接下来的时间会通过how2heap学习堆的知识,这个系列可能会更新很多篇,因为每天学习到的东西要保证吸收消化,所以一天不会学习很多,但是又想每天记录一下。所以开个系列。

first_fit

  此题的源码经过简化,如下:

 1 #include <stdio.h>

 2 #include <stdlib.h>

 3 #include <string.h>

 4 int main() {

 5     char* a = malloc(512); //0x200

 6     char* b = malloc(256); //0x100

 7     char* c;

 8     fprintf(stderr, "1st malloc(512): %p\n", a);

 9     fprintf(stderr, "2nd malloc(256): %p\n", b);

10     strcpy(a, "AAAAAAAA");

11     strcpy(b, "BBBBBBBB");

12     fprintf(stderr, "first allocation %p points to %s\n", a, a);

13     fprintf(stderr, "Freeing the first one...\n");

14     free(a);

15     c = malloc(500);

16     fprintf(stderr, "3rd malloc(500): %p\n", c);

17     strcpy(c, "CCCCCCCC");

18     fprintf(stderr, "3rd allocation %p points to %s\n", c, c);

19     fprintf(stderr, "first allocation %p points to %s\n", a, a);

20 }

  用gcc进行编译处理,命令:gcc -g first_fit1.c

  运行一下看输出结果:

  这个程序想让我们明白的是假如我先malloc了一个比较大的堆,然后free掉,当我再申请一个小于刚刚释放的堆的时候,就会申请到刚刚free那个堆的地址。还有就是,我虽然刚刚释放了a指向的堆,但是a指针不会清零,仍然指向那个地址。这里就存在一个uaf(use_after_free)漏洞,原因是free的时候指针没有清零。

  接下来再放一些学习资料上面话,比较官方,比较准确。

fastbin_dup

  还是先放一下程序源码:

 1 #include <stdio.h>

 2 #include <stdlib.h>

 3 #include <string.h>

 4 int main() {

 5     fprintf(stderr, "Allocating 3 buffers.\n");

 6     char *a = malloc(9);

 7     char *b = malloc(9);

 8     char *c = malloc(9);

 9     strcpy(a, "AAAAAAAA");

10     strcpy(b, "BBBBBBBB");

11     strcpy(c, "CCCCCCCC");

12     fprintf(stderr, "1st malloc(9) %p points to %s\n", a, a);

13     fprintf(stderr, "2nd malloc(9) %p points to %s\n", b, b);

14     fprintf(stderr, "3rd malloc(9) %p points to %s\n", c, c);

15     fprintf(stderr, "Freeing the first one %p.\n", a);

16     free(a);

17     fprintf(stderr, "Then freeing another one %p.\n", b);

18     free(b);

19     fprintf(stderr, "Freeing the first one %p again.\n", a);

20     free(a);

21     fprintf(stderr, "Allocating 3 buffers.\n");

22     char *d = malloc(9);

23     char *e = malloc(9);

24     char *f = malloc(9);

25     strcpy(d, "DDDDDDDD");

26     fprintf(stderr, "4st malloc(9) %p points to %s the first time\n", d, d);

27     strcpy(e, "EEEEEEEE");

28     fprintf(stderr, "5nd malloc(9) %p points to %s\n", e, e);

29     strcpy(f, "FFFFFFFF");

30     fprintf(stderr, "6rd malloc(9) %p points to %s the second time\n", f, f);

31 }

  同样的gcc编译运行后看一下运行结果:

  程序做了哪些事呢?

