linux应用程序堆,从零开始的Linux堆利用(一)

最新推荐文章于 2022-06-25 10:46:55 发布
最新推荐文章于 2022-06-25 10:46:55 发布
阅读量509 收藏 1
点赞数
文章标签: linux应用程序堆

感觉栈相关简单的漏洞基本原理学的差不多了,准备学一学堆相关的;

这个主要是学习Linux Heap Exploitation时的笔记,具体的课可以去Udemy上看,感觉讲的蛮不错的;

然后内容都是自己的博客,原文在https://hack1s.fun/,欢迎大家去看

introduction

Glibc

ldd是list dymic dependencies,可以显示出二进制程序运行时需要加载的动态链接库

libc是linux中最基本的动态链接库,绝大多数程序都需要用到libc,如果删除libc的链接,关机都会关不掉;

malloc

堆是程序在执行中可以使用malloc向内核请求一段连续的内存空间;

I/O、文件读写等等都是通过堆来实现的;

堆与malloc

首先需要对堆有一个基本的理解,堆通过malloc分配chunk,通过free来释放chunk

首先是一个demo例子用于理解堆

在pwndbg中执行

set context-sections code

这样可以让之后每一次显示context只显示源代码部分

7ae2098f7eeec4829a97ad14143349fa.png

这个程序主要做的事情就是调用了几次malloc,之后return

vmmap可以显示出进程当前的内存空间,在这一句malloc还没有执行的时候,程序内存空间不存在堆的区域

ee2507bd059fbc8c4f66bf6a7b431585.png

当第一次malloc执行之后,查看vmmap会发现多出来了一个堆的空间

e9f4a222cedef8bd94943366c36b1269.png

在pwndbg中的命令vis_heap_chunk简写为vis可以查看堆的chunk分布

d6f9bf02d62acb6a262265966dd7c9c5.png

我们虽然是执行了malloc(9),申请了9的空间,但是实际上给了我们3*8=24字节的空间(蓝色部分的第一个8字节是头部,不是用户可以用的)

也就是说malloc(9)分配给了24字节的user data以及8个字节的meta data,这个chunk一共占了32字节;

malloc分配的最小chunk就是这样0x20的大小,即24字节的user data和8个字节的meta data

即使执行的是malloc(0)、malloc(1)仍然会分配一个0x20大小的chunk

bedb0503574d889ac19cb7661330ad8f.png

图中几个chunk分别是malloc(9)、malloc(1)、malloc(0)、malloc(24)分配的;

可以看到实际上内容都是一样的占了0x20字节;

但是也可以注意到,其中meta data部分并不是存储了0x20,而是0x21;

这是因为meta data这里两个字段,一是chunk size,表示整个chunk(包含user和meta两部分)的大小,另外由于chunk分配时是按照16字节对齐的,最低位就可以用来表示其他信息;这个字段就是previous_inuse,用来表示这一个chunk相邻的前一个chunk是否是在使用的状态,如果是就为1,否则为0;

下面如果继续执行malloc(25)会分配一个0x30的空间

864dada80ecdeef3dab96b0c0787296b.png

虽然最后16个字节只用到了1个字节,但还是按照16字节对齐进行分配的。

最后就是Top chunk,可以看到在我们自己申请的Chunk之后有一个Top Chunk的meta data;

并且随着一次次的申请新的堆空间,这个Top Chunk的大小会发生变化。

这是因为内核在分配堆的内存空间时是创建一块大的Top Chunk,每一次用户执行的malloc就是压缩top chunk分配给用户,直到Top Chunk的空间不足以分配,就会再向下拓展Top Chunk

919b4df5dd71199c4c26f818379c1e64.png

在Top Chunk中有一个值得注意的地方是,在Glibc的很多版本中,Top Chunk的Size字段都是没有完整性检查的,这就是The House of Force的基本原理

在2005年,第一次出现了一篇名为The Malloc Maleficarum的论文,其中写了5种堆利用的技巧;

