从零开始学howtoheap:理解glibc分配机制和UAF漏洞利用

已于 2024-02-12 08:59:09 修改
阅读量1.2k 收藏 24
点赞数 32
分类专栏: 逆向 二进制 Re 文章标签: 服务器 linux 网络安全 系统安全
于 2024-02-09 11:11:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44626085/article/details/136083389
版权
本文从glibc的分配机制入手,通过how2heap教程讲解了first_fit算法,展示了如何利用Use-After-Free(UAF)漏洞。通过调试程序,解释了在释放内存后,再次分配可能导致的内存重用问题,并提供了UAF漏洞的简单利用示例。
摘要由CSDN通过智能技术生成

how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客

1.理解glibc分配机制

pwndbg> r
Starting program: /ctf/work/how2heap/first_fit 
尽管这个例子没有演示攻击效果,但是它演示了 glibc 的分配机制
glibc 使用首次适应算法选择空闲的堆块
如果有一个空闲堆块且足够大,那么 malloc 将选择它
如果存在 use-after-free 的情况那可以利用这一特性
首先申请两个比较大的 chunk
第一个 a = malloc(0x512) 在: 0x603010
第二个 b = malloc(0x256) 在: 0x603530
我们可以继续分配
现在我们把 "AAAAAAAA" 这个字符串写到 a 那里 
第一次申请的 0x603010 指向 AAAAAAAA
接下来 free 掉第一个...
接下来只要我们申请一块小于 0x512 的 chunk,那就会分配到原本 a 那里: 0x603010
第三次 c = malloc(0x500) 在: 0x603010
我们这次往里写一串 "CCCCCCCC" 到刚申请的 c 中
第三次申请的 c 0x603010 指向 CCCCCCCC
第一次申请的 a 0x603010 指向 CCCCCCCC
可以看到,虽然我们刚刚看的是 a 的,但它的内容却是 "CCCCCCCC"
[Inferior 1 (process 60) exited normally]
pwndbg> 
 

2.first_fit程序

这个程序并不展示如何攻击,而是展示glibc的一种分配规则。glibc 使用一种first-fit算法去选择一个free-chunk。如果存在一个free-chunk并且足够大的话,malloc会优先选取这个chunk。这种机制就可以在被利用于use after free(简称 uaf) 的情形中.

使用命令gcc -g first_fit.c -o first_fit编译,-g参数会保留代码的文字信息,便于调试。以下为first_fit.c程序

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main()
{
    fprintf(stderr, "尽管这个例子没有演示攻击效果,但是它演示了 glibc 的分配机制\n");
    fprintf(stderr, "glibc 使用首次适应算法选择空闲的堆块\n");
    fprintf(stderr, "如果有一个空闲堆块且足够大,那么 malloc 将选择它\n");
    fprintf(stderr, "如果存在 use-after-free 的情况那可以利用这一特性\n");

    fprintf(stderr, "首先申请两个比较大的 chunk\n");
    char* a = malloc(0x512);
    char* b = malloc(0x256);
    char* c;

    fprintf(stderr, "第一个 a = malloc(0x512) 在: %p\n", a);
    fprintf(stderr, "第二个 b = malloc(0x256) 在: %p\n", b);
    fprintf(stderr, "我们可以继续分配\n");
    fprintf(stderr, "现在我们把 \"AAAAAAAA\" 这个字符串写到 a 那里 \n");
    strcpy(a, "AAAAAAAA");
    fprintf(stderr, "第一次申请的 %p 指向 %s\n", a, a);

    fprintf(stderr, "接下来 free 掉第一个...\n");
    free(a);

    fprintf(stderr, "接下来只要我们申请一块小于 0x512 的 chunk,那就会分配到原本 a 那里: %p\n", a);

    c = malloc(0x500);
    fprintf(stderr, "第三次 c = malloc(0x500) 在: %p\n", c);
    fprintf(stderr, "我们这次往里写一串 \"CCCCCCCC\" 到刚申请的 c 中\n");
    strcpy(c, "CCCCCCCC");
    fprintf(stderr, "第三次申请的 c %p 指向 %s\n", c, c);
    fprintf(stderr, "第一次申请的 a %p 指向 %s\n", a, a);
    fprintf(stderr, "可以看到,虽然我们刚刚看的是 a 的,但它的内容却是 \"CCCCCCCC\"\n");
}

