堆利用套路详解<\/h1>

前言<\/h2>
堆利用是二进制安全领域中的重要技术，掌握各种堆利用技巧对于漏洞分析和利用至关重要。本文将系统性地介绍多种堆利用技术，包括UAF、first_fit、fastbin_dup、unsafe_unlink和tcache等利用方法。<\/p>

UAF (Use After Free)<\/h2>

UAF是指释放后的内存被继续使用的情况，这是最常见的堆漏洞类型之一。<\/p>

利用要点：<\/strong><\/p>

在对象被释放后，指针未被清空<\/li>
程序继续使用这个悬垂指针<\/li>
通过重新分配相同大小的内存块来控制原指针指向的内容<\/li> <\/ul>
利用步骤：<\/strong><\/p>

分配一个对象A<\/li>
释放对象A但不清空指针<\/li>
分配对象B，大小与A相同，占据A原来的内存空间<\/li>
通过原指针操作A，实际上是操作B的内存<\/li> <\/ol>
first_fit<\/h2>
first_fit是glibc堆分配器的基本策略，指分配器会从空闲列表中找到第一个足够大的块进行分配。<\/p>
利用要点：<\/strong><\/p>

了解glibc的分配策略<\/li>
控制堆布局，使目标块成为第一个满足条件的空闲块<\/li>
常用于结合其他漏洞实现更复杂的利用<\/li> <\/ul>
fastbin_dup<\/h2>
fastbin_dup是利用fastbin的单链表特性实现的双重释放漏洞。<\/p>
fastbin_dup_into_stack<\/h3>
利用步骤：<\/strong><\/p>

分配三个相同大小的chunk(A, B, C)<\/li>
释放A、B、A（形成A->B->A的fastbin链表）<\/li>
分配三个chunk，第三次分配将得到A<\/li>
修改A的fd指针指向伪造的栈地址<\/li>
分配两次，第二次将分配到栈上的伪造chunk<\/li> <\/ol>
fastbin_dup_consolidate<\/h3>
利用步骤：<\/strong><\/p>

分配多个chunk填满tcache<\/li>
释放一个chunk到fastbin<\/li>
触发堆合并操作，使fastbin中的chunk进入unsorted bin<\/li>
再次释放同一个chunk，实现双重释放<\/li> <\/ol>
fast_bin_reverse_into_tcache<\/h3>
原理：<\/strong><\/p>

当fastbin中的chunk被重新分配时，剩余chunk会被放入tcache<\/li>
通过控制fastbin链表，可以控制哪些chunk进入tcache<\/li> <\/ul>
unsafe_unlink<\/h2>
unsafe_unlink是利用glibc中unlink操作的安全检查不足实现的利用技术。<\/p>
概述<\/h3>
unlink操作用于从双向链表中移除一个chunk，当合并空闲chunk时会执行此操作。<\/p>
出现场景<\/h3>

存在堆溢出，可以修改相邻chunk的元数据<\/li>
可以控制被释放chunk的size和前后指针<\/li> <\/ul>
利用步骤：<\/strong><\/p>

创建两个相邻的chunk(A, B)<\/li>
溢出修改B的size和前后指针<\/li>
释放B触发unlink操作<\/li>
通过精心构造的指针实现任意地址写<\/li> <\/ol>
tcache利用<\/h2>
tcache是glibc 2.26引入的线程本地缓存机制，提高了分配速度但也引入了新的攻击面。<\/p>
tcache_poisoning<\/h3>
概述：<\/strong>
通过修改tcache中的fd指针，实现任意地址分配。<\/p>
结构体：<\/strong><\/p>
struct<\/span> tcache_entry { <\/span><\/span> void<\/span> *<\/span>next; <\/span><\/span>}; <\/span><\/span> <\/span><\/span>struct<\/span> tcache_perthread_struct { <\/span><\/span> char<\/span> counts[TCACHE_MAX_BINS]; <\/span><\/span> tcache_entry *<\/span>entries[TCACHE_MAX_BINS]; <\/span><\/span>}; <\/span><\/span><\/code><\/pre>利用步骤：<\/strong><\/p> 分配两个相同大小的chunk(A, B)<\/li> 释放A、B到tcache（形成B->A的链表）<\/li> 通过漏洞修改A的fd指针指向目标地址<\/li> 分配两次，第二次将分配到目标地址<\/li> <\/ol> tcache_stashing_unlink_attack<\/h3> 原理：<\/strong><\/p> 当smallbin中的chunk被分配时，剩余chunk会被放入tcache<\/li> 通过控制smallbin的bk指针，可以在tcache中写入任意值<\/li> <\/ul> 利用步骤：<\/strong><\/p> 创建多个chunk填满tcache<\/li> 分配一个较大的chunk进入smallbin<\/li> 修改smallbin的bk指针<\/li> 触发分配操作，导致bk指针被写入tcache<\/li> <\/ol> 总结<\/h2> 堆利用技术多种多样，关键在于理解glibc堆管理器的内部机制。掌握这些基础技术后，可以组合使用它们来应对更复杂的现实场景。随着glibc版本的更新，一些技术可能会失效，但基本原理仍然值得学习。<\/p>

堆利用套路详解<\/h1>

前言<\/h2> 堆利用是二进制安全领域中的重要技术，掌握各种堆利用技巧对于漏洞分析和利用至关重要。本文将系统性地介绍多种堆利用技术，包括UAF、first_fit、fastbin_dup、unsafe_unlink和tcache等利用方法。<\/p>

fastbin_dup<\/h2> fastbin_dup是利用fastbin的单链表特性实现的双重释放漏洞。<\/p>

unsafe_unlink<\/h2> unsafe_unlink是利用glibc中unlink操作的安全检查不足实现的利用技术。<\/p>

概述<\/h3> unlink操作用于从双向链表中移除一个chunk，当合并空闲chunk时会执行此操作。<\/p>

tcache利用<\/h2> tcache是glibc 2.26引入的线程本地缓存机制，提高了分配速度但也引入了新的攻击面。<\/p>

总结<\/h2> 堆利用技术多种多样，关键在于理解glibc堆管理器的内部机制。掌握这些基础技术后，可以组合使用它们来应对更复杂的现实场景。随着glibc版本的更新，一些技术可能会失效，但基本原理仍然值得学习。<\/p>

前言<\/h2>
堆利用是二进制安全领域中的重要技术，掌握各种堆利用技巧对于漏洞分析和利用至关重要。本文将系统性地介绍多种堆利用技术，包括UAF、first_fit、fastbin_dup、unsafe_unlink和tcache等利用方法。<\/p>

fastbin_dup<\/h2>
fastbin_dup是利用fastbin的单链表特性实现的双重释放漏洞。<\/p>

unsafe_unlink<\/h2>
unsafe_unlink是利用glibc中unlink操作的安全检查不足实现的利用技术。<\/p>

概述<\/h3>
unlink操作用于从双向链表中移除一个chunk，当合并空闲chunk时会执行此操作。<\/p>

tcache利用<\/h2>
tcache是glibc 2.26引入的线程本地缓存机制，提高了分配速度但也引入了新的攻击面。<\/p>

总结<\/h2>
堆利用技术多种多样，关键在于理解glibc堆管理器的内部机制。掌握这些基础技术后，可以组合使用它们来应对更复杂的现实场景。随着glibc版本的更新，一些技术可能会失效，但基本原理仍然值得学习。<\/p>