house_of_force
House Of Force 是一种堆利用方法,如果一个堆 (heap based) 漏洞想要通过 House Of Force 方法进行利用,需要以下条件:
- 能够以溢出等方式控制到 top chunk 的 size 域
- 能够自由地控制堆分配尺寸的大小
产生原因
glibc中如果进行堆块分配的时候,如果所有空闲块都无法满足需求,那么就会从top chunk中分割出相应的大小作为堆块空间。
但是当top chunck分配堆块的size值可以由用户控制的时候,top chunk就可以指向我们期望的任何位置,可以实现一次任意地址写。
大小验证绕过
但是在glibc中,程序会对用户请求的大小和top chunk现有的size进行验证。
// 获取当前的top chunk,并计算其对应的大小
victim = av->top;
size = chunksize(victim);
// 如果在分割之后,其大小仍然满足 chunk 的最小大小,那么就可以直接进行分割。
if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE))
{
remainder_size = size - nb;
remainder = chunk_at_offset(victim, nb);
av->top = remainder;
set_head(victim, nb | PREV_INUSE |
(av != &main_arena ? NON_MAIN_ARENA : 0));
set_head(remainder, remainder_size | PREV_INUSE);
check_malloced_chunk(av, victim, nb);
void *p = chunk2mem(victim);
alloc_perturb(p, bytes);
return p;
}
上面的内容很好绕过,其被check的原因主要是因为top chunk内容不够大了,我们只需要篡改size的时候使其为很大值便可以绕过这个验证。
一般的做法是讲top chunk的size改为负数,例如-1.因为在比较时,会将size转换成无符号数进行比较,如果size是-1,那么无论任何时间都可以通过验证。
(unsigned long) (size) >= (unsigned long) (nb + MINSIZE)
实现任意写
完成上面的大小验证绕过后,可以通过一个top指针的更新,实现任意地址写。
remainder = chunk_at_offset(victim, nb);
av->top = remainder;
/* Treat space at ptr + offset as a chunk */
#define chunk_at_offset(p, s) ((mchunkptr)(((char *) (p)) + (s)))
top_chunk的size更新
上面进行修改的同时,topchunk的size也会更新:
victim = av->top;
size = chunksize(victim);
remainder_size = size - nb;
set_head(remainder, remainder_size | PREV_INUSE);
如果我们想要下次在指定位置分配大小为 x 的 chunk,我们需要确保 remainder_size 不小于 x+ MINSIZE。
使用方法
通过其他漏洞去成功修改topchunk的size位,之后去malloc一个大小,使之能够出发topchunk的机制,并且这个大小可以使之更新后能够指向我们目标的地址(可以为大整数向上抬高、也可以为负数向下推),为了我们下一次malloc能够在我们指定的目标地址进行操作,从而实现任意写。