首页 > TAG信息列表 > Fastbin
电脑常识[堆漏洞][Fastbin attck][0ctf][pwn]看不懂可以顺着网线来打我,极其详细的babyhea
电脑常识[堆漏洞][Fastbin attck][0ctf][pwn]看不懂可以顺着网线来打我,极其详细的babyhea 一道典型的菜单题,攻击方式是堆溢出。 进入main函数查看发现结构如下图: 分析allocate函数 可以发现这里能通过调用calloc函数,分配一块最大为4096的chunk(通过calloc分配的chunk会被清空内容[PWN]Fastbin Attack
libc2.26后加入了tcache机制 fastbin attack fastbin attack能利用的前提 能创建fastbin类型的chunk 存在堆溢出,use-after-free(ufa)等能控制chunk内容的漏洞 如果细分的话: fastbin double free 即利用double free漏洞构造chunk 我们首先申请回chunk1,然后修改其fd值指向一个fakglibc2.31下的新double free手法/字节跳动pwn题gun题解
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个sizeglibc2.27~gyctf_2020_signin:ubuntu18.04配合calloc产生的漏洞
逆一下 add函数,注意bss段有heaparray之类的东西,然后可以申请九次,然后add的时候无法向chunk写入内容 delete函数,明显的UAF漏洞 edit函数,只能用一次 后门函数,ptr是bss段上的变量 一开始的思路是劫持got表,因为是ubuntu18并且有UAF,可以直接利用double free来申请到atoi@got,然后改