3.调试程序 

root@pwn_test1604:/ctf/work/how2heap# gdb ./first_fit
GNU gdb (Ubuntu 7.11.1-0ubuntu1~16.5) 7.11.1
Copyright (C) 2016 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
and "show warranty" for details.
This GDB was configured as "x86_64-linux-gnu".
Type "show configuration" for configuration details.
For bug reporting instructions, please see:
<http://www.gnu.org/software/gdb/bugs/>.
Find the GDB manual and other documentation resources online at:
<http://www.gnu.org/software/gdb/documentation/>.
For help, type "help".
Type "apropos word" to search for commands related to "word"...
pwndbg: loaded 171 commands. Type pwndbg [filter] for a list.
pwndbg: created $rebase, $ida gdb functions (can be used with print/break)
Reading symbols from ./first_fit...done.
pwndbg> b 22
Breakpoint 1 at 0x40078b: file first_fit.c, line 22.
pwndbg> b 35
Breakpoint 2 at 0x400893: file first_fit.c, line 35.
pwndbg> r
Starting program: /ctf/work/how2heap/first_fit 
尽管这个例子没有演示攻击效果,但是它演示了 glibc 的分配机制
glibc 使用首次适应算法选择空闲的堆块
如果有一个空闲堆块且足够大,那么 malloc 将选择它
如果存在 use-after-free 的情况那可以利用这一特性
首先申请两个比较大的 chunk
第一个 a = malloc(0x512) 在: 0x603010
第二个 b = malloc(0x256) 在: 0x603530
我们可以继续分配
现在我们把 "AAAAAAAA" 这个字符串写到 a 那里 