Houses of Prime

Houses of Mind

Houses of Force

Houses of Lore

Houses of Spirit

从此之后的堆利用技巧也因此都叫"house of  XX"这样的形式

House of Force

原理

house of force的原理就是前面提到的,没有对Top Chunk的size字段进行完整性检查;

这导致在分配了一个比较小的chunk后,如果输入的内容大于chunk的大小,进而溢出到top chunk的size 字段,就可以伪造控制top chunk的大小;

之后再一次使用malloc分配chunk,可以达到一个任意地址写的效果,运用得当也可以实现RCE的效果;

漏洞程序本身

程序本身是一个类似CTF中堆题的结构

82cdba24dd9a907cff0518a78dcce206.png

为了方便学习漏洞本身,程序运行前输出了puts的地址以及heap开始的地址

选项1是malloc,之后可以输入要申请的大小以及输入的内容

例如上面申请了24,但是输入了24个a以及7个b最后和一个\n

这是我们后回到pwndbg,可以用vis看到现在的堆

09afbba4e9f9c7356d4bcd4844165cde.png

可以看到由于溢出了7个字节的b和1个字节的\x0a,top chunk处的size已经被覆盖了。

在GDB中使用vmmap libc可以查看程序调用的libc信息

这个程序由于增加了Runpath,连接的是特定的libc

8517b5305371670f092747bcfe3e1089.png

这里使用的是没有开启tcache的程序,但是实际上house of force是可以在tcache存在的libc使用的;

这里使用这样没有开启tcache的libc是为了在还没有学过tcache机制的情况下就可以了解如何使用这个漏洞利用方式

任意地址写

程序的第二个选项可以输出一个变量target

正常来说这个变量的值是一串X

cb92a622d4f8d1875f9be45c4de05e0b.png

在pwndbg中可以使用dq &target以四个字为单位查看这个变量附近的值

cf727520f16e353f78985d20c4cc5cbc.png

dq的全称是dump qwords,另外也有类似的dw、dd、db

堆起始地址是0x603000,但是可以看到这里其实target的位置是在堆的上方的0x602010

使用malloc只能继续往高地址申请空间,没有办法摸到target

所以我们需要溢出top chunk

这边由于虚拟机的环境有写问题,换了一台虚拟机

首先申请24的空间,然后输入b"Y"*24+b"\xff"*8

这样可以把top chunk覆盖为0xffffffff,在python脚本里面用gdb调试

这里给出的脚本中有几个函数是可以直接辅助在VIM中运行的,在vim输入

:!./% GDB

这个功能的实现是通过这一块代码

gs = '''

continue

'''

def start():

if args.GDB:

return gdb.debug(elf.path,gdbscript=gs)

else:

return process(elf.path)

相当于直接启动GDB附加这个程序,使用vis看到

58a4883917eba16398b6b61f3e67bdaa.png

top chunk已经是全f了

第二步就是申请一个特别大的chunk,正好到target前面一点点的位置;

这个程序前面输出了heap的地址,在pwntools中读取之后,计算差值

需要分配的是(0xffffffff-0x603000)+0x602010-0x20-0x20这么大的内容

malloc之后用vis查看

49e74609a23e1deb7926ec4ce079c0cd.png

可以看到这时正好在0x602010上方

这之后再malloc申请内存覆盖的就是target的地方,再申请20的空间,在里面随便输入一些内容

发现vis后0x602010处的值就已经不再是XXXXXX了

91f2a37d0be229dbdf7769bb3a961bfd.png

在菜单里面输出target发现值也变了

ed88350a603d838de72b34b89b044571.png

这就实现了一个任意地址写的效果

任意代码执行

通过一个任意地址写转换成代码执行的利用有这样几个思路:

修改栈,但是这个程序中栈采用了ASLR;

修改Binary段,修改PLT中的项或修改fini_array,程序中的每一个函数在退出时会运行这个fini_array中的,但是这个程序开启了full-RELRO,在binary加载完成之后原本的二进制区段会变成只读,无法对其进行修改;

修改堆,但是这个程序中除了我们自己的数据,没有影响控制流的数据,所以没用;

