏洞的利用方法。
如果有错误,希望大家批评指正。Orz

简介

Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞
double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统。
这里是glibc中有关内存管理的源代码
+ malloc.c

内存管理介绍

有关内存管理的部分我放在另外的一篇博客上。

传送门

这篇文章首发于乌云知识库。现在我将它发到自己的博客上,我只在这2个地方发过此文章。
转载求写个出处Orz

漏洞的原理

要利用Double Free的漏洞。我

最低0.47元/天 解锁文章
zh_explorer
关注
专栏目录
浅析结构体函数指针与内核设备驱动
Bruce.yang的嵌入式之旅
12-28 3101
最近在公司没什么事做,突然有来写写日志和博客,这种突发的灵感来自于我在学习内核驱动代码的时候发现了结构体的一种古老的初始化方法,多亏了尚观广州校区的叶老师在群里用心的给我文字讲解,让我明白了原来结构体初始化也可以用:冒号这样的方法。          其实在C语言中,冒号:的用法有很多,比如三目运算符   表达式?表达式1:表达式2 ; 它的意思就是如果表达式成立,那么执行表达式1
浅析Redis基础数据结构
ma_xiao_qi的博客
05-14 464
Redis是一种内存数据库,所以可以很方便的直接基于内存中的数据结构,对外提供众多的接口,而这些接口实际上就是对不同的数据结构进行操作的算法,首先redis本身是一种key-value的数据库,对于value常见的类型有: 字符串(string)、散列(hash)、列表(list)、集合(set)、排序集合(sorted set)、位图(bitmaps)、地理空间索引(Geospatial indexes)、流(streams) 1.全局哈希表实现 key-value是redis中最基础的结构,key
Double free 漏洞复现与利用
vivid_moon的博客
05-29 5727
2018体系结构安全大作业申明:转载请注明出处选题:2015 年 0ctf 题题目描述:提供记事本功能的二进制文件,找出其漏洞,get shell第一章 操作说明为方便老师审核作业,本报告将操作说明放在第一章。操作流程如下:1 、安装 netcat 。2 、安装 pwntools 库。命令: pip install pwntools (安装过程中,一定要保证网络畅通,曾经因为网不好装这个库装了一个...
double free
浅浅徘徊的博客
03-16 6728
漏洞原理 Double Free其实就是一种在free时利用伪造chunk并且欺骗操作系统,达到修改内存的目的。 基本知识点 先大概说下基本知识。 不管是在正在使用的还是释放的chunk,其数据结构是差不多一样的,差别在于prev_size、’fd’和’bk’,prev_size只有前一个chunk是free状态才会放置其大小,后两个只有当前chunk是free状态才会有,不然只会存放数...
Double free(hows2heap)
fanghuapyk的博客
04-23 1754
1.fastbin_dup fast bin fast bin主要是用来存放一些小的内存,使用fastbin可以提高小内存的分配效率,在默认情况下,对于SIZE_SZ为4B(32位)的平台,小于64B(字节)的chunk分配请求,和对于SIZE_SZ为8B(64位)的平台,小于128B的chunk分配请求首先会在fast bin中查找是否有所需大小的chunk存在,如果存在,就会直接返回内存资源,如果不存在,才会到其他bins中去查找。 fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过 f
图解double free 原理
yy2014yy的博客
03-22 2954
理解double free
浅析 - 阿里巴巴专家教你坚持写作
木深的博客
11-23 7006
大家好,我是木小深,高级产品经理。我们的公众号主要是分享关于产品经理个人成长和职业发展相关的话题。今天分享的产品经理个人成长中,关于为什么要坚持写作的思考。 初稿|木深、木小深 编辑|牟深、Sam、Ella 1、前言 你有写作的习惯吗?很多产品经理的回答是:我为什么要写作呢?很多人觉得写作是一件有难度的事情,其实写作的动机就藏在日常工作中,那些在酝酿中的奇思妙想,那些稍纵即逝的编程思路,那些金光闪闪的 battle 瞬间……都是写作的素材。 目前很多产品经理已经通过自己的个人博客或者公众号来进行经验..
Freebase Data Dump结构初探
热门推荐
徒步浪人的专栏
02-02 1万+
最近要做知识库相关的东西,于是就有机会认识一下Freebase。 从官网上下载了30G的Data Dump,有些不知该怎么使用,于是花了许多天了解。 首先简单说一下Freebase是什么,Freebase乍看上去类似Wikipedia,可以在上面浏览到许多信息条目,其成员可以在上面进行条目创作。与Wikipedia不同的是,Freebase采用结构化的数据形式,而Wikipedia则不
综合交易平台CTP Linux Double Free解决方案
03-16
CTP开发中,如果把Trade,Market的so放在一起开发,如果不做处理,会遇到double free or corruption(!prev)的错误,基本如下: *** glibc detected *** ./bin/quant_ctp_XTrader_no_debug_2017-03-16_15-36-20: double free or corruption (!prev): 0x0000000001d71120 *** ======= Backtrace: ========= /lib64/libc.so.6[0x32b4a75f3e] /lib64/libc.so.6[0x32b4a78dd0] /usr/lib64/libthosttraderapi.so(+0x184612)[0x7f3d1e503612] /lib64/libc.so.6(__cxa_finalize+0x9d)[0x32b4a35e7d] /usr/lib64/libthosttraderapi.so(+0x104b46)[0x7f3d1e483b46] 开发中我也遇到该问题,后辛苦找到解决办法。方案附送在该附件里,仅供参考。 仅供参考!仅供参考!仅供参考! 重要的事情说三遍! 使用此代码引起的任何损失,笔者不承担任何责任。
【二进制安全】堆漏洞:Double Free原理
最新发布
Juruo@Security
08-01 1278
【二进制安全】Double Free原理
Double Free(how2heap)
个人笔记
06-23 192
Double Free目的原理分析 目的 实现任意地址写的控制流程操作。 原理分析 例:fastbin_dup_into_stack.c 实现栈上写。 关键处已添加注释理解(三处)。 #include <stdio.h> #include <stdlib.h> int main() { fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" "returning
关于C语言double free
weixin_38844714的博客
11-01 2575
一些简单的问题,但是却没有意识到。关于代码中double free的错误。   伪代码:     char * str = NULL;     str = (char *)malloc(sizeof (char)*num); //申请内存     free(str);     在一些循环函数中,我们经常会通过判断str是否为NULL,来判断数据的有效性,那么问题就来了     接上...
堆学习——Double Free
qq_41560595的博客
03-10 1963
Double Free,内容如其名,同一个内存块被释放两次。 示例代码 #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { fprintf(stderr, "This file demonstrates a simple double-free attack with fastbins.\n"); // 分配三个chunk:a、b、c。
Glibc堆利用-Double Free
pointerr的博客
10-24 346
Glibc堆利用-Double Free 漏洞成因:使用完一个chunk之后,只是free掉了指针,没有将内容置null 漏洞结果:可以实现任意地址的写功能。 0x01 这里我们采用了师傅的样例程序,先检查该程序: 看到:保护全开,使用ida进行反编译分析: 发现经典菜单栏:并且实现了以下功能: void __fastcall main(__int64 a1, char **a2, char **a3) { int v3; // ebx int v4; // [rsp+Ch] [rbp-44h]
关于double free的一点点思考
u010736228的专栏
06-17 4779
double free就是程序分配一块内存之后,经过使用将这块内存释放,但并没有将指向这块内存的所有指针抹零或回收,并在其他部分再次将指向同一块内存单元的指针交给内存分配器去进行释放操作。     经常看到类似 if (p) free(p); 的写法,目的是为了防止double free, 但是防止double free的关键不是在释放内存前判断指针是不是为空。     请看以下代码: #i
linux_pwn(2)--double free&&qwb2018_raisepig
azraelxuemo的博客
03-05 1434
文章目录What is double freepwn题例题add函数show函数delete函数开始做题准备框架调试泄露libcdouble freeexp总结 What is double free double free顾名思义,两次释放,在ctf里面一般就是对同一个内存块释放了两次,其实这个跟之前的uaf产生的方式有点类似,都是需要满足指针没有被置NULL ptr=malloc(0x10) ptr2=malloc(0x10) free(ptr) free(ptr2) free(ptr) 由于直接连续
double free/use after free/memory leak
qq_36281031的博客
12-06 1193
一、Double Free 双重释放,程序对同一个指针指向的内存重复释放free()了两次。 利用原理 Linux下堆分配器ptmalloc2主要由两个结构管理堆内存,一种是堆块头部形成的隐式链表(chunk结构内的隐式指向),另一种是管理空闲堆块的显式链表(Glibc中的bins数据结构)。 free函数在释放堆块时,会通过隐式链表判断相邻前、后堆块是否为空闲堆块;如果堆块为空闲就会进行合并,然后利用Unlink机制将该空闲堆块从Unsorted bin中取下。 unlink就是把一个双向链表中的空
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值