花与堆之Large Bin Attack
Large Bin Attack从标题就可以看出这种攻击手法和Largebin有关,分配largebin有关的chunk,需要经过fast bin、unsort bin、small bin的分配,所以在学习large bin attack之前需要搞清楚fastbin和unsortbin分配的流程。 Large Binlarge bin中一共包括63个bin,每个bin中的chunk大小不一致,而是
花時雨的流水账
花与堆之Unsorted Bin Attack
Description Unsorted Bin Attack,顾名思义,该攻击与 Glibc 堆管理中的的 Unsorted Bin 的机制紧密相关。 Unsorted Bin Attack 被利用的前提是控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效果是实现修改任意地址值为一个较大的数值。 回顾Unsorted Bin的基本
花与堆之Fast Bin Attack
介绍fastbin attack 是一类漏洞的利用方法,是指所有基于 fastbin 机制的漏洞利用方法。这类利用的前提是: 存在堆溢出、use-after-free 等能控制 chunk 内容的漏洞 漏洞发生于 fastbin 类型的 chunk 中 如果细分的话,可以做如下的分类: Fastbin Double Free House of Spirit Alloc to Stack Ar
花与堆之Use After Free
原理Use After Free即其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但
花与堆之Unlink
Overview unlink俗称脱链,就是将链表头处的free堆块从unsorted bin中脱离出来,然后和物理地址相邻的新free的堆块合并成大堆块(向前合并或向后合并),再放入到unsorted bin中。 危害原理:通过伪造free状态的fake_chunk,伪造fd和bk指针,通过绕过unlink的检测实现unlink使其往p所在的位置写入p-0x18,从而实现任意地址写的漏洞。 漏洞
花与堆之Chunk Extend and Overlapping
Overview chunk extend 是堆漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于堆的漏洞 漏洞可以控制 chunk header 中的数据 ptmalloc对堆进行操作时使用的宏chunk extend 技术能够产生的原因在于 ptmalloc 在对堆 chunk 进行操作时使
花与堆之offbyone
Description off-by-one漏洞是一种特殊的缓冲区溢出漏洞,其特殊之处在于off-by-one漏洞仅允许溢出一个字节,且该溢出字节未必是可控的。off-by-one漏洞常见于以下两种情况: 错误地设置了循环的边界(如将”<“误写为”<=“); 错误地使用了字符串处理函数字符串处理函数&zhida_source=entity)(不同的字符串处
花与堆之堆基础-glibc_malloc_chunk,bin,threading,arena,system_call
glibc_malloc_chunkOverview在程序的执行过程中,我们称由 malloc 申请的内存为 chunk 。这块内存在 ptmalloc 内部用 malloc_chunk 结构体来表示。当程序申请的 chunk 被 free 后,会被加入到相应的空闲管理列表中。无论chunk的大小、状态如何,他们都是使用同一数据结构——malloc_chunk,只不过是表现形式有所不同。 ma