堆溢出----Fastbin Attack

最新推荐文章于 2024-09-13 21:42:25 发布

xiaoyuyulala

最新推荐文章于 2024-09-13 21:42:25 发布

阅读量1.5k

点赞数 3

CC 4.0 BY-SA版权

分类专栏： pwn基础文章标签： Fastbin Attack 堆溢出

本文链接：https://blog.csdn.net/qq_42192672/article/details/83316042

本文介绍了Fastbin Attack的两种技术：Fastbin Double Free和House Of Spirit。通过学习，理解了如何利用Fastbin Attack进行堆溢出攻击，包括chunk的释放与重用机制、如何避开检测并控制堆内存。通过实例分析，探讨了如何在特定条件下伪造chunk并写入目标区域，同时提到了相关漏洞利用的技巧和限制。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

学习资料：https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/fastbin_attack/

https://www.anquanke.com/post/id/85357

之前稍微了解了一波Use After Free ，运用了fastbin，这次继续学一下fastbin的其他攻击方式，希望能学会吧

简单的介绍如下，图片来自CTFWIKI

Use After Free还是要派上用场的，不错欸

其实Fastbin Attack最精髓的地方就是每一块在fastbin中的堆被释放以后会放在一个链表中，而且free之后，size的prev_inuse标志位不会被清空哦

下面开始学(zhao)习(nue)啦

1.Fastbin Double Free

字面意思就是chunk可以多次释放

看一下是个什么鬼

int main(void)
{
    void *chunk1,*chunk2,*chunk3;
    chunk1=malloc(0x10);
    chunk2=malloc(0x10);

    free(c

最低0.47元/天解锁文章

新学期VIP享超值加赠

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

xiaoyuyulala

关注关注

3
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

[pwn]堆：fastbin attack详解

Breeze的博客

12-31

1万+

[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点：0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞，利用要求是我们能够修改“已释放”堆块。通常情况下与double fr...

fastbin attack学习总结

Assassin

04-16

2632

之前没有全面的学习，现在网上资料真是比几年前全面的多了，这里总结回顾一下fastbin attack的原理思路。这里参考的博主链接如下，写的确实很详实 https://blog.csdn.net/Breeze_CAT/article/details/103788698 一、基础知识需要了解fastbin的分配原理，fastbins是管理在malloc_state结构体重的一串单向链表，分为0x20-0x80总共7个链表：每次free释放对应大小的堆块，会加入到对应的链表中每次malloc分配堆块，会

参与评论您还未登录，请先登录后发表或查看评论

fastbin attack

m0_64195960的博客

07-19

1500

FastbinDoubleFree是指fastbin的chunk可以被多次释放，因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个堆块，相当于多个指针指向同一个堆块，结合堆块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的堆块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......

【我的 PWN 学习手札】Fastbin Attack

最新发布

Mr_Fmnwon的博客

09-13

1006

Fastbin Attack主要是利用了Fastbin单链表管理，如果能够利用UAF等漏洞，将Fastbin链表上的free chunk的fd写数据，即可实现任意地址分配，进而实现任意地址读写本篇涉及到的保护机制只有一个：取出的fastbin chunk，size应该在对应取出的fastbin范围内二、利用手法（1）分配到任意地址（__malloc_hook周边）通过修改free chunk的fd指针造成分配到任意地址，需要满足size条件。通过任意地址写来利用getshell，劫持ho

Fastbin attack总结

WateranFire的博客

10-12

331

double free 思路：构造fake chunk，将free chunk的fd指向fake chunk，使得下次malloc时返回fake chunk 检测： (1)fastbin 在执行 free 的时候仅验证了 main_arena 直接指向的块，即链表指针头部的块。对于链表后面的块，并没有进行验证。 (2)malloc申请伪造的fastbin时会检测fastbin的SIZE 流程： a1=malloc(); a2=malloc(); free(a1); free(a2); //

CTF(pwn) Fastbin Attack

半岛铁盒的博客

06-21

335

Fastbin Attack Fastbin Double Free 其中linux中会有一个校验对于double free 即会判断当前 fastbin链表的头部,是否和当前释放的fastbin 是否是一样的,若是一样的话会报错绕过方法是释放时间隔一个堆块连续释放的话会报错的 ...

【pwn学习】堆溢出（二）- First Fit

Morphy_Amo的博客

01-09

1133

glibc堆管理中的First Fit机制

pwn 堆入门之fastbin attack

清霂的博客

04-02

393

目录floworeo b站原本有一个对堆基础讲的挺好的，好像叫pwn术进阶的堆溢出，但刚刚去看已经没了，好家伙，还好我刚看完，哈哈哈。 flow 涅普计划-ctf入门课堆溢出 #!/usr/bin/env python2 from pwn import * context(os="linux", arch="amd64", log_level="debug") #libc libc=ELF("libc.so.6") malloc_libc=libc.symbols['__malloc_hook'] m

CTFHub pwn [FastBin Attack]

saulgoodman的博客

01-29

600

【代码】CTFHub pwn [FastBin Attack]

堆利用学习之fastbin attack

Hpasserby的博客

10-06

809

原理 fastbin attack是一类漏洞的利用方法，是指所有基于 fastbin 机制的漏洞利用方法。主要利用了fast bin的单链表管理机制。相关源码： malloc： /* If the size qualifies as a fastbin, first check corresponding bin. This code is safe to execute ev...

