The malloc maleficarum之The House of Force漏洞

最新推荐文章于 2022-06-23 10:51:54 发布
最新推荐文章于 2022-06-23 10:51:54 发布
阅读量905 收藏
点赞数 2
分类专栏: 堆漏洞挖掘 文章标签: The House of Force
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41453285/article/details/99175608
版权

一、The malloc maleficarum的历史由来

  • 从2004年末开始,glibc malloc变得更可靠了。之后,类似unlink的技巧已经废弃,攻击者没有线索。但是在2005年末,Phantasmal Phatasmagoria带来了一些其他技巧,用于成功利用堆溢出

二、The malloc maleficarum的内容

  • 虽然The malloc maleficarum技术最初包含5个内容,但是由于glib 2.23源码的发布,下面有些技术已经废弃了,不能够再使用了
    • The House of Prime(废弃)。
    • The House of Mind(废弃)。
    • The House of Force。
    • The House of Lore(废弃)。
    • The House of Spirit。

三、漏洞原理

  • 攻击者通过堆溢出或者其他方式,控制到topchunk的size成员,这样我们就可以使topchunk的地址超出正常的堆段的地址,这样我们就可以控制到超出堆段之外的内存。

四、漏洞实现

  • ①通过堆溢出或其他方式,控制到topchunk的size成员。
  • ②将topchunk的size成员变为一个非常大的数,这样topchunk就会超出内存中的堆段,从而访问到其他段的内存地址(got表的地址)。
  • ③此时通过malloc申请内存的时候,申请的就是got的内存地址,就可以更改got内存的内容。

五、虚拟机逃逸技术

  • 原理:我们在Windows主机中安装VMTools等软件,然后在软件中开启一个虚拟机。在虚拟机中书写一个程序,程序中包含The House of Force漏洞,因为VMTools原本就是在Windows主机的内存中开辟的一块内存空间,所以我们就可以利用虚拟机中程序的The House of Force漏洞,越界访问到VMTools之外的Windows主机的内存,从而可以控制内存的内容(例如开启一个计算器程序或者开启一个shell)。

六、演示案例

#include<stdio.h>
#include<malloc.h>
#include<unistd.h>
#include<string.h>
int main(){
    long *p = malloc(0x10); //第一步
    sleep(0);  //只为了程序打断点使用
	
    *(p+0x3) = -1; //第二步
    sleep(0);
	
    malloc(-4120); //第三步
    sleep(0);

    void *q = malloc(0x10); //第四步
    sleep(0);

    strcpy(q,"aaaaaaaa");  //第五步
    sleep(0);

    malloc(0); //第六步
    sleep(0);
	
    return 0;
}

第一步

  • 申请一个堆块,用p指针接收,p指向此堆块的fd成员。此时堆中只有p这个chunk和topchunk两个chunk。

第二步

  • 将p+0x3位置处的地址赋值-1,也就是将topchunk的size成员赋值为-1(因为p为long类型,在64位系统下为8字节,且chunk的成员也为8字节,又因为p不是largechunk,所以chunk的fd_nextsize和bk_nextsize成员没有被使用。因此p+0x3就是topchunk的size成员的地址)。
  • 为什么要设置为-1:malloc的参数在进入_lib_malloc函数的时候会被转换为无符号整数,那么topchunk的size成员就会变为整数中的最大值(0xffffffffffffffff),此时topchunk能够操控的地址范围就会非常大,并且已经超出了原本堆段的地址。

  • 当我们再去用heap查看topchunk的时候就看不到了,但是我们可以使用x命令查看内存,查看topchunk的结构(可以看到topchunk的size成员的值此时为0xffffffffffffffff)。

第三步

  • 此时我们通过malloc函数申请一个-4120的堆空间,同理,-4120也会被_lib_malloc函数转换为一个很大的正数,因此此处是向topchunk申请一个很大的堆空间。
  • 此时通过heap查看,可以看到一个很大的堆空间(0x601010),这个就是我们malloc出来的。并且fd指针此时指向于glibc中got表的_lib_malloc函数的位置,bk指针此时指向于got表中sleep函数的位置。

  • 通过vmmap查看可以看到,此时我们malloc的堆块是处于数据段的(造成堆溢出了)。

第四步

  • 此时我们再去malloc的时候,就是在got的内存地址处申请内存了,下图中可以看到0x601010这就是我们malloc的堆块。
  • 可以看到fd指向于_lib_malloc函数地址,bk成员指向于got中一个sleep函数地址。

