pwn with glbc heap
前言
本文档通过阅读一些经典的文章以及有趣的 ctf pwn
题的 wp
总结而来,其中可能会有很多不足,敬请谅解。
文中未做说明 均是指 glibc 2.23
相关引用已在文中进行了标注,如有遗漏,请提醒。
简单源码分析
本节只是简单跟读了一下 malloc 和 free 的源码, 所以说的比较简单,很多细节还是要自己拿一份源代码来读。
堆中的一些数据结构
堆管理结构
|
|
malloc_state
结构是我们最常用的结构,其中的重要字段如下:fastbins
:存储多个链表。每个链表由空闲的fastbin
组成,是fastbin freelist
。top
:top chunk
,指向的是arena
中剩下的空间。如果各种freelist
都为空,则从top chunk
开始分配堆块。bins
:存储多个双向链表。意义上和堆块头部的双向链表一样,并和其组成了一个双向环状空闲列表(freelist)。这里的bins位于freelist的结构上的头部,后向指针(bk)指向freelist逻辑上的第一个节点。分配chunk
时从逻辑上的第一个节点分配寻找合适大小的堆块。
堆块结构
|
|
prev_size
:相邻的前一个堆块大小 。这个字段只有在前一个堆块(且该堆块为normal chunk
)处于释放状态时才有意义。这个字段最重要(甚至是唯一)的作用就是用于堆块释放时快速和相邻的前一个空闲堆块融合。该字段不计入当前堆块的大小计算。在前一个堆块不处于空闲状态时,数据为前一个堆块中用户写入的数据。libc这么做的原因主要是可以节约4个字节的内存空间,但为了这点空间效率导致了很多安全问题。size
:本堆块的长度。长度计算方式:size字段长度+用户申请的长度+对齐。libc以 size_T 长度*2 为粒度对齐。例如 32bit 以 42=8byte 对齐,64bit 以 0×10 对齐。因为最少以8字节对齐,所以size一定是8的倍数,故size字段的最后三位恒为0,libc用这三个bit做标志flag。比较关键的是最后一个bit(pre_inuse),用于指示相邻的前一个堆块是alloc还是free。如果正在使用,则 bit=1。libc判断 当前堆块是否处于free状态的方法 就是 判断下一个堆块的 *pre_inuse 是否为 1 。这里也是double free
和null byte offset
等漏洞利用的关键。fd &bk
:双向指针,用于组成一个双向空闲链表。故这两个字段只有在堆块free后才有意义。堆块在alloc状态时,这两个字段内容是用户填充的数据。两个字段可以造成内存泄漏(libc的bss地址),Dw shoot等效果。- 值得一提的是,堆块根据大小,libc使用fastbin、chunk等逻辑上的结构代表,但其存储结构上都是malloc_chunk结构,只是各个字段略有区别,如fastbin相对于chunk,不使用bk这个指针,因为fastbin freelist是个单向链表。
Malloc 源码分析
用户调用 malloc
时会先进入 __libc_malloc
|
|
如果设置了 __malloc_hook
就执行它然后返回, 否则进入 _int_malloc
这个函数就是 malloc
的具体实现
|
|
首先把传入的 bytes
转换为 chunk
的实际大小,保存到 nb
里面。然后如果是第一次调用 malloc
, 就会进入 sysmalloc
分配内存。
搜索Fastbin
接着会看申请的 nb
是不是在 fastbin
里面,如果是进入 fastbin
的处理流程
|
|
首先根据 nb
找到该大小对应的 fastbin
的项, 然后看看该 fastbin
是不是为空,如果非空,就分配该 fastbin
的第一个 chunk
给用户。
分配过程还会检查待分配的 chunk
的 size
是不是满足在该 fastbin
项的限制。
|
|
搜索Smallbin
如果 fastbin
为空或者 nb
不在 fastbin
里面,就会进入 smallbin
和 largebin
的处理逻辑
|
|
如果申请的 nb
位于 smallbin
的范围,就会 fastbin
一样去找对应的项,然后判断 bin
是不是为空,如果不空, 分配第一个 chunk
给用户,分配之前还会校验该 chunk
是不是正确的。如果为空,就会进入 unsorted bin
的处理了。
|
|
如果 nb
不满足 smallbin
,就会触发 malloc_consolidate
. 然后进入 unsorted bin
搜索Unsorted bin
|
|
遍历 unsorted bin
, 如果此时的 unsorted bin
只有一项,且他就是 av->last_remainder
,同时大小满足
|
|
就对当前 unsorted bin
进行切割,然后返回切割后的 unsorted bin
。
否则就先把该 unsorted bin
从 unsorted list
中移除下来,这里用了一个 类似 unlink
的操作,不过没有检查 chunk
的指针
|
|
如果申请的大小和该 unsorted bin
的大小刚好相等,就直接返回, 否则就把它放到相应的 bin
