利用off by one 漏洞制造fast bin double free的情况,方法是:创建3个chunk,分别为chunk 2-4, 前2个用来覆盖以创造overlapping的情况,后一个以防止与top chunk合并,然后删除chunk1后再创建,最后一个字节覆盖chunk2的size,然后删除chunk2就可将chunk2和chunk3都删除了,然后重新分配2个chunk分别落到chunk2和chunk3...
假设存在堆溢出漏洞或者其他能修改top chunk size字段的漏洞,加上malloc的大小受用户输入控制 将top chunk size 字段修改为 __free_hook + system - top_chunk _ptr -1 在malloc 一个 _free_hook - top_chunk_ptr - 0x10大小的chunk 就可以将__free_hook 地址的内容修改为 top chunk的新size 即 system函...
第二步:查看当前的堆信息以及bins信息。 第三步:释放p2(看到在释放p2之后,第2个chunk没有了,被top chunk合并了,top chunk的大小加上了第2个chunk的大小。135121=134849+272。并且bins链表中也没有该chunk)。 五、阻止top chunk合并chunk 如果在一个free掉的chunk后面再申请一个chunk,那么新申请...
offsetof(struct malloc_chunk, fd))/* analog of ++bin *///获取下一个bin的地址#definenext_bin(b) ((mbinptr)((char *) (b) + (sizeof(mchunkptr) << 1)))/* Reminders about list directionality within bins */// 这两个宏可以用来遍历bin// 获取 bin 的位于链表头的 chunk#definefirst(b...
首先是libc会检查用户申请的大小,top chunk是否能给的起,如果给得起,就由top chunk的head处,以用户申请大小所匹配的chunk大小为偏移量,将top chunk的位置推到新的位置,而原来的top chunk head处就作为新的堆块被分配给用户了:试想,如果我们能控制top chunk在这个过程中推到任意位置,也就是说,如果我们能控制用...
由于org_ptr是后面malloc的,所以org_ptr和top chunk相邻,于是我们就可以溢出top chunk,org_ptr的值会在top chunk的pre_size为, 而top chunk的size位则为host_的开始 4 个字节。所以我们现在可以任意修改top chunk的size位。 然后在new_note里面,我们可以控制分配的大小,而且我们可以 分配最多10个note ...
top chunk大小检查时用的数据类型是 unsigned long,如果能通过一些漏洞(比如堆溢出)将 top chunk 的 size 字段篡改成 -1 或者 0xffffffffffffffff,那么在做这个检查时,size 就变成了无符号整数中最大的值,这样一来,不管用户申请多大的堆空间都可以满足条件,此外,虽然此处的检查中,用户申请的大小也被当做无符号整...
通过一个堆溢出覆盖top chunk的size字段后,在利用 unsorted chunk attack攻击 _IO_FILE对象,最终实现代码执行,这整个过程确实精妙.也可以看出作者对linux的堆管理机制应该是十分的了解.所以我们在研究一些东西时一定要研究透彻,只有这样才能想到别人想不到的思路. ...
Aken, A. 2008. CHUNK: An Agile Approach to the Software Development Life Cycle. Journal of Internet Commerce. 7(3):313-338.Aken, A. 2008. CHUNK: An agile approach to the software development life cycle. Journal of Internet Commerce, 7(3):313-338....
课时4:Top chunk attack 33分钟 课时5:hijack stdout 23分钟 课时6:了解沙箱(seccomp) 36分钟 课时7:kernel 基础 34分钟 课时8:UAF 36分钟 课时9:hijack SEH 40分钟 课时10:unlink 29分钟 课时11:arm pwn 33分钟 课时12:SROP 47分钟 课时13:House of pig利用技巧 83分钟 课时14:Musl 1.2...