第五步

  • 从第四步中可以看到,我们已经在got中申请到一个堆块,并且fd和bk成员都指向于got表的相关函数,那么此时我们就可以修改fd和bk成员,使其指向于另一个system的got函数,或者指向于one_gadget地址来起一个shell。
  • 但是此案例中我们只是向q中写入一个字符串,由于q指向于fd成员,且fd成员为glibc中_lib_malloc函数的地址,所以此处就是将got表中原本存放_lib_malloc函数地址的内容给改了,改为一串字符串了。
  • 通过heap的时候可以看到fd和bk都被修改了。

  • 查看这个堆块的内存。

第六步

  • 由于上面我们将got表中原本存放_lib_malloc函数地址的内容被改为一串字符串了,所以当我们再去malloc的时候,跳转到got表中的地址发现地址内容被修改了,于是就不能进行malloc,报错止终止。

  • 我是小董,V公众点击"笔记白嫖"解锁更多【堆漏洞挖掘】资料内容。

董哥的黑板报
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
漏洞挖掘工具-CE(Cheat Engine) 简介
Jamia
05-21 3296
CE 简介 CE 介绍 Cheat Engine是一款专注于游戏的修改器。它可以用来扫描游戏中的内存,并允许修改它们。它还附带了调试器、反汇编器、汇编器、变速器、作弊器生成、Direct3D操作工具、系统检查工具等。 CE 功能 内存扫描是Cheat Engine的最主要功能之一,它可以扫描指定数值的内存地址,通过修改这些数值来达到修改游戏数据的目的,从而达到诸如无限生命、时间或弹药等优势。 Cheat Engine是国外的一款非常优秀的内存修改软件,用这个软件的游戏爱好者不计其数,他不但可以修改Flas
pb_buffer_malloc.rar_The Store_malloc
09-14
Implementation of malloc-based buffers to store data that can t be processed by the hardware.
The malloc maleficarum之The House of Spirit漏洞
董哥的黑板报
08-11 977
一、漏洞原理 通过free技术来达到任意地址读写的目的。技术中利用free函数来释放一个原本属于栈中的一块地址,将地址free到堆的bin链中,然后实现对栈地址的读写 二、漏洞实现 ①使用技术在栈上伪造堆块(此时的内存仍然是栈上的) ②对伪造堆块进行free,free之后伪造堆块被放入bins链中 ③malloc申请该伪造堆块,从而达到对目的地址的读写 三、注意事项 伪造堆块: 由于...
漏洞挖掘篇(基础)
m0_57929980的博客
06-22 1万+
漏洞挖掘篇(基础):介绍漏洞挖掘的方法,包括:符号执行、污点分析等,主要讲解词法分析、数据流分析、模糊测试的原理和使用,补充AFL模糊测试框架部分内容。
漏洞挖掘篇(进阶·下)
m0_57929980的博客
06-23 1380
漏洞挖掘篇(进阶·下):介绍符号执行技术、污点传播分析技术
漏洞挖掘:23---The malloc maleficarum
董哥的黑板报
08-11 825
一、The malloc maleficarum的历史由来 从2004年末开始,glibc malloc变得更可靠了。之后,类似unlink的技巧已经废弃,攻击者没有线索。但是在2005年末,Phantasmal Phatasmagoria带来了一些其他技巧,用于成功利用堆溢出 二、The malloc maleficarum的内容 虽然The malloc maleficarum技术最初包含...
sym_malloc.rar_The Family
09-24
Device driver for the SYMBIOS/LSILOGIC 53C8XX and 53C1010 family of PCI-SCSI IO processors.
C语言基础之malloc和free函数详解
08-30
主要介绍了C语言基础之malloc和free函数详解的相关资料,需要的朋友可以参考下
VAr4_OS.rar_The Work
09-24
program that implements the work of the semaphore, malloc. m.lock i m.inlock
pwn工具箱之house of force
jmp esp
07-03 940
house of force基本信息 利用类型:堆利用 堆利用类型:top chunk相关 利用思想:通过修改top chunk大小,使得分配任意大小都是从top chunk里边切出来,这样分配一个大小占满想要写的位置和当前分配位置top chunk的差,下一个分配就可以分配出想要写的位置 利用难点 需要有办法能够更改到top chunk大小 需要能够知道当前位置和要写位置的差值 需要能够自由控制将
PWN学习之house of系列
qq_41071646的博客
08-09 1335
最近 在wiki学习了 house of 这些东西 但是一直都没有找到联系的地方, 然后 在一篇博客上发现了上面有讲东西并且练习题 很好 所以我就拿来联系了一把 并且记录一下 大概思路 house of spirit 这个wiki上好像没有 但是利用方法其实还是差不多的 这个主要就是 fastbin的利用 伪造一个堆块 然后让 free到这个堆块 让 伪造堆块进入...