里面去。
|
|
如果 size
在 smallbin
里就放到 smallbin
,否则就放到 large bin
搜索 Largebin
接下来就会去搜索 largebin
了
|
|
使用 Top chunk
|
|
如果 top chunk
的大小足够就直接切割分配,否则如果此时还有 fastbin
就触发 malloc_consolidate
重复上述流程,如果没有 fastbin
调用 sysmalloc
分配内存
Free 源码分析
_GI___libc_free
首先是 _GI___libc_free
|
|
如果存在 free_hook
, 就会直接调用 free_hook(ptr)
然后返回。否则判断被 free
的 内存是否是 mmap
获取的 ,如果是则使用 munmap_chunk
回收内存,否则进入 _int_free
_int_free
首先会做一些简单的检查
|
|
检查
- 指针是否对齐
- 块的大小是否对齐,且大于最小的大小
- 块是否在
inuse
状态
进入 fastbin
|
|
如果 size
满足 fastbin
的条件,则首先判断 next_chunk->size
要满足
|
|
接着就会找对相应的 fastbin
,然后插入 该 bin
的第一项。插入前有一个检查
|
|
就是 p->size
索引到的 fastbin
的第一个指针不能和当前的 p
相同,否则会被认为是 double free
进入 Unsorted bin
如果被 free
的这个块不是 通过 mmap
获得的,就会进入下面的逻辑
|
|
大概流程
- 首先做了一些检查,
p != top_chunk
,p->size
不能越界, 限制了next_chunk->size
,p
要处于inuse
状态(通过next_chunk->pre_inused
判断) - 接着判断
p
的前后相邻块是不是free
状态,如果是就合并 - 根据此次拿到的
unsorted bin
的 大小,如果size>=FASTBIN_CONSOLIDATION_THRESHOLD
就会触发malloc_consolidate
如果 p
是通过 mmap
获得的,就通过
|
|
释放掉他
Check In Glbc
函数名 | 检查 | 报错信息 |
---|---|---|
unlink | p->size == nextchunk->pre_size | corrupted size vs prev_size |
unlink | p->fd->bk == p 且 p->bk->fd == p | corrupted double-linked list |
_int_malloc | 当从fastbin分配内存时 ,找到的那个fastbin chunk的size要等于其位于的fastbin 的大小,比如在0x20的 fastbin中其大小就要为0x20 | malloc():memory corruption (fast) |
_int_malloc | 当从 smallbin 分配 chunk( victim) 时, 要求 victim->bk->fd == victim | malloc(): smallbin double linked list corrupted |
_int_malloc | 当迭代 unsorted bin 时 ,迭代中的 chunk (cur)要满足,cur->size 在 [2*SIZE_SZ, av->system_mem] 中 | malloc(): memory corruption |
_int_free | 当插入一个 chunk 到 fastbin时,判断fastbin的 head 是不是和 释放的 chunk 相等 | double free or corruption (fasttop) |
_int_free | 判断 next_chunk->pre_inuse == 1 | double free or corruption (!prev |
各种漏洞原理及利用
通用的信息泄露思路
当 chunk
处于 free
状态时,会进入 bin
里面,其中的 fd
和 bk
可以用于信息泄露
- 分配两个
0x90
的chunk(p0, p1)
- 释放掉
p0
,p0
会进入unsorted bin
- 分配
0x90
的chunk
,再次拿到p0
, 在malloc
的实现中不会对这些指针进行清空,就可以泄露
如果分配后的内存被 memset
清空后,就需要利用一些其他的漏洞才能利用。
Unsorted bin
用于泄露libc
fastbin
用于 泄露heap
地址
Unlink 利用
原理
在把 chunk
从 bins
拿下来时 会触发 unlink
操作
|
|
如果我们可以伪装 fd
和 bk
过掉 unlink
的检查,就可以实现 4
字节写
利用
首先利用其它的漏洞伪造下面的内存布局
- p0 = malloc(0x80), p1 = malloc(0x80), ptr = p0
- 此时
free(p1)
,发现p1
所在chunk
的pre_size = 0
, 表明前一个chunk
已经free
, 于是向前合并 - 通过
p1 - 0x10 - 0x80