修改libc,__exit_funcs、tls_dtors_list这两个指针会在特定情况下调用,比较类似于PLT,但是都被指针完整性保护,并且在这个程序中没有可以触发的地方,所以难以实现;

修改__malloc_hook,在GLIBC中的数据段,修改__malloc_hook可以使程序在调用malloc时调用这里被修改的函数;

这里面修改__malloc_hook是可行的,我们首先将top chunk溢出为全f

之后申请一个空间,从堆中目前top chunk所在的位置到libc的__malloc_hook这么长;

由于libc的区段在堆的下面,不需要像获取任意地址写那样滚一圈内存空间了;

distance = libc.sym.__malloc_hook - 0x20 - (heap + 0x20)

调试的时候使用:!./% GDB NOASLR暂时关掉ASLR

分配之后查看__malloc_hook的位置

6a3f9aa661bef0b7cfda5bd97eafa622.png

由于分配时减了0x20,这里看一下__malloc_hook - 2

c22249d15edd0c43ec2415f60b2fe024.png

运行top_chunk看到top_chunk的位置就在这上方

b8792261e5cfcb677954c08c061c547c.png

所以我们接下来再用malloc申请一段空间,将__malloc_hook这里的函数指针修改为指向system函数的地址

libc.sym['system']

这时用p __malloc_hook看一下可以发现这个函数指针已经变成了__ libc_system

351ee4eb22c98b3a1bfe8c30bd8735f7.png

下面就是想办法执行system("/bin/bash")

由于system的参数是一个指向字符串的指针,我们可以在前面几轮malloc填充数据时就直接填充/bin/bash在这里填写当时分配出来的地址

ebb139b05843a445b4cfb5a2eaad5510.png

比如把第二轮的malloc中填充的字符串改成/bin/bash

这样最后调用时要填写的字符串地址就是最初的heap+0x30

这次再执行就不需要后面的GDB NOASLR了,直接运行就可以拿到shell

97680d9263a3222ab58f000b2aae65fe.png

总结一下,这里的house_of_force只对2.28以下的GLIBC有效,再新的GLIBC就增加了top chunk的完整性保护了;

