堆溢出----Fastbin Attack

学习资料：https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/fastbin_attack/

                  https://www.anquanke.com/post/id/85357

之前稍微了解了一波Use After Free ，运用了fastbin，这次继续学一下fastbin的其他攻击方式，希望能学会吧

简单的介绍如下，图片来自CTFWIKI

Use After Free还是要派上用场的，不错欸

其实Fastbin Attack最精髓的地方就是每一块在fastbin中的堆被释放以后会放在一个链表中，而且free之后，size的prev_inuse标志位不会被清空哦

下面开始学(zhao)习(nue)啦

1.Fastbin Double Free

字面意思就是chunk可以多次释放

看一下是个什么鬼

int main(void)
{
    void *chunk1,*chunk2,*chunk3;
    chunk1=malloc(0x10);
    chunk2=malloc(0x10);

    free(chunk1);
    free(chunk2);
    free(chunk1);
    return 0;
}

哇，连续释放两次chunk1，不会报错么，继续执行下去了，原因就是指针main_arena，这个就要涉及到arena的管理了，和线程个数有关

主线程使用main_arena，看一下main_arena的变化过程吧，如下

emmmm，不细说了吧，看得懂，主要就是利用了main_arena的检测机制，悄悄的漏过去了

注意因为 chunk1 被再次释放因此其 fd 值不再为 0 而是指向 chunk2，这时如果我们可以控制 chunk1 的内容，便可以写入其 fd 指针从而实现在我们想要的任意地址分配 fastbin 块，能改就出事啦，基本就是这么个操作

看一个具体的操作

typedef struct _chunk
{
    long long pre_size;
    long long size;
    long long fd;
    long long bk;
} CHUNK,*PCHUNK;

CHUNK bss_chunk;

int main(void)
{
    void *chunk1,*chunk2,*chunk3;
    void *chunk_a,*chunk_b;

    bss_chunk.size=0x21;
    chunk1=malloc(0x10);
    chunk2=malloc(0x10);

    free(chunk1);
    free(chunk2);
    free(chunk1);

    chunk_a=malloc(0x10);
    *(long long *)chunk_a=&bss_chunk;
    malloc(0x10);
    malloc(0x10);
    chunk_b=malloc(0x10);
    printf("%p",chunk_b);
    return 0;
}

用pwndbg动态调试一波

我们先执行两个chunk的malloc

第一次释放chunk1和chunk2之后，chunk2的fd指向chunk1，但chunk1的bk不指向chunk2，也侧面验证了fastbin是单链表

然后第二次free chunk1

你看，我们躲避main_arena的检查，double free之后，改变fastbin单链表里的指针

接下来malloc给chunk_a原先chunk1的堆空间，然后赋给了它bss字段0x601080

然后两次malloc不变，先是分配chunk2，然后再次分配chunk1，接着再分配chunk_b时，chunk_b的地址就变为了0x601080

那我们就成功修改了指向的堆，并能输出数据

理完之后，感觉有点强行的意思，想试试看use after free的操作能不能直接输出bss字段

改后的代码如下

typedef struct _chunk
{
    long long pre_size;
    long long size;
    long long fd;
    long long bk;
} CHUNK,*PCHUNK;

CHUNK bss_chunk;

int main(void)
{
    void *chunk1,*chunk2,*chunk3;
    void *chunk_a,*chunk_b;

    bss_chunk.size=0x21;
    chunk1=malloc(0x10);
    chunk2=malloc(0x10);

    free(chunk1);
    free(chunk2);
    //free(chunk1);

    malloc(0x10);
    chunk_a=malloc(0x10);
    *(long long *)chunk_a=&bss_chunk;
    chunk_b=malloc(0x10);
    printf("%p",chunk_b);
    return 0;
}

然后我们两次malloc，两次free，再两次malloc之后，可以看到，chunk1的fd又指向了bss字段

继续执行，按照原先的猜想应该还是可以输出0x601090，但是结果如下

就很迷，然后我们其实犯了个很白痴的问题，malloc之后修改堆的fd,bk也没啥用了，因为已经从链表里卸下来了，那就继续新开辟一个堆，那么问题又来了，那最后输出的不应该是0x602040

我们最后malloc之后，的确可以看到chunk_b的地址的确是0x602040

emmmm，最后知道地址指向的应该是数据段才对，要把16个字节的头部去掉，所以就是0x602050

2.House Of Spirit

上面一种方法chunk是真的，但被我们重复利用，现在更进一步，伪造一个chunk，不知道和frame stacking的原理相差大不大，下图来自CTFWIKI

哇，这一顿操作看上去容易，其实感觉不简单啊，光看原因感觉不是很友好，就去网上找了几个场景

你看现在我们妖王目标区域写数据怎么办呢，我们可以把可控区域伪造成fastbin，然后覆盖堆指针指向他们，然后释放掉，等再次调用他们的时候往目标区域写入数据，这样容易懂多了

场景搞定了，我们来看一下上面那些机制为什么要绕过

1.ISMMAP：mmap标志位不能被置上，否则会直接调用munmap_chunk函数去释放堆块

2.对齐：对齐就对齐吧，好像不对齐的确不靠谱

3.size：fastbin是一个单链表结构，遵循FIFO的规则，32位系统中fastbin的大小是在16~64字节之间，64位是在32~128字节之间,超过的话，就不会释放到fastbin里面了

4.next chunk：下一个堆块的大小，要大于2*SIZE_ZE小于system_mem,否则会报invalid next size的错误

例题：湘湖 note

试着做做看吧，我也不知道做不做得出

大概是这么个东西

比较奇怪的是输入5、6都会退出，也不知道为啥，分析一下功能

New_note：创建note，最多创建3个，规定了大小

Show_note：就是Show

Edit_note：

好累…………先咕咕咕了