( chunk_addr - pre_size ) , 找到前面已经释放的chunk
, 也就是 我们 伪造的fake chunk p1
- 然后进行
unlink
, 实现*ptr = ptr-0x18
Fastbin Attack 总结
原理
Fastbin
在分配 chunk
时,只检查 p->size&0xfffffffffffff000是否满足等于的 fastbin的大小 ,而且不检查指针是否对齐。所以我们只要找到 size
为 fastbin
的范围,然后修改 位于 fastbin
的 chunk
的 fd
到这 ,分配几次以后,就可以分配到这个位置
利用方式
利用 libc 中的 现有的 数据
__malloc_hook 附近
64位下在 __malloc_hook - 0x23 + 0x8 处 的值 为 p64(0x7f)
,这些值可以通过 gdb + hexdump
找找
然后想办法修改 位于 0x70
的 fastbin
的 chunk
的 fd
为 __malloc_hook - 0x23,然后分配几次 0x70 的 chunk 就可以修改 __malloc_hook
main_arean->fastbinY 数组
该数组用于存放 指定大小的 fastbin
的表头指针,如果为空则为 p64(0)
, 而堆的地址基本 是 0x5x
开头的(其在内存就是 xx xx..... 5x
), 此时如果在 main_arean->fastbinY
的 相邻项为 0x0
(相邻大小的 fastbin
), 就会出现 5x 00 00 00...
, 所以就可以出现 0x000000000000005x
,可以把它作为 fastbin
的 size
进行 fastbin attack
,不过作为 fastbin attack 的 size 不能 为 0x55
于是想办法修改 位于 0x50
的 fastbin
的 chunk
的 fd
为 __malloc_hook - 0x23,然后分配几次 0x50
的 chunk 就可以分配到 main_arean
, 然后就可以修改 main_arean->top
。
std* 结构体
在 std*
类结构体中有很多字段都会被设置为 0x0 , 同时其中的某些字段会有 libc 的地址大多数情况下 libc 是加载在 0x7f....
, 配合着 std*
中的 其他 0x0 的字段,我们就可以有 p64(0x7f)
, 然后修改 位于 0x70
的 fastbin
的 chunk
的 fd
为该位置即可。
自己构造 size
利用 unsorted bin attack 往 __free_hook 构造 size
我们知道如果我们可以 修改 unsorted bin
的 fd
和 bk
, 在对 unsorted bin
拆卸的 时候 我们就能实现
|
|
利用这个我们就能往任意地址写入 main_arean
的地址, 由于 libc
的地址基本都是 0x7fxxxxx
, 所以写完以后我们就可以在 __free_hook
的前面构造出 p64(0x7f)
, 可以作为 fastbin attack
的目标,然后修改 __free_hook
有一个小坑要注意,在 __free_hook-0x30
开始 的 0x30
个字节 是 _IO_stdfile_*_lock
区域,用于 std*
类文件的锁操作,这个区域的内存会被经常清零。
所以 unsorted bin attack
应该往上面一点, 比如 libc.symbols[‘__free_hook’] - 0x50
还有一点就是在进行 unsorted bin attack
以后 , unsorted bin
链表就被破坏了,所以 就只能通过 fastbin
或者 smallbin
进行内存的分配,所以我们应该先劫持 fastbin
的 fd
到 目标位置,然后触发 unsorted bin attack
写入 size
, 最后进行 fastbin attack
,修改 __free_hook
利用 fastbin 往 main_arean 构造 size
首先分配
0x40
的chunk p
, 然后释放掉p
,进入0x40
的fastbin
然后通过一些手段,修改
p->fd = p64(0x71)
分配
0x40
的chunk
,会拿到p
, 此时main_arean->fastbinY
中0x40
大小对应的项的值为p64(0x71)
然后分配
0x71
的chunk p2
, 释放掉修改
p2->fd
为main_arean->fastbinY
的相应位置,然后分配两次,即可分配到main_arean->fastbinY
然后通过修改
main_arean->top
, 即可分配到 malloc_hook 或者 free_hook 等
Unsorted bin Attack
原理
因为 unsorted bin
的取出操作没有使用 unlink
宏,而是自己实现的几行代码
|
|
所以当我们控制了 victim的 bk 时,则 bk + 0x10
会被改写成 unsorted bin 的地址,但是 unsorted bin
的 bk
也会被破坏,下一次再到这里时就可能因为 victim->bk->fd
不可写而造成 SIGSEGV
。
所以在触发 unsorted bin attack
以后就 只能 通过 fastbin 和 smallbin 来分配内存了(否则会进入 unsorted bin 的流程,会报错),所以在 触发 unsorted bin attack
需要把需要的内存布局好。
利用的方式
写 stdin->_IO_buf_end
在 glibc中 scanf, gets 等函数默认是对 stdin 结构体进行操作。以 scanf
为例
- 在调用
scanf
获取输入时,首先会把输入的东西复制到[_IO_buf_base , _IO_buf_end ]
, 最大大小为_IO_buf_end - _IO_buf_base
。 - 修改
unsorted bin
的bck
为_IO_base_end-0x10
,就可以使_IO_base_end=main_arens+0x88
,我们就能修改很多东西了,而且malloc_hook
就在这里面。
__IO_list_all 和 abort 以及 修改虚表到 _IO_wstrn_jumps
原理
绕过虚表校验
其实就是对 house of orange
在 libc2.24
里面的再利用。 在 libc2.24
里对 vtable
进行了校验。
对 vtable
进行校验的函数是 IO_validate_vtable
就是保证 vtable
要在 __stop___libc_IO_vtables
和 __start___libc_IO_vtables
之间。
这里的目标就是 _IO_wstrn_jumps
,这个也是一个 vtable
,能够满足 IO_validate_vtable
的校验。
在 _IO_wstrn_jumps
有一个有趣的函数 IO_wstr_finish
, 位于 libc.symbols[‘_IO_wstrn_jumps’] + 0x10
|
|
我们把 fp->_wide_data
改成 fp
, 然后设置 fp->_IO_buf_base
设置为 /bin/sh
的地址,fp_[1].file._IO_read_ptr
( fp+0xe8 ) 改成 system
的地址,其他字段根据 check
设置好以便过掉检查, 之后调用该函数就会 system('/bin/sh')
利用方案举例
以 34c3ctf-300 为例, 程序限制只能分配 0x310
的 chunk
, 这里利用 unsorted bin
遍历的缺陷,伪造了一个 0x60
的 smallbin
,为后续做准备。
- 首先分配 4个
0x310
的chunk (A X B K)
,释放A , B
此时A , B
均进入unsorted bin
,并且通过bk
链接起来 - 修改
A->bk
为fake_bin
的地址,并且 设置 fake_bin->size=0x61 and fake_bin->bk = B, 此时unsorted bin
的链表其实有 3 项。 - 分配 一个
0x310
的chunk
,此时 A 位于链表首部,且大小刚好,分配 A ,并且 把 fake_bin 置于链表首部 - 再次分配 一个
0x310
的chunk
, 此时 fake_bin 位于链表首部,大小不够于是把 fake_bin 放到 smallbin[4] , 然后继续遍历 ,分配到B
, 至此 在 smallbin[4] 就存有 fake_bin 的地址
fake_bin 的 内容为 (从 chunk 的开始地址开始
|
|
- 然后利用
unsorted bin attack
修改__IO_list_all
为main_arean+88
- 触发
abort
(malloc_printerr内部会调用), 就会触发 _IO_flush_all_lockp
,根据__IO_list_all
和__chain
,遍历调用_IO_OVERFLOW (fp, EOF)
( 其实就是 (fp->vtable + 0x18)(fp, EOF) ___IO_list_all->_chain
位于smallbin[4]
,所以遍历第二次可以对fake_bin
进行_IO_OVERFLOW (fp, EOF)
,此时就会调用 IO_wstr_finish, 此时 fake_bin 中的相关数据已经设置好,最后会执行 system(“/bin/sh”)
参考
34c3ctf-300
Pwn with File结构体 四
组合 fastbin attack
方案一
- 把
bk
改成global_max_fast-0x10
触发unsorted bin attack
后,global_max_fast
会被修改成一个很大的值(指针),所以之后的 内存 分配 和 释放 都会按fastbin
来 - 之后看情况进行 伪fastbin attack
方案二
把 bk
改成 libc.symbols[‘__free_hook’] - 0x50 触发 unsorted bin attack
后, free_hook
前面就会出现 p64(0x7f)
,之后就可以通过 fastbin attack
修改 free_hook
结合 largebin 和 _dl_open_hook
原理
在 遍历 unsoted bin
时, 是通过 bk 指针 进行遍历
|
|
所以通过修改 bk
来伪造 unsorted bin
是可行的
同时在 遍历 unsorted bin
把 chunk
放入 largebin
的过程中, 也没有什么检查,于是可以利用 把 chunk
放入 largebin
的过程 往 任意地址写入 chunk 的地址。
PS: 因为要伪造 unsorted bin ,需要我们可以拿到 heap 的基地址
大体的思路
- 在堆上通过修改
unsorted bin
的bk
指针 伪造几个unsorted bin(A B C D),(0x400, 0x30, 0x420, 0x30)
- 分配
0x30
, A 进入 largebin, B 被分配 - 修改 A->bk = _dl_open_hook - 0x10 and A->bk_nextsize = _dl_open_hook - 0x20
- 分配
0x30
,C
进入largebin
, 会导致A->bk->fd = C , A->bk_nextsize->fd_nextsize = C
(其实就是 *_dl_open_hook = C) - 此时
_dl_open_hook
指针被改成C
的地址, 然后在C
中设置 p64(libc.symbols[‘__libc_dlsym’] + 4)+p64(one_gadget)+p64(one_gadget) , 伪造dl_open_hook
结构体。 - 后面的执行过程会调用
_dl_open_hook
, 就会调用__libc_dlsym + 4
, 这里面会 跳转到dl_open_hook
结构体偏移 8 的值处 , 也就是one_gadget
的地址
参考
0ctf 2018 babyheap challenge exploit
特定写权限的利用
可写 main_arean
通过一些 fastbin
攻击, 我们可以分配到 main_arean
, 此时一般都是改写 main_arean->top
转换为写 __malloc_hook
malloc_hook -0x10 处存放的是指针,值很大,修改 main_arean->top 到这里,然后控制程序 使得通过 top_chunk
分配, 就可以分配到 malloc_hook
转换为写 __free_hook
在 free_hook-0xb58
处存放的也是一些地址,修改 main_arean->top 到这里,然后控制程序 使得通过 top_chunk
分配几次内存(一次分配太多,会触发 sysmalloc
, 可以一次分配 0x90 多分配几次),我们就可以分配到 free_hook
可写 __malloc_hook
直接写one_gadget
写入 one_gadget
,不过触发的时候,用 malloc_printerr
来触发 malloc
此时用下面这样的 one_gadget
[rsp+0x50]
|
|
这样更稳定,成功率也高
通过 __realloc_hook 中转
__malloc_hook
和 __realloc_hook
是相邻的, 且 __realloc_hook
在 __malloc_hook
的前面,所以基本上可以同时修改它们。
利用 one_gadget
时,对于栈的条件会有一些要求,利用 realloc
函数内部的 跳转 到 __realloc_hook
之前的栈操作,加上栈中原有的数据,可以对栈进行跳转,以满足 one_gadget
的要求
|
|
代码中的 push
以及 sub rsp, 38h
都可用于对栈进行调整。
可以收先把 __malloc_hook
设置为 0x6363636363636363
, 当程序断下来后,查看栈的情况,然后选择跳转的位置。
最后把 malloc_hook
设置为选择好的位置,realloc_hook
设置为 one_gadget
, 触发 malloc
可写 __free_hook
直接写one_gadget
改成 system 函数的地址
然后 释放掉 内容为 /bin/sh\x00
的 chunk
可写 std* 结构体
std*
类结构体 定义是 _IO_FILE_plus
, 64
为大小为 0xe0
修改 vtable指针
libc <= 2.23
_IO_FILE_plus
的最后一个字节就是 vtable
指针,修改 vtable
指针到一个可控数据可控的地址,在地址处填上 one_gadget
, 然后在调用一些输入输出函数时,就会触发。
如果是堆类题目可以 修改vtable指针到 heap, 或者如果是通过 fastbin 攻击
分配到了 std*
, 那么可以修改 vtable 到 std* 的相应位置, 只要保证 马上要被调用的函数指针我们可控 即可
libc > 2.23
一般结合 unsorted bin attack
,改到 libc.symbols[‘_IO_wstrn_jumps’] + 0x10 -0x18, 然后触发 abort
会调用 _IO_OVERFLOW (fp, EOF)
时就会调用 IO_wstr_finish(fp, EOF)
,通过设置 fp
的数据,就可以 system("/bin/sh")
.