  1.malloc申请了三个堆,并赋值。

  2.free了第一个堆。

  3.free了第二个堆。

  4.再次free了第一个堆。

  5.malloc又申请了三个堆。

  发现:第五步malloc申请堆的时候,第一个堆申请到了free第一次的位置,第二个堆申请到了free第二次的位置,第三个堆又申请到了free了第一次的位置。

  

  说白了就是连着free两次一个堆是不被允许的,但是假如再其中加一个free其他堆,那么就可以对一个堆free两次。这样再我们malloc再申请的时候,就可以申请到两个指针指向同一个堆块了。

  为了方便理解,我们试着在pwndbg里面看看:

  首先在11行的位置下了断点:

  可以看到我们申请的三个堆,接下来我们在看一下free(a)、free(b)、再次free(a)时的情况:

--------------------------------------------------------------------------------------------------------

  可以看到fastbins形成了一个环,但是其实应该是栈的样子的,但是由于我们绕过了检测,就可以形成环。

  |Chunk A| -> |chunk B| -->| chunk A|

  

  大概如上个图,这样我们就成功绕过了 fastbins 的double free检查。原因如下:

  fastbins 可以看成一个 LIFO 的栈,使用单链表实现,通过 fastbin->fd 来遍历 fastbins。由于 free 的过程会对 free list 做检查,我们不能连续两次 free 同一个 chunk,所以这里在两次 free 之间,增加了一次对其他 chunk 的 free 过程,从而绕过检查顺利执行。然后再 malloc 三次,就在同一个地址 malloc 了两次,也就有了两个指向同一块内存区域的指针。

  上面的情况是在libc-2.23版本做的实验,但是好像版本不同的时候会有其他情况。这里就直接拿资料上的东西了。

-----------------------资料----------------------------------------------

  看一点新鲜的,在 libc-2.26 中,即使两次 free,也并没有触发 double-free 的异常检测,这与 tcache 机制有关,以后会详细讲述。这里先看个能够在该版本下触发double-free 的例子:

  

#include <stdio.h>

#include <stdlib.h>

int main() {

    int i;

    void *p = malloc(0x40);

    fprintf(stderr, "First allocate a fastbin: p=%p\n", p);

    fprintf(stderr, "Then free(p) 7 times\n");

    for (i = 0; i < 7; i++)

        {

        fprintf(stderr, "free %d: %p => %p\n", i+1, &p, p);

        free(p);

        }

    fprintf(stderr, "Then malloc 8 times at the same address\n");

    int *a[10];

    for (i = 0; i < 8; i++)

        {

        a[i] = malloc(0x40);

        fprintf(stderr, "malloc %d: %p => %p\n", i+1, &a[i], a[i]);}

        fprintf(stderr, "Finally trigger double-free\n");

    for (i = 0; i < 2; i++)

        {

        fprintf(stderr, "free %d: %p => %p\n", i+1, &a[i], a[i]);

        free(a[i]);

        }

    }

  首先先malloc申请了一个堆,接着连续free了7次。

  然后malloc同样大小的堆块,申请了8次。

  接下来又free了申请的前两个申请的堆块。

  我们看一下运行结果:

  可以从输出看到,8次重新申请的堆块都指向一个我们第一次申请的地址。

  后记:最后这个列子我还是没看出有啥可以学习到的。。。但是我疑惑的是,free了7次,为什么第8次malloc的时候,还是指向了第一次malloc的地址。

how2heap学习(一)的更多相关文章

  1. how2heap学习(二)

    拖了好久,但是在期间做了几道pwn题目,发现堆原来也没有想象中的难. fastbin_dup_into_stack 这个说白了,就是利用double free可以进行任意地址的写,说是任意地址不准确, ...

  2. how2heap学习笔记

    github源代码地址 这里只分析glibc2.25堆分配的特性,为了方便调试编译时使用 gcc -g -no-pie <input_file_name> -o <output_fi ...

  3. how2heap libc2.31学习

    今天是四月十九,想在五月份之前把how2heap中的高版本(2.31)的例子过一遍.所以这个系列目前还是在更新中.如果比较简单就几句话带过了,遇到难一点的会写的详细一点. fastbin_dup 源代 ...

  4. House_of_orange 学习小结

    House_of_orange学习小结 house_of_orange最早出现在2016年hitcon的一道同名题目,其利用效果,是当程序没有free函数的时候,我们可以通过一些方法,来让chunk被 ...

  5. fastbin attack学习小结

    fastbin attack学习小结   之前留在本地的一篇笔记,复习一下. 下面以glibc2.23为例,说明fastbin管理动态内存的细节.先看一下释放内存的管理: if ((unsigned  ...

