Unsorted Bin Attack小记

于 2024-10-02 12:35:45 发布
阅读量551 收藏 4
点赞数 5
分类专栏: CTF 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79696060/article/details/142680093
版权

Unsorted Bin Attack主要就两个应用:

  1. 泄露libc地址
  2. 任意地址写一个较大的值

在实际的题目中Unsorted Bin Attack一般只是我们整个攻击流程的一部分

那如何泄露libc地址呢?

在把一个堆块放进unsortedbin中后其fd和bk指针会写上main_arena再加一定偏移的值,ain_arena就在libc中,确定好偏移即可得到libc基地址,当然,这个要求是你能够将其show出来,如果没有uaf的话,可以molloc一个较小的堆块切割unsortedbin,其fd和bk的值依旧残留在申请出的chunk中,如果没有show功能的话,可能就要结合IO相关的利用泄露地址了

任意地址写一个较大的值有什么用?如何实现呢?

向任意地址写一个很大的值一般都是修改global_max_fast或者tcache max size,这样可以将更大大小的堆块放入fastbin/tcache中,一般都是限制堆块大小时使用。实现也很简单,只要我们能控制该bin的bk指针,将其改为target_addr-0x10即可,依旧借用ctf-wiki的图展示

 

how2heap-2.23-05-unsorted_bin_attack
blind cat
01-04 1098
unsorted bin的bk中,获取最旧的chunk,之后再根据chunk->bk,从最旧到最新开始遍历,尝试在unsorted bin链表中找到合适的chunk。然后chunk a就脱链(怎么脱链,放到哪里的逻辑,在修正的代码之后),unsorted bin和chunk b开始修正其fd,bk,修正的代码就是上面的。unsorted bin attack的效果就是在指定的位置,写入unsorted bin头结点的首地址,就是那个所谓的较大的值。就发生在chunk脱链,
新姿势GET 通过unsorted bin泄露libc地址 与 fastbin double free
哒君的博客
08-01 2269
源文件 GitHub checksec 初步分析 利用方法 用sentence函数分配small bin大小的bin,将其free以后,会归入unsorted bin,而如果只有一个bin的话,其fd与bk都是main_arena + offset,尽管free以后内容会清0,但是search函数中的memcmp却可以通过使v1为\x00来绕过,这样的话就会打印出bin的fb字...
unsortedbin attack
yjh_fnu_ltn的博客
07-19 1154
(因为unsorted_chunks(av)地址本来就知道,不需要用过链尾的p去找它的下一个即fd值),所以即使我们修改了其为一个不合法的值也没有关系。然而,需要注意的是,unsorted bin 链表可能就此破坏,在插入 chunk 时,可能会出现问题。类似于unlink的过程,要将链尾的chunkp,取出来,即 unsorted_chunks(av)->bk = p->bk;我们可以看到,在该链表中必有一个节点(不准确的说,是尾节点,这个就意会一下把,毕竟循环链表实际上没有头尾)的。
UnsortedBin Attack
yms0211的博客
09-13 1150
Unsorted Bin Attack
好好说话之Unsorted Bin Attack
hollk’s blog
01-15 4837
Unsorted Bin Attack很简单,序言就不多说了,直接看本文讲解就好,抓紧时间把wiki写完,我要去搞IOT固件分析了!!!!
babyheap_0ctf_2017
、moddemod
06-16 410
保护全开,一般就是堆题了,没有符号表 我们特别看一下填充的地方,Fill时候输入的size直接传入read函数,所以存在溢出。 利用思路: 利用unsorted bin地址泄露libc基地址 利用 fastbin attack将chunk分配到malloc_hook附近 首先我们要分析一下如何才能读取到unsorted bin的地址,因为unsoted bin是一个双向链表的结构,存在fd指针和bk指针,我们知道只有在chunk处于free的状态才会存在fd和bk指针,但是我们又要能拿到这个数据?.
fastbin attack + unsorted bin attack+ heap overflow+ double free fastbin + double free unlink
qq_39869547的博客
10-27 446
0x1 fastbin依靠单链表来组织的,堆管理结构始终维护一个指向最后一个chunk的指针(倒数第二个chunk的fd,通常情况这个fd指向的是下一个chunk起始地址)。这个指针决定了下一次要分配的chunk地址。 也就是说默认分配最好一个chunk给用户使用,同时最后一个chunk也是我们一开始第一个free掉的 0x2 我们的目的修改某一个chunk的fd ,这样我们就可以任意地址分配我们...
从零开始学howtoheap:理解fastbins的​unsorted bin攻击
weixin_44626085的博客
02-13 1149
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1694
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
