unsortbin-attach攻击原理
这篇博客当初不想写的,当初不太理解,但后面好像挺常用到的还是记录一下。同时这也是时隔一个月的博客更新,恢复下进度,同时庆祝熬过了艰难的考试周。
这里再次看看unsortbin的结构:
堆漏洞利用中第二常用的攻击手法。最简单的攻击手法,前提条件是UAF。任意内存地址写一个不确定的非常大的数(libc地址)。通常,我们利用unsortedbin attack来修改一些类似于修改次数限制、上限信息、伪造堆头、配合局部写等等,十分好用。
unsortbin的链入链出的顺序和其他bin不一样,它是先进先出的,从头插入,从尾取出:
我们要修改unsortedbin中的BK字段为target addr - 0x10(不是0x18,因为指向的是size段,这张图没画出来),当取出victim时会发生一下步骤:
fake chunk的fd、bk指针会指向unsortbin_chunks(av)的地址,这里就泄露了libc的某处地址
如下图是变化的全过程:
