一、Double Free
- 双重释放,程序对同一个指针指向的内存重复释放
free()
了两次。
利用原理
Linux下堆分配器ptmalloc2主要由两个结构管理堆内存,一种是堆块头部形成的隐式链表(chunk结构内的隐式指向),另一种是管理空闲堆块的显式链表(Glibc中的bins数据结构)。
free函数在释放堆块时,会通过隐式链表判断相邻前、后堆块是否为空闲堆块;如果堆块为空闲就会进行合并,然后利用Unlink机制将该空闲堆块从Unsorted bin中取下。
unlink就是把一个双向链表中的空闲块拿出来,然后与相邻的free chunk进行合并(通过修改chunk块的相应字段,可以向前合并也可以向后合并)。
unlink过程:现将需要合并的空间块拿出来,然后修改前一个chunk的size等字段。
unlink攻击技术就是利用”glibc malloc”的内存回收机制(重点就是利用unlink函数),将当前释放内存块的next内存块给unlink掉,并且,在unlink的过程中使用shellcode地址覆盖掉free函数(或其他函数也行)的GOT表项。这样当程序后续调用free函数的时候,就转而执行我们的shellcode了。
如果一个攻击者精心构造输入数据并通过strcpy覆盖当前释放内存块的相邻内存块(使得调用free函数时,free函数的地址变为shellcode的地址,转而执行shellcode)
Linux free函数原理:由堆块头部形成的隐式链表可知,一个需释放堆块相邻的堆块有两个:前一个块(由当前块头指针加pre_size确定),后一个块(由当前块头指针加size确定)。从而,在合并堆块时会存在两种情况:向后合并、向前合并。当前一个块和当前块合并时,叫做向后合并。当后一个块和当前块合并时,叫做向前合并。
Double Free的利用关键是要通过第2次的free动作制造出一个unlink的结果,这里采用的方法是通过在第2次的free动作前伪造即将进行第2次free动作的堆块的相邻(前一个)的堆块为空闲堆块,这样再进行第2次free动作时就会制造出两个空闲堆块合并而产生一个堆块的unlink,而一个unlink对应一次DWORD SHOOT,由此看出无论是怎么变化,关键是要出现unlink,而free对应link,这里在free(第2次p的free)后先unlink再link,所以free是有机会产生unlik的,只要这个free的堆块旁边有空闲的堆块。
利用过程举例:Double Free漏洞