老笨Siva
关注
探索Linux从零开始,成为Linux大神的终极指南(一)
凛鼕将至的博客
05-04 1241
Linux的历史可以追溯到1991年,当时芬兰学生莱纳斯·托瓦兹(Linus Torvalds)在赫尔辛基大学使用了一台名为Minix的小型UNIX操作系统。然而,他对Minix的限制感到不满意,并决定自己开发一个新的操作系统内核。托瓦兹开始编写自己的操作系统内核,并在1991年将其命名为Linux,这个名字是由“Linus”和“UNIX”的结合词。他选择了GNU通用公共许可证(GPL)作为开源许可证,这意味着任何人都可以自由地使用、修改和重新发布Linux内核。
linux 利用
sky123博客
02-18 5075
利用 Unlink 假设正常情况下,每申请一个 chunk 会保存一个指向该 chunk 内存块的指针。 在 chunk1 中构造 fake chunk ,需要注意: 为了绕过 if (__builtin_expect(FD->bk != P || BK->fd != P, 0)) malloc_printerr(check_action, "corrupted double-linked list", P, AV); 令: fake
从零开始Linux利用(十三)——风水
weixin_43044226的博客
06-25 1090
这一节主要包含两个部分,高版本下的House of Rabbit以及风水在House of Rabbit中学习到了House of Rabbit的利用方式,这种利用思路通过修改fastbin的fd指针、触发将fastbin放入到unsortedbin、进一步修改fake chunk的大小使chunk放入到largebin进而得到任意地址的写能力。但是这里有一个前提就是之前的glibc版本比较低(2.25)在glibc 2.27中的函数中增加了对fastbin的size的检查 可以看到在之前检查了
Linux利用】Fastbin Double Free
、moddemod
06-16 471
Double Free是针对fastbin的攻击,字面意思就是重复释放内存,也就是两次free()同一块内存导致的漏洞。 由于fastbin的机制,在满足fastbin的chunk在被释放后它下一个chunk的P位不会被置为0,也就是说即使当前chunk被释放掉了,但是他的next_chunk的P为还依然为1(1表示前一个chunk正在使用中),但他却是已经被free()掉了,这样做的目的是为了防止chunk被合并(因为现实证明,就是程序通常会申请小内存块比较频繁,如果每次申请释放都重复分割合并,会导致性能
利用-house_of_force-top_chunk
qq_43390703的博客
11-14 373
house_of_force House Of Force 是一种利用方法,如果一个 (heap based) 漏洞想要通过 House Of Force 方法进行利用,需要以下条件: 能够以溢出等方式控制到 top chunk 的 size 域 能够自由地控制分配尺寸的大小 产生原因 glibc中如果进行块分配的时候,如果所有空闲块都无法满足需求,那么就会从top chunk中分割出相应的大小作为块空间。 但是当top chunck分配块的size值可以由用户控制的时候,top chu
Linux应用系统开发
06-12
3. **构建自定义Linux发行版**:学习如何从零开始构建自己的Linux发行版,包括选择内核版本、添加软件包等步骤。 通过以上内容的介绍,我们不仅了解了Linux应用系统开发的基础知识,还深入探讨了关键技术要点以及...
树莓派开始,玩转Linux.pdf,树莓派开始,玩转linux pdf,LINUX
09-10
这本书《树莓派开始,玩转Linux》将引导读者从零开始,逐步掌握树莓派的使用和Linux操作系统的精髓,无论是对个人项目还是专业开发,都将提供宝贵的指导。通过实践,你可以发掘出树莓派和Linux无限的可能性,开启你...
Linux应用编程-入门篇
06-18
Linux应用编程是IT领域中的一个重要分支,特别是在系统和网络运维以及软件开发中有着广泛的应用。本文将基于"Linux应用编程-入门篇"的标题和描述,...通过不断实践和学习,你将能够编写出高效、稳定的Linux应用程序
linux platform 驱动程序模版
最新发布
02-21
"linux platform 驱动程序模版"提供了一个基础框架,让开发者能够快速地为新的硬件设备编写驱动,而无需从零开始。 驱动程序是操作系统与硬件设备之间的桥梁,它们实现了操作系统内核对硬件功能的抽象和控制。Linux...
VMMap 可以用来分析应用程序使用虚拟和物理内存的情况
04-19
VMMap是一个免费的工具,可以用来分析应用程序使用虚拟和物理内存的情况。 VMMap对程序员是非常有用的。如果您在寻找免费的工具来理解和优化您的应用程序的内存使用量 ,那么你可以尝试VMMap。 除了内存使用图形来表示,VMMap也显示摘要信息和详细进程的内存映射。 强大的过滤和刷新功能允许您确定进程的内存使用情况和应用功能内存成本的来源。 除了为活动的进程,灵活的分析意见,VMMap支持多种形式,包括原生格式,可以保留所有的信息,以便您可以加载回英寸,还包括命令行选项,使脚本场景导出数据。 VMMap是为希望了解和优化他们的应用程序的内存资源使用开发人员的理想工具
Linux利用】House of Force
、moddemod
06-15 529