(: fp为文件结构体的指针
Double Free
原理
程序把指针 free
之后没有对指针进行清空, 出现了 悬垂指针。后续还可以对该指针进行 free
操作。
利用
基于 pwnable.tw 中的 secretgard
信息泄露
总的思路 : 大块 拆成 小块
- 分配一个
0x120
的chunk
,p1
指向 它。 然后释放掉他 - 分配两个
0x90
的chunk
重用刚刚free
掉的chunk
, 可以发现此时p1==p2
- 此时再次
free(p1)
, 在p2->fd
和p2->bk
会写入main_arean
的地址(free
之后大小大于fastbin
的范围,进入unsorted bin
) - 然后打印
p2
的内容就可以拿到libc
的地址
Overlap chunk + unlink
总的思路 : 小块 融合成 大块
- 首先分配两个
0x90
的chunk (p0, p1)
,然后释放掉,会进行合并,形成 一个0x120
的unsorted bin
- 然后分配一个
0x120
的chunk (p2)
, 则p0=p2
, 此时p0
所在的chunk
可以包含p1
的chunk
- 然后在
p0
所在的chunk
伪造一个free chunk
, 设置好fd
和bk
, 然后释放p1
触发unlink
|
|
修改 __malloc_hook
一般 malloc
触发的方式,one_gadgets
由于限制条件不满足,很可能会失败
可以使用 malloc_printerr
触发, 此时恰好 [esp+0x50]=0
__malloc_hook - 0x23 + 0x8 的 内容为 0x000000000000007f , 可以用来绕过 fastbin
分配的检查
可以 gdb + hexdump
找到类似的位置来伪造 fastbin
Overlap Chunk + Fastbin Attack
总的思路 : 小块 融合成 大块, 分配大块操纵小块
- 首先分配两个
0x90
大小 的chunk (p0, p1)
- 释放掉它们,合并成一个
0x120
的unsorted bin
- 分配
0x120
的chunk (p3)
, p3==p1, 而且此时通过p3
可以修改 p2 的 chunk ,Overlap Chunk完成 - 修改
p->size = 0x71
p = p2-0x10,p
为p2
所在chunk的地址 - 修改 p + 0x70 为 p64(0x70) + p64(0x41) , 设置 pre_inused =1, 使得后面 free(p2) 绕过
double free
检测 - 此时
free(p2)
,p2
进入0x70
大小的fastbin
- 再次
free(p1)
(此时p1
所在chunk
的size
为0x120
), 得到一个0x120
的unsorted bin
- 再次分配
0x120
的chunk (p4)
, p4==p1 - 通过
p4
可以修改p2
指向的chunk
的fd
为__malloc_hook - 0x23
(此时p2
的chunk
已经在0x70
的fastbin
里面) - Fastbin Attack 开始,分配两次,可以得到 p6 = __malloc_hook -0x13
- 然后修改 __malloc_hook
Overlap chunk + fastbin attack + 修改 top chunk
- 首先通过上面的
Overlap chunk
我们可以修改p2
的chunk
的内容 - 修改 chunk->size = 0x41 , 注意设置 好 chunk->nextchunk 的 pre_inused 位 避免过不了 double free 检查
free(p2)
, 此时p2
的chunk
进入0x40
的fastbin
free(p3)
,malloc(0x110)
, 可以再次修改p2 chunk
, 修改 chunk->size = 0x41 and chunk->fd = 0x71malloc(0x30)
,此时 main_arean->fastbinY 中会有一项 的 值 为 p64(0x71)- 再次
free(p3)
,malloc(0x110)
,修改 p2 chunk, chunk->size = 0x71 free(p2)
, 此时p2
的chunk
进入0x70
的fastbin
free(p3)
,malloc(0x110)
,修改p2 chunk
, 设置chunk->size = 0x71 and chunk->fd = 0x40 fastbinY 的地址附近- 分配两次
0x70
的chunk
, 可以修改 main_arean->top 为 __malloc_hook -0x10 (这里存的指针,值很大) - 然后使用
top chunk
进行分配, 就可以拿到__malloc_hook
Fastbin dup+ Fastbin Attack
在把释放的块放进fastbin
时,会检测也 只检测 当前 free 的 chunk 和 fastbin 第一项 是否相同 , 如果相同则报 double free
的错误。
- 首先 分配
2
个0x70
的chunk , p0, p1
- 释放
