Fastbin Dup 变种攻击技术分析与实践指南<\/h1>

1. 前言与背景<\/h2>
本技术文档详细分析了一种针对 libc 2.30 环境下受限制堆题的 fastbin dup 变种攻击方法。该方法在常规 fastbin dup 攻击受限的情况下（如禁止申请 0x70 字节 chunk），通过两轮 fastbin dup 操作控制 top 指针，绕过 libc 2.29 引入的安全检查，最终实现控制 malloc hook 的目标。<\/p>

2. 题目环境与限制条件<\/h2>

2.1 环境配置<\/h3>

保护机制：全开（ASLR、NX、Canary 等）<\/li>
libc 版本：2.30<\/li>

题目难度：HTB Challenge - Medium 级别<\/li> <\/ul>

2.2 关键限制<\/h3>

内存申请限制：

只能申请小于 0x80 字节的 chunk<\/li>
禁止申请 0x70 字节的 chunk<\/li> <\/ul> <\/li>

其他特性：

无 tcache 机制<\/li>
存在 double-free 漏洞<\/li>

无缓冲区溢出漏洞<\/li> <\/ul> <\/li> <\/ol>

3. 漏洞利用分析<\/h2>

3.1 信息泄露<\/h3>

在初始阶段，程序会要求输入一个短语：<\/p>

使用未初始化的缓冲区，可通过输入超长字符串触发地址泄露<\/li>

泄露的地址可用于计算 libc 基址<\/li> <\/ul>

3.2 常规 fastbin dup 流程回顾<\/h3>

绕过 double-free 检查：<\/p>

申请相同大小的 chunkA 和 chunkB<\/li>
按顺序 A→B→A 释放，绕过检查（fastbin 只检查释放的 chunk 是否与链表第一个 chunk 相同）<\/li> <\/ul> <\/li>
获取重叠 chunk 并控制 fd 指针<\/p> <\/li>
寻找 fake chunk 并让 fd 指向它<\/p> <\/li>

申请 fake chunk 实现任意地址写入<\/p>

通常使用 0x70 大小的 chunk 攻击 malloc hook 附近的 fake chunk<\/li> <\/ul> <\/li> <\/ol>

4. 变种攻击技术详解<\/h2>

4.1 常规方法受限原因<\/h3>

题目禁止申请 0x70 大小的 chunk，无法直接使用常规方法攻击 malloc hook<\/li> <\/ul>

4.2 变种攻击思路<\/h3>

第一轮 fastbin dup<\/strong>：<\/p>

在 arena 结构中伪造一个 fake fastbin chunk header<\/li>
利用 arena 结构中 fastbins 头节点指针数组靠近 top chunk 指针的特性<\/li> <\/ul> <\/li>

第二轮 fastbin dup<\/strong>：<\/p>

申请并覆盖 top 指针<\/li>
需要绕过 libc 2.29 新增的 top chunk 安全检查<\/li> <\/ul> <\/li> <\/ol>
4.3 关键数据结构布局<\/h3>
main_arena 结构： +-------------------+ | fastbins[] | # 头节点指针数组 | ... | | top chunk pointer | # 靠近 fastbins 数组 | ... | +-------------------+ <\/code><\/pre> 4.4 绕过 libc 2.29 安全检查<\/h3> 新增检查<\/strong>：如果 top chunk 的 size 超过系统内存，会报错 "corrupted top size"<\/li> 绕过方法<\/strong>：调整 top chunk 指针，使其指向一个 size 字段小于系统内存的位置（如 -0x24 的位置）<\/li> <\/ul> 5. 攻击步骤详解<\/h2> 5.1 第一阶段：信息收集<\/h3> 通过初始输入泄露 libc 地址<\/li> 计算关键偏移： malloc hook 地址<\/li> main_arena 结构地址<\/li> one_gadget 地址<\/li> <\/ul> <\/li> <\/ol> 5.2 第二阶段：双重 fastbin dup<\/h3> 第一次 fastbin dup<\/strong>：<\/p> 创建 chunkA 和 chunkB<\/li> 按 A→B→A 顺序释放，形成循环链表<\/li> 修改 fd 指针指向 arena 结构中的特定位置<\/li> <\/ul> <\/li> 伪造 fake chunk<\/strong>：<\/p> 在 arena 结构中构造合法的 fastbin chunk header<\/li> 确保 size 字段符合 fastbin 要求<\/li> <\/ul> <\/li> 第二次 fastbin dup<\/strong>：<\/p> 申请并获取对 arena 结构的控制权<\/li> 修改 top chunk 指针指向精心计算的位置<\/li> <\/ul> <\/li> <\/ol> 5.3 第三阶段：控制流劫持<\/h3> 通过修改后的 top chunk 分配内存到 malloc hook 附近<\/li> 覆写 malloc hook 为 one_gadget 地址<\/li> 触发 malloc 调用获取 shell<\/li> <\/ol> 6. 关键技术与注意事项<\/h2> 6.1 关键技术点<\/h3> arena 结构利用<\/strong>：<\/p> 利用 fastbins 数组与 top 指针的邻近关系<\/li> 精心计算偏移，确保伪造的 chunk 能通过检查<\/li> <\/ul> <\/li> 双重 fastbin dup<\/strong>：<\/p> 第一轮用于控制 arena 内部结构<\/li> 第二轮用于修改 top 指针<\/li> <\/ul> <\/li> 安全检查绕过<\/strong>：<\/p> 确保伪造的 top chunk size 字段合法<\/li> 选择正确的偏移避免触发 "corrupted top size" 错误<\/li> <\/ul> <\/li> <\/ol> 6.2 注意事项<\/h3> 不同 libc 版本偏移可能不同，需精确计算<\/li> 确保所有伪造的 chunk 头都符合分配器的合法性检查<\/li> 操作顺序至关重要，错误的释放\/申请顺序会导致利用失败<\/li> <\/ol> 7. 防御措施<\/h2> 针对此类攻击，开发者可以采取以下防护措施：<\/p> 及时清空释放后的指针<\/li> 使用最新版本的 libc（已修复相关漏洞）<\/li> 启用额外的堆保护机制（如 heap cookies）<\/li> 限制用户申请特定大小的 chunk<\/li> <\/ol> 8. 总结与扩展<\/h2> 本变种 fastbin dup 攻击提供了在受限环境下利用堆漏洞的新思路：<\/p> 常规方法<\/strong>：利用 malloc hook 上方地址的 0x7f 作为 fake chunk，直接写 malloc hook<\/li> 变种方法<\/strong>：通过操纵 arena 结构中的 top 指针，间接控制 malloc hook<\/li> <\/ul> 这种技术展示了即使在某些限制条件下，攻击者仍可能通过深入理解内存分配器内部机制找到利用途径，强调了全面防御的重要性。<\/p>