写在前面的话 其实我也是照葫芦画瓢(但学习本来就是这么一件事),首先基本的原理你的搞懂吧。具体参考CTF-WIKI,那个真的是说得非常清楚了!我也只是记录一下自己的学习笔记! 原理 首先House of Force这种利用方法,主要强调一点就是溢出,溢出到能够覆盖top chunk的大小,也即是size域!,这就是最基本的利用条件。 因为当我们每一次malloc(),其实都是在申请一块chunk,在物理结构上,因为我们现在能够申请的chunk的位置是在ptmalloc给我们分配的分配区里面,就在这个这个分
linux获取进程首地址,Linux内核设计与实现(13)--进程地址空间
weixin_33785291的博客
05-02 714
上一节讲了内核如何管理物理内存,其实内核除了管理本身的内存外,还必须管理用户空间中进程的内存,这就是进程地址空间,也就是系统中每个用户空间进程所看到的内存。Linux采用虚拟内存技术,系统中所有进程之间以虚拟方式共享内存,对一个进程而言,可以访问整个系统的所有物理内存,其拥有地址空间也可以远远大于系统物理内存。1.地址空间进程地址空间由进程可寻址的虚拟内存组成。每个进程都有一个32bit或64bi...
pwndbg部分命令用法搬运
segogt的博客
01-12 2959
搬运了官方文档上pwndbg的部分有用的命令,有些英文比较简单没写 pwndbg的命令 相关的命令 arena usage: arena [-h] [addr] Prints out the main arena or the arena at the specified by address.打印main arena特定地址的arena arenas usage: arenas [-h]...
PWN技巧之_IO_FILE文件结构体利用echo_from_your_heart
aptx4869_li的博客
02-15 738
PWN之_IO_FILE文件结构体利用echo from your heart
程序的栈是什么
sinat_31608641的博客
05-09 821
是在程序运行时,而不是在程序编译时,申请某个大小的内存空间,即动态分配内存。注意,这里的内存指的是虚拟内存,而不是实际的物理内存。虚拟内存需要经过内存管理单元(MMU)转换成物理内存。 而栈只是指一种使用的方法(即先进后出),即我们常说的一种类似线性表的数据结构。 栈的特性: 最后一个放入栈中的物体总是被最先拿出来, 这个特性通常称为后进先出(LIFO)队列。 栈中定义了一些操作。 两个最重要的是PUSH和POP。 PUSH操作在栈的顶部加入一 个元素。POP操作相反, 在栈顶部移去一个元
Linux下pwn从入门到放弃,pwn从入门到放弃第三章——gdb的基本使用教程
weixin_29338423的博客
05-14 1752
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?考完试了,来填坑gdb在做题中经常用到,熟练掌握gdb会事半功倍我们继续用第二章中的程序来讲解gdb的使用将程序直接拖进vmware中,因为我们下的vmware专用版本的kali,所以已经安装好vmware tool之类的,直接拖进去或者复制粘贴进去就可以了打开terminal,cd到Desktop先给程序加可执行权限,...
内存详解
dhpvukzt509573的博客
03-07 514
前一篇文章介绍了任务管理器中关于内存的两个重要概念:private和working set。但是内存远不止那么简单,下面我根据VMMap来详细介绍一下内存的分类。 内存是一个很复杂的系统,其中的paging file,sharable memory,reserve和commit等概念使得要算清楚一个进程到底使用了多少内存几乎成了不可能的事情了。 还好我们有VMMap这个工具,它用两个...
Linux如何释放栈的内存,Linux环境中栈和相关内存损坏的基本原理和调试方法介绍 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com...
weixin_34480323的博客
04-30 341
前言建议阅读本文之前,你对ARM组件的有个基本了解,本文会先为你介绍32位Linux环境中进程的内存布局,然后再介绍栈和相关内存损坏的基本原理以及调试方法。本文中使用的示例是在ARMv6 32位处理器上编译的,如果你无法访问ARM设备,可以点击这里https://azeria-labs.com/emulate-raspberry-pi-with-qemu/创建自己的实验环境并在虚拟机中模拟Ra...
[pwn]调试:gdb+pwndbg食用指南
热门推荐
Breeze的博客
12-31 5万+
gdb+pwndbg组合拳 文章目录gdb+pwndbg组合拳前言及安装基本指令执行指令断点指令下普通断点指令b(break):删除、禁用断点:内存断点指令watch:捕获断点catch:打印指令查看内存指令x:打印指令p(print):打印汇编指令disass(disassemble):打印源代码指令list:修改和查找指令修改数据指令set:查找数据:操作指令(pwndbg插件独有)其他pw...
实践指南:构建Linux应用设备——从零开始
4. 应用程序集成:针对目标应用,作者展示了如何安装和配置必要的软件组件,如数据库、Web服务器、防火墙等,并可能涉及到负载均衡、集群和容器技术。 5. 安全与管理:强调了Linux appliance的安全配置,包括设置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值