Linux (x86) Exploit 开发系列教程之十 使用 Malloc Maleficarum 的堆溢出
热门推荐
龙哥盟
05-02 3万+
使用 Malloc Maleficarum 的堆溢出 译者:飞龙 原文:Heap overflow using Malloc Maleficarum 预备条件: 理解 glibc malloc 从 2004 年末开始,glibc malloc 变得更可靠了。之后,类似 unlink 的技巧已经废弃,攻击者没有线索。但是在 2005 年末,Phantasmal Phatasmagoria
漏洞挖掘——多线程中的堆内存结构
董哥的黑板报
07-29 1123
一、主线程的堆内存结构 当程序只有一个线程(主线程)时,程序申请的堆是在堆区的(heap) 如果通过查看内存段信息:如果heap与程序的data段相邻,则堆块是有brk系统调用获得的,否则是由mmap系统调用申请的(mmap不与data段相邻) 演示案例 #include <unsitd.h> #include <malloc.h> int main() { ...
什么是堆漏洞挖掘?堆的glibc实现、Arena(main_arena、thread_arena)
董哥的黑板报
07-22 3065
一、什么是堆 在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存 堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长 我们一般成管理堆的那部分程序为堆管理器 堆管理器处于用户程序与内核中间,主要做以下工作 malloc free 二、堆的历史 Linux早期的堆分配与回收由Doug Lea实现,但它在并行处理多个线程时,会共享进程的堆内存空间...
从wiki 重新打基础之 House Of Force
qq_41071646的博客
08-05 391
这次的暑假集训 感觉学到的东西还是比较可以的, 然后 大概是 16号左右是集训结束 本来的想法呢 是 看看mips 的 东西 但是发现 其实 那里的东西大部分还是栈溢出 然后感觉还是要老老实实的打基础 看看什么时候 (大概是 集训结束 ) 在看看那些东西 现在 先把基础打好,, 这个 House Of Force 刷CTF的时候遇到的 还真的不多 好像基本都没有怎么遇到过这类题目 这个...
漏洞挖掘Libfuzz-workshop学习指南(一)
SHELLCODE_8BIT的博客
09-25 1340
该系列课程我们将跟随libfuzzer-workshop来学习libfuzz这个fuzz框架。该系列一共有12课,其列表如下: 1.介绍fuzz测试 2.传统Fuzz技术案例 3.代码覆盖率fuzz 4.写fuzzers 5.发现Heartbleed漏洞 (CVE-2014-0160) 6.发现c-ares漏洞(CVE-2016-5180) 7.如何提高fuzzer效率 8.fuzz libxml2,学习如何提高fuzzer和分析性能 9.fuzz libpng,学习语料库种子的重要性 10.fuzz r
the House of Force技术简单分析
小强的博客
08-09 799
实例代码如下: #include #include #include int main(int argc, char *argv[]) { char *buf1, *buf2, *buf3; if (argc != 4) return; buf1 = malloc(256); strcpy(buf1, argv[1]); buf2 = malloc(strtoul(argv[2]
漏洞挖掘分析技术总结
weixin_30568591的博客
03-22 995
漏洞挖掘分析技术有多种,只应用一种漏洞挖掘技术,是很难完成分析工作的,一般是将几种漏洞挖掘技术优化组合,寻求效率和质量的均衡。2.1.人工分析人工分析是一种灰盒分析技术。针对被分析目标程序,手工构造特殊输入条件,观察输出、目标状态变化等,获得漏洞的分析技术。输入包括有效的和无效的输入,输出包括正常输出和非正常输出。非正常输出是漏洞出现的前提,或者就是目标程序的漏洞。非正常目标状态的变化也是发现漏洞...
转载2005 Malloc Maleficarum(待翻译)
jmp esp
12-19 635
Date: Tue, 11 Oct 2005 10:14:02 -0700 From: Phantasmal Phantasmagoria <[email protected]> To: [email protected] Subject: The Malloc Maleficarum-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1[---
guidelines for the use of the c++ language in critical systems
最新发布
07-30
避免内存泄漏或者访问已释放的内存,可以使用动态内存分配函数时,确保正确使用malloc和free函数。 3. 异常处理:在关键系统中,必须仔细处理各种异常情况,并及时采取对应的措施。使用try-catch语句块可以捕获异常...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

董哥的黑板报

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值