A repository for learning various heap exploitation techniques.
git://www.github.com/shellphish/how2heap.gitgit clone http://www.github.com/shellphish/how2heap$ svn co --depth empty http://www.github.com/shellphish/how2heap
Checked out revision 1.
$ cd repo
$ svn up trunk基于的教育堆开发
这里 repo 用于学习各种堆开发技术。 我们在 hack 会议中提出了这个想法,并实现了以下技术:
文件技术适用的解决| first_fit.c | Demonstrating行为第一匹配的演示。 | |
| fastbin_dup.c | 哄骗malloc通过滥用fastbin空闲项来返回已经分配的堆指针。 | |
| fastbin_dup_into_stack.c | 哄骗malloc通过滥用fastbin空闲值来返回几乎任意的指针。 | 9447 -search-engine, 0ctf 2017-babyheap |
| fastbin_dup_consolidate.c | 将一个已经分配的指针放在fastbin空闲列表和未排序的bin空闲列表中,诱骗malloc返回已经分配的堆指针。 | Hitcon 2016 SleepyHolder |
| unsafe_unlink.c | 在损坏的块上释放自由以获取任意写入。 | ,Robots,Robots,Robots,Robots 。 |
| house_of_spirit.c | 释放伪fastbin块以使malloc返回几乎任意的指针。 | hack.lu 协调器 2014-OREO |
| poison_null_byte.c | 利用单个空字节溢出。 | PlaidCTF 2015-plaiddb |
| house_of_lore.c | 哄骗malloc通过滥用smallbin空闲值来返回几乎任意的指针。 | |
| overlapping_chunks.c | 在未排序的bin中覆盖已经释放的块大小,以使新分配与现有块重叠。 | hack.lu CTF 2015-bookstore, Nuit,hack 2016 -night-deamonic-heap |
| overlapping_chunks_2.c | 为使新分配与现有块重叠,利用正在使用的块大小的覆盖 | |
| house_of_force.c | 为了让malloc返回几乎任意的指针,利用顶块( 荒原) header | 波士顿主要 Party 2016-cookbook,BCTF 2016-bcloud 。 |
| unsorted_bin_attack.c | 在未排序的bin空闲列表上覆盖释放的块,将大值写入任意地址 | 0ctf 2016-zerostorage |
| house_of_einherjar.c | 利用一个空字节 overflow 欺骗malloc返回一个受控指针 | Seccon 2016-tinypad |
| house_of_orange.c | 利用顶部块( 荒原) 来获得任意代码执行 | Hitcon 2016 houseoforange |
有个好例子在这里加? ! 尝试在一个单一的--中使用整个技术,这样学习起来更容易。
堆开发工具有一些堆开发工具在周围浮动。
阴影
jemalloc开发框架:https://github.com/CENSUS/shadow
libheap
检查gdb中的glibc堆: https://github.com/cloudburst/libheap
Playground
给定的malloc_playground.c 文件是一个程序的源,提示用户交互地分配和释放内存。
一些很好的堆开发资源,大致按它的发布顺序,是:
- 深度教程教程( https://heap-exploitation.dhavalkapil.com/ ) - 图书和开发示例
- ptmalloc-fanzine,一组与ptmalloc上的元数据攻击相关的资源和示例( http://tukan.farm/2016/07/26/ptmalloc-fanzine/ )
- 一个malloc图,来自 libheap ( https://raw.githubusercontent.com/cloudburst/libheap/master/heap.png )
- Glibc冒险:遗忘的区块( http://www.contextis.com/documents/120/Glibc_Adventures-The_Forgotten_Chunks.pdf ) 高级堆开发
- Pseudomonarchia jemallocum ( http://www.phrack.org/issues/68/10.html )
- Lore: 重新载入( http://phrack.org/issues/67/8.html )
- Malloc maleficarum ( http://phrack.org/issues/66/10.html ) - 一些Malloc开发技术
- 另一种 free() 开发技术( http://phrack.org/issues/66/6.html )
- 通过中断( https://www.blackhat.com/presentations/bh-usa-07/Ferguson/Whitepaper/bh-usa-07-ferguson-WP.pdf ) 来理解堆- explains解释堆实现和一对利用
- 使用set_head打败荒原( http://phrack.org/issues/64/9.html )
- Malloc Maleficarum ( http://seclists.org/bugtraq/2005/Oct/118 )
- OS X 堆开发技术( http://phrack.org/issues/63/5.html )
- 利用荒原( http://seclists.org/vuln-dev/2004/Feb/25 )
- lea的高级 Doug malloc ( http://phrack.org/issues/61/6.html )
- GDB增强功能( GEF ) 堆探测工具( https://gef.readthedocs.io/en/latest/commands/heap/ )
- Linux用户级堆( https://sensepost.com/blog/2017/painless-intro-to-the-linux-userland-heap/ )的无痛介绍
在glibc中嵌入了几个"hardening"度量,比如 export MALLOC_CHECK_=1 ( 启用一些检查) 。export MALLOC_PERTURB_=1 ( 数据被覆盖) 。export MALLOC_MMAP_THRESHOLD_=1 ( 始终使用 mmap ( ) ) 。
更多信息:mcheck(), mallopt() 。
此外,还有一些跟踪支持作为 mtrace() 插件。malloc_stats() 插件。malloc_info() 。 memusage插件以及该系列的其他功能。
请输入左侧字符
