반응형
#include <stdio.h>
#include <stdlib.h>
int main()
{
printf("This file demonstrates a simple double-free attack with fastbins.\n");
printf("Allocating 3 buffers.\n");
int *a = malloc(8);
int *b = malloc(8);
int *c = malloc(8);
printf("1st malloc(8): %p\n", a);
printf("2nd malloc(8): %p\n", b);
printf("3rd malloc(8): %p\n", c);
printf("Freeing the first one...\n");
free(a);
printf("If we free %p again, things will crash because %p is at the top of the free list.\n", a, a);
// free(a);
printf("So, instead, we'll free %p.\n", b);
free(b);
printf("Now, we can free %p again, since it's not the head of the free list.\n", a);
free(a);
printf("Now the free list has [ %p, %p, %p ]. If we malloc 3 times, we'll get %p twice!\n", a, b, a, a);
printf("1st malloc(8): %p\n", malloc(8));
printf("2nd malloc(8): %p\n", malloc(8));
printf("3rd malloc(8): %p\n", malloc(8));
}
정리.
할당된 영역을 free를 하게 되면 free list에 주소가 들어가게 되는데 이게 링크드 리스트라서 head 주소 밖에 검사를 안하는 듯하다.
그래서 다른 주소를 free한번 해주고 다시 free 시켜주면 dup이 가능하다.
'공부' 카테고리의 다른 글
| [how2heap] unsafe unlink (0) | 2016.12.26 |
|---|---|
| [how2heap] fast bin dup into stack (0) | 2016.12.25 |
| [how2heap] first_fit (0) | 2016.12.25 |
| libc randomization disable (7) | 2016.12.10 |
| SigReturn Oriented Programming (SROP) (0) | 2016.08.13 |
KuroNeko_
KuroNeko