p0
,p0
进入0x70
大小的fastbin
, 此时p0
为第一项 - 释放
p1
,p1
进入0x70
大小的fastbin
, 此时p1
为第一项, p1->fd = p0 - 再次释放
p0
, 此时p1
为fastbin
的 第一项,不会报错,p0
进入fastbin
, 此时p0
为第一项 - 分配
0x70
的chunk p2
, p2==p0, 设置 p2->fd = __malloc_hook - 0x23,其实就是修改 p0->fd - 此时 __malloc_hook - 0x23 成为 0x70 fastbin 的第 3 项
- 分配三个 0x70 的 chunk p3, p4, p5, p5==__malloc_hook - 0x13
- 通过
p5
修改__malloc_hook
修改 __free_hook
因为 free_hook
上方很大一块空间都是 \x00
, 所以使用 fastbin attack
直接来修改它基本不可能,可以迂回一下,在 free_hook-0xb58
位置会存一些指针,我们通过 fastbin attack
修改 main_arean->top
, 到这里然后多用 top_chunk
分配几次,就可以分配到 free_hook
, 然后该 free_hook
为 system
。
Fastbin dup + Fastbin Attack 修改 main_arean->top
- 首先利用
Fastbin dup
我们可以拿到实现修改fastbin
中的块的fd
- 由于在
fastbin
中 如果为空,其在main_arean->fastbinY
里面对应的值为0x0
, 而堆的地址基本 是0x5x
开头的(其在内存就是xx xx..... 5x
), 此时如果在main_arean->fastbinY
的 相邻项为0x0
, 就会出现5x 00 00 00...
, 所以就可以出现0x000000000000005x
,可以把它作为fastbin
的size
进行fastbin attack
,不过作为 fastbin attack 的 size 不能 为 0x55 - 然后我们就可以修改
main_arean->top
为free_hook-0xb58
- 之后多分配几次, 既可以分配到
free_hook
- 改
free_hook
为system
free
掉一个 内容为/bin/sh\x00
的块
修改 _IO_FILE_plus 结构体 的 vtable
在 libc 2.24
以下可修改 _IO_FILE_plus
的 vtable
指针到我们可控的位置,进行虚表的伪造。
off by one
原理
在一些情况下我们可以往指定的 buf
中多写入 1
个字节的数据 ,这就是 off by one
. 这种情况下可以进行利用的原因在于 调用 malloc
分配内存是要 对齐的, 64 位 0x10 字节对齐, 32 位 8 字节对齐,下面均以64位进行说明。如果 malloc(0x28) 则会分配 0x30
字节的 chunk, 除去 0x10 的首部, 我们有 0x20 然后加上下一个 chunk 的 pre_size ,我们就有 0x28 了, 我们知道 pre_size
后面紧跟着就是 size
,所以利用 off by one
可以 修改 下一个 chunk
的 size
字段,同时 在 glibc 中的内存管理 非常依赖这个 size 字段,所以我们可以利用它做一些有趣的事情。
所以当程序中有类似这种不对齐的分配, 就要小心 off by one
利用
普通off by one
在这种情况下,溢出的那个字节不受限制,此时的利用思路就是,多分配几个 chunk
,然后利用第一个来溢出修改第二个 chunk
的 size
(改大), 然后 free(chunk_2)
, 就可以 overlap chunk 3
, 要非常注意 in_used 位的设置
溢出 used 状态的 chunk
在 free
时可以获得包含 chunk
的 unsorted bin
溢出 free 状态的 chunk
因为malloc
再分配内存时 不会校验 unsorted bin
的 size
是否被修改
Glibc_Adventures-The_Forgotten_Chunks
基于 0ctf 2018 babyheap
信息泄露
- 首先malloc 4 个 chunk, malloc(0x18)
|
|
- 然后在 chunk 0 溢出一个字节,修改 chunk 1 的 size 位 为 0x91 (原来应该为 0x41),这样一来 通过
chunk 1
索引到的 下一个chunk
就是 p + 0x90 = chunk 3 (设p
为chunk 1
的地址)
- 此时 释放
chunk 1
,libc
会根据下一个chunk
(这里也就是 chunk3) 的pre_inused
位来检查是否double free
, 由于chunk2
原来并没有被释放,所以pre_inused =1
,于是可以过掉检查, 此时得到一个0x90
的unsorted bin
, 同时chunk2
在 这个unsorted bin
里面, overlap chunk 2 - 此时再次