【PWN · heap | Off-By-Null | UAF | Fastbin-attack | Unsortedbin-leak | hook劫持】[攻防世界] babyheap
Mr_Fmnwon的博客
04-02 805
【攻防世界】的本题,所给libc版本错误,经过测试,版本为:libc6_2.23-0ubuntu9_amd64.so当然,本地调试玩玩,用glibc-all-in-one的2.23-0ubuntu3_amd64也是可以的。这题学到了很多知识点(主要是这些知识点整合应用在一起)离不开这些优秀的博客和大佬ha1vk攻防世界PWN之Babyheap(null off by one)题解PLpa、攻防世界(pwn)babyheap(一些常见的堆利用方法)攻防世界-babyheap解题思路-优快云博客。
【我的 PWN 学习手札】Unsortedbin Attack
最新发布
Mr_Fmnwon的博客
09-16 826
Unsortedbin Attack不能说是一种getshell的方式,而只能说是一种利用手法。在glibc2.28之前有效,条件是存在uaf,效果是能在某一地址写一个大数(glibc上的一个地址)。
ctf-pwn-堆—unsorted bin attack
xy_369的博客
05-23 396
上面只需要知道unsorted bin实现了将栈上的一个变量值变为了main_arena结构体中的一个地址,这句话仅出于个人理解,从参考链接2里得到的理解。1、个人翻译过后的代码(翻译自参考链接2)3、删除部分打印函数的代码。
unsorted bin attack
abelxu
11-17 446
0x01 unsorted bin 基本来源 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。 当进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。 基本使用情况
CTF pwn题堆入门 -- Unsorted bin
lifanxin的博客
04-08 3507
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆题中常见的,当一个堆块被释放时,且该堆块大小不属于fast binlibc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
glibc从堆任意分配到攻击IO流达到泄露信息&realloc特性&unsorted bin expand总结
seaaseesa的博客
04-17 1180
glibc从堆任意分配到攻击IO流达到泄露信息&realloc特性&unsorted bin expand总结 有些情况下,仅有malloc/calloc/realloc和free两种功能,并且可以实现任意地址分配,如果想要达到利用,还需要知道地址,在glibc下,一般就是攻击_IO_2_1_stdout_结构体来实现信息泄露,通过低字节覆盖unsorted bin留下的main...
CTF泄漏libc基址的方法
liucc09的博客
01-05 4324
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
ycb2020babypwn(unsortedbin爆破stdout泄露)
qq_33590156的博客
12-04 482
题目没有leak函数,肯定得打stdout,但是又是个2.23,有指针没清零的漏洞 在stdout-0x43的地方有0x7f的size,而且和main_arena+88很近,最后三位固定是0x5dd,所以需要爆破第二个字节的高位,概率是1/16。这应该是没leak的通用打法 然后题目是通过double free,控制堆块,修改size进unsortedbin,然后爆破fd,申请出stdout泄露libc,最后打malloc_hook和realloc去getshell。 操作 首先肯定是double free
pwn工具箱之unsorted bin attack
jmp esp
07-03 2894
unsorted bin attack基本信息利用类型:堆利用 堆利用类型:针对unsorted bin的利用,也就是需要用normal chunk或者large chunk释放得到的 利用思想:unsorted bin是一个双链表,在分配时会将unsorted bin中的chunk从unsorted bin中移除,是一个链表的unlink操作。如果能够控制unsorted bin chunk的
Unsorted Bin Attack
qq_45595732的博客
11-26 499
Unsorted Bin Attack Unsorted Bin Attack 被利用的前提 -------------控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效果 -------------实现修改任意地址值为一个较大的数值。 Unsorted bin的来源 1,当一个较大的 chunk 被分割成两半后,如果剩下的部分大于MINSIZE,就会被放到 unsorted bin 中。 2,释放一个不属于 fast bin
fast bin、small binunsorted bin large bin的区别与共同点
07-15
快速块(fast bin)、小型块(small bin)、未排序块(unsorted bin)和大型块(large bin)是堆管理中不同的内存块分类。它们有一些区别和共同点,如下所示: 区别: 1. 大小范围:快速块是一组固定大小的小块,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值