  6. 从直播编程到直播教育:LiveEdu.tv开启多元化的在线学习直播时代

    2015年9月,一个叫Livecoding.tv的网站在互联网上引起了编程界的注意.缘于Pingwest品玩的一位编辑在上网时无意中发现了这个网站,并写了一篇文章<一个比直播睡觉更奇怪的网站:直 ...

  7. Angular2学习笔记(1)

    Angular2学习笔记(1) 1. 写在前面 之前基于Electron写过一个Markdown编辑器.就其功能而言,主要功能已经实现,一些小的不影响使用的功能由于时间关系还没有完成:但就代码而言,之 ...

  8. ABP入门系列(1)——学习Abp框架之实操演练

    作为.Net工地搬砖长工一名,一直致力于挖坑(Bug)填坑(Debug),但技术却不见长进.也曾热情于新技术的学习,憧憬过成为技术大拿.从前端到后端,从bootstrap到javascript,从py ...

  9. 消息队列——RabbitMQ学习笔记

    消息队列--RabbitMQ学习笔记 1. 写在前面 昨天简单学习了一个消息队列项目--RabbitMQ,今天趁热打铁,将学到的东西记录下来. 学习的资料主要是官网给出的6个基本的消息发送/接收模型, ...

随机推荐

  1. [atARC101F]Robots and Exits

    每一个点一定匹配其左边/右边的第一个出口(在最左/右边的出口左/右边的点直接删除即可),否则记到左右出口的距离分别为$x_{i}$和$y_{i}$ 令$p_{i}$表示$i$匹配的出口(左0右1),结 ...

  2. 【Sass/SCSS】我花4小时整理了的Sass的函数

    [Sass/SCSS]我花4小时整理了的Sass的函数 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢! 说明 Sass 定义了各 ...

  3. 详解在Linux中安装配置MySQL

    最近在整理自己私人服务器上的各种阿猫阿狗,正好就顺手详细记录一下清理之后重装的步骤,今天先写点数据库的内容,关于在Linux中安装配置MySQL 安装环境 CentOS7 + MySQL5.7 下载安 ...

  4. vue项目中使用canvas

    canvas API 文档:https://www.canvasapi.cn/ 一.在html中使用canvas canvas 元素用于在网页上绘制图形.  在html中,使用 document.ge ...

  5. [NOIP2018 提高组] 旅行

    考虑如果我们要回溯的话,一定要把非环上的子树都搜索完. 而在环上的一个地方回溯,相当于把环上的下一个点置于所有环的顺序的最后. 所以我们只有在环上遇到环上的最大点时且周围的点都比这个点小时非正常回溯即 ...

  6. Codeforces 708E - Student's Camp(前缀和优化 dp)

    Codeforces 题目传送门 & 洛谷题目传送门 神仙 *3100,%%% 首先容易注意到 \(\forall i\in[1,m]\),第 \(i\) 行剩余的砖块一定构成一个区间,设其为 ...

  7. FESTUNG模型介绍—1.对流方程求解

    FESTUNG模型介绍-1.对流方程求解 1. 控制方程 对流问题中,控制方程表达式为 \[\partial_t C + \partial_x (u^1 C) + \partial_y (u^2 C) ...

  8. (转载)Java里新建数组及ArrayList java不允许泛型数组

    java中新建数组: String[] s;//定义的时候不需要设置大小 s = new String[5];//为数组分配空间时就要设置大小   对于ArrayList, ArrayList< ...

  9. TOMCAT 搭建

    第一步:下载 软件 和 JDK 第二个:https://www.oracle.com/java/technologies/javase-jdk16-downloads.html 传输到Linux里. ...

  10. 对于vue项目更新迭代导致上传至服务器后出现Loading chunk {n} failed和Unexpected token <的解决方式

    相信大家对于vue项目的维护与更新中会遇见很多问题,其中有两种情况最为常见. 一种是Loading chunk {n} failed,这种情况出现的原因是vue页面更新上传至服务器后,由于vue默认打 ...