malloc(0x38)
, 会使用unsorted bin
进行切割, 所以 在chunk 2
的 fd, bk 处会写入 main_arean 的 地址, 打印chunk 2
的内容就可以leak libc
漏洞利用
其实可以 overlap chunk
了,就相当于获得了 堆溢出
的能力,我们可以任意修改 chunk
的数据,此时可以使用 unlink
, unsorted bin attack
, fastbin attack
。 没有限制内存分配的大小,使用 fastbin attack
即可
unlink
这种情况下的 unlink
应该比较简单,在当前 chunk
伪造好 fd, bk
然后利用 off by one
修改 下一个 chunk
的 pre_size
(由于不对齐的分配,这个区域其实属于当前 chunk ) 和 size
的 pre_inused
为 0
, 然后 free
掉下面那个 chunk
,就可以触发 unlink
了
off by null
在这种情况下,我们只能溢出 \x00
字节, 所以会把 size
变小 同时 inused
位 会被设置为 0
unlink
B + 0x100
处要设置好 p64(xxx) + p64(0x41)
关键是 pre_inused 位 , free
的时候会检测这个位
shrink free chunk size
布局过程
- 首先分配
3
个chunk (A B D)
, 大小分别为0x110 , 0x210, 0x110
- 然后 释放
B
, 此时 D->pre_inused = 0 and D->pre_size = 0x210 - 修改
B+0x200
处 为p64(0x200)
,绕过新版 libc 的 chunksize(P) != prev_size (next_chunk(P)) 检查
- 然后分配两个
chunk (P, K)
, 大小为0x110, 0x90
- 释放掉
P
, 此时P
会进入unsorted bin
, fd, bk 是有效的 , 原因是 后面合并 D 时需要 unlink - 释放
D
, 发现D->pre_inused=0
, 说明前一个chunk
已经free
, 需要合并。 根据pre_size
找到P
, 然后unlink(P)
合并得到一个0x330
的unsorted bin
, 此时K
位于unsorted bin
内部, overlap chunk done
布局过程中的一些 tips
在第三步 ,释放 B 之前把
B+0x200
处 设置p64(0x200)
, 因为新版的libc
会检验chunksize(P) != prev_size (next_chunk(P))
off by null
缩小B
以后,分配P
其大小不能再fastbin
的范围内,后面释放D
需要向前合并,会进行unlink
操作,所以大小 大于fastbin
,free(P)
后P
会进入unsorted bin
,此时他的fd
,bk
都是正常的,正常unlink
。
参考
how2heap
修改 pre_inused + 向前合并
方案一
- 首先分配
4
个chunk (A B C D)
, 大小分别为0x100, 0x100, 0x100, 0x80
. 最后那个用于防止top_chunk
合并 - 然后释放
A
, 此时A
进入unsorted bin
, 生成了有效的FD
和BK
,为了可以在后面的融合中成功 unlink - 然后利用
off by null
, 设置 C 的 pre_size 和 pre_inused 。 - 释放
C
, 系统 根据 C 的 pre_size 找到 A 进行合并,首先unlink(A)
因为A
已经在unsorted bin
,不会出错,然后就会有一个0x300
的unsorted bin
, 此时B
位于 该unsorted bin
的 中间
方案二
如果程序限制只能在触发 off by null
之后才能 释放 A
,需要在 A
和 B
之间多分配一个内存块 x(0x20), 原因是 触发 off by null
后 B
被标识已经 free , 那么此时再 释放 A
就会对 B
进行 unlink
,此时 B
中 fd
和 bk
是过不了 检查的(B已经分配,并已经被用来进行 off by null ) 。
总结
对于堆相关的漏洞,不论是 堆溢出,double free, off by one ,uaf 等其最终目的都是为了修改 chunk
的一些管理结构 比如 fd,bk
, 然后在后续的堆管理程序处理中实现我们的目的(代码执行)。
堆溢出
直接可以修改 下一个 chunk
的 元数据 ,然后就是 unsorteb bin attack
, fastbin attack
等攻击手法了
double free
利用一些内存布局,可以实现 overlap chunk
,最后也是实现了 可以修改 chunk
的元数据
off by one
类似于 double free
,实现 overlap chunk
然后改 chunk
元数据
本站文章均原创, 转载注明来源
本文链接:http://blog.hac425.top/2018/04/23/pwn-with-glbc-heap.html