堆溢出攻击教程（heap overflow attack）

05-12

堆溢出攻击教程（heap overflow attack）

fastbin attack快速入门

abelxu

11-13

1395

0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针，用于快速分配小堆块。fastbin按照单链表结构进行组织，相同大小的bin在同一个链表中，fd指向下一个bin，采用LIFO（Last In First Out）机制。在fastbin中，堆块的inuse标志都为1，处于占用状态，防止chunk释放时进行合并，加快小堆块的分配。正常fastbin的使用通过这个简单的案例来了解fastbin的单链表结构，malloc和free的过程。 #include<stdio

常回家看看之fastbin_attack

susu_xiaosu的博客

08-03

558

fastbin属于小堆块的管理，这里说的fastbin_attack大多指glibc2.26之前的手法，因为自glibc2.26以后，glibc迎来了一位新成员tcachebin，它减少了堆的开销，使堆管理变得迅速而高效，而且申请的小堆块会优先进入tachebin中，只有tachebin其中一个链表满了再次申请一个相同大小的堆块，若是小堆块再次free会进入fastbin中。

BUUCTF[PWN][fastbin attack]

yjh_fnu_ltn的博客

07-07

1348

在0x00000000006020E0-0x33处刚好有一个空间中存储着0x7f，可以将地址0x6020ad作为伪造堆，那么0x7f就是size字段的值了，只要我们申请的空间为。先申请三个堆，大小为0x68（实际分配的大小为0x7f），再释放掉heap2，利用heap2进行fastbin attack，实行任意地址申请堆（刚才找到的伪造堆）后面直接编辑heap0，就能将free的got表上的值，修改为system的plt。之所以不直接覆盖为system的got表是因为函数调用的过程，如果之前。

PWN入门笔记 FastBinAttack+HouseOfSpirit+UnsortedBinLeak

cossack9989的博客

05-24

1593

好久没发文章了，从3月到5月所有学习记录全都存档在gitee上，包括本篇所有相关题目的exp，链接在此~ 接下来想讲一讲自己对FastBinAttack和HouseOfSpirit以及UnsortedBinLeak的认识，因为我发现这俩攻击方法和这一种泄露方法最近用的贼多（也很好用），与其说是Pwn Heap，不如说是Pwn Linked-List（手动狗头） FastBinAttack P...

【软件与系统安全】堆溢出

kkzzjx

06-22

1278

堆与栈的区别：分配器 glibc malloc 分配器起初数据段之上是没有堆的，进程运行在栈上；malloc才创造堆多线程情况下arena的分配主线程分配arena，线程1、2分别分配arena，那么线程3需要需要重复使用已经分配好的arena分配器循环遍历arena，如果lock成功（也就是有线程如果没有使用堆空间），那么该线程的arena供线程3使用。若没有找到可用arena，则将线程3阻塞，直到找到可用的位置。（个人思考：所以对于多线程编程，是一定要及时free堆空间的，否则内存泄露，有线程会

CTF-PWN Noleak (unsortedbin attack+fastbin attack+malloc_hook)

SuperGate的博客

11-25

986

漏洞简述 [*] '/home/supergate/Desktop/Pwn/timu' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Ha...

堆机制利用之fastbin

weixin_48066554的博客

05-04

2479

堆机制利用之fastbin 前半部分：基于libc2.23(无tcache) 堆机制（fastbin等）想要了解堆的机制利用方法必须要先了解堆的基本机制以及结构目前主要使用的内存管理库是ptmalloc，而在ptmalloc中，用户请求的空间由名为chunk的数据结构表示下面就是一个标准的chunk结构该chunk中，**prev_size参数为前一chunk（如果未被使用）的大小，size参数为该chunk的大小，而P参数（pre_insue）为标志位，标志前一个chunk的使用情况。**而上述

Fastbin attack

aoque9909的博客

06-25

505

Fastbin Attack 暂时接触到了两种针对堆分配机制中fastbin的攻击方式，double free和house of spirit Double free 基本原理与uaf是对free之后的指针直接进行操作不同，double free通过利用fastbin对堆的分配机制，改写在fastbin中的chunk，实现对指定内存的堆块分配。先正常释放chunk1和c...

MS12-020漏洞利用工具详细解读

这些漏洞可能包括但不限于缓冲区溢出、格式化字符串漏洞、堆栈溢出等。 #### 总结 MS12-020是一个重要的安全更新，它修补了Windows系统中多个严重的安全漏洞。其中，远程桌面协议漏洞尤其引人注目，因为它允许攻击...