Breakpoint 1, main () at first_fit.c:22
22          fprintf(stderr, "第一次申请的 %p 指向 %s\n", a, a);
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
───────────────────────────────────────────────────────────────────────────────────────────────────[ REGISTERS ]───────────────────────────────────────────────────────────────────────────────────────────────────
 RAX  0x603010 ◂— 'AAAAAAAA'
 RBX  0x0
 RCX  0x7ffff7b042c0 (__write_nocancel+7) ◂— cmp    rax, -0xfff
 RDX  0x7ffff7dd3770 (_IO_stdfile_2_lock) ◂— 0x0
 RDI  0x2
 RSI  0x4141414141414141 ('AAAAAAAA')
 R8   0x3b
 R9   0x7ffff7dd2540 (_IO_2_1_stderr_) ◂— 0xfbad2887
 R10  0x1
 R11  0x246
 R12  0x400550 (_start) ◂— xor    ebp, ebp
 R13  0x7fffffffe6b0 ◂— 0x1
 R14  0x0
 R15  0x0
 RBP  0x7fffffffe5d0 —▸ 0x4008c0 (__libc_csu_init) ◂— push   r15
 RSP  0x7fffffffe5b0 —▸ 0x4008c0 (__libc_csu_init) ◂— push   r15
 RIP  0x40078b (main+325) ◂— mov    rax, qword ptr [rip + 0x2018ce]
────────────────────────────────────────────────────────────────────────────────────────────────────[ DISASM ]─────────────────────────────────────────────────────────────────────────────────────────────────────
 ► 0x40078b <main+325>    mov    rax, qword ptr [rip + 0x2018ce] <0x602060>
   0x400792 <main+332>    mov    rcx, qword ptr [rbp - 0x18]
   0x400796 <main+336>    mov    rdx, qword ptr [rbp - 0x18]
   0x40079a <main+340>    mov    esi, 0x400b38
   0x40079f <main+345>    mov    rdi, rax
   0x
最低0.47元/天 解锁文章
网络安全我来了
关注
  • 32
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从零开始howtoheap理解fastbins的堆块重叠的问题2
weixin_44626085的博客
02-13 1235
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来习。为了保证堆块稳定性,我们至少需要让 prev_inuse 为 1,确保 p1 不会被认为是空闲的堆块。malloc 将会把前面 free 的 p2 分配给我们(p2 的 size 已经被改掉了)这时候通过编辑 p4 就可以修改 p3 的内容,修改 p3 也可以修改 p4 的内容。现在让我们分配另一个块,其大小等于块p2注入大小的数据大小。给他们分别填充"1""2""3"
从零开始howtoheap理解fastbins的double-free攻击
weixin_44626085的博客
02-09 1440
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来习。环境可参见从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客 1.fastbins的double-free攻击 下面的程序展示了fastbins的double-free攻击,可以泄露出一块已经被分配的内存指针。fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过fastbin->fd来遍历。由于free的过程会对free list做检查
how2heap注意点总结-上
九层台
03-11 935
1.chunk的申请机制,在申请chunk的时候满足first-fit算法(从unsorted bin中遍历遇到第一个比需要chunk大的chunk切割,然后遍历unsorted bin链对应chunk放入对应位置) (所需chunk大小大于small bin或者small bin中没有找到恰好满足的chunk大小,或者fastbin中没有找到合适的chunk大小会引起fast bins遍历合并放...
从零开始howtoheap理解fastbins的​large_bin攻击
weixin_44626085的博客
02-14 800
how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来习。
从零开始howtoheap:fastbins的house_of_spirit攻击1
weixin_44626085的博客
02-11 988
伪造chunk时需要绕过一些检查,首先是标志位,PREV_INUSE位并不影响 free的过程,但IS_MMAPPED位和位都要为零。其次,在64位系统中fast chunk的大小要在 32~128 字节之间。最后,是next chunk的大小,必须大于2*SIZE_SZ(即大于16),小于(即小于128kb),才能绕过对next chunk大小的检查。​ 所以house_of_spirit的主要目的是,当我们伪造的fake chunk内部存在不可控区域时,运用这一技术可以将这片区域变成可控的。
centos漏洞系列(四):GNU glibc栈缓冲区溢出漏洞
gosenkle的专栏
05-16 1837
1、简介GNU glibc是一种按照LGPL许可协议发布的开源免费的C语言编译程序。GNU glibc存在栈缓冲区溢出漏洞,允许攻击者可利用该漏洞使应用程序崩溃或执行任意代码。2、解决方案yum update glibcyum update glibc-commonyum update glibc-develyum update glibc-headersyum update nscd...
docker-alpine-glibc:使用glibc精心制作的Alpine Docker映像(〜12MB)
05-12
高山GNU C库(glibc)Docker映像该映像基于Alpine Linux映像(仅5MB映像),并且包含glibc,以使针对glibc编译的专有项目(例如OracleJDK,Anaconda)可以在Alpine上工作。 该图像包含一些使与musl libc并存工作的...
heap-viewer:一个IDA Pro插件,用于检查glibc堆,专注于漏洞利用开发
04-13
堆查看器 一个IDA Pro插件,用于检查堆,侧重于漏洞利用开发。 当前支持glibc malloc实现(ptmalloc2)。要求IDA Pro> = 7.0经过测试glibc 2.23 <= 2.29(x86,x64)特征堆跟踪器(malloc / free / calloc / ...
wrapalloc:通过 LD_PRELOAD 包装 glibc 分配和免费 API 函数以简化动态跟踪
06-27
名称wrapalloc - 包装 glibc 的内存分配和释放 API 函数以简化动态跟踪概要 LD_PRELOAD=/path/to/wrapalloc/wrapalloc.so your_app描述大多数主流 Linux 发行版附带的 glibc 二进制文件通常会受到 gcc 在非常积极的...
docker-alpine-glibc:使用glibc精心制作的Alpine Docker映像(〜10MB)
02-18
高山GNU C库(glibc)Docker映像 该映像基于Alpine Linux映像(仅5MB映像),并且包含glibc,以使针对glibc编译的专有项目(例如OracleJDK,Anaconda)在Alpine上工作。 该图像包括一些使与musl libc并存的怪癖(在...
ghost:glibc 漏洞 GHOST(CVE-2015-0235) 受影响软件列表
06-28
glibc 漏洞 GHOST(CVE-2015-0235) 受影响软件列表
how2heap 深入习(2)
CoLin的pwn小屋
02-12 777
glibc 2.23源码分析系列之house_of_mind_fastbin + house of orange
关于如何理解Glibc堆管理器(Ⅴ——从Large Bin Attack理解malloc对Bins的分配)
Tokameine的博客
08-03 560
本篇实为个人笔记,可能存在些许错误;若各位师傅发现哪里存在错误,还望指正。感激不尽。 若有图片及文稿引用,将在本篇结尾处著名来源(也有置于篇首的情况)。 参考文章: 同样先引用如下两篇文章。如果读者能够通过如下三篇文章掌握Large Bin Attack,那么本篇便只是附带品,没有什么其他内容 https://dangokyo.me/2018/04/07/a-revisit-to-large-bin-in-glibc/ https://ctf...
how2heap习笔记
weixin_30394251的博客
10-11 1085
github源代码地址 这里只分析glibc2.25堆分配的特性,为了方便调试编译时使用 gcc -g -no-pie <input_file_name> -o <output_file_name> 0.fastbin_dup_consolidate   glibc在分配一个large chunk时会先检查是否存在fastbins,如果存在则合并fastbi...
美国服务器稳定么?影响服务器稳定性的6个因素
petaexpress的博客
08-09 661
美国服务器的稳定性是相当不错的,这主要得益于其先进的技术、成熟的基础设施以及严格的管理措施。美国拥有众多知名的服务器提供商,这些提供商通常会采用顶级的硬件设施,如英特尔、AMD等知名品牌的处理器,以及三星、金士顿等品牌的内存和硬盘,这些硬件设备在全球范围内具有较高的市场份额和良好的口碑,性能稳定可靠。
什么是核心交换机?这样回答太到位了
08-12 506
核心交换机是一种高性能的网络设备,位于网络层次结构的最顶层,负责处理大量数据流量并将其快速转发到正确的目的地。在这个背景下,核心交换机作为网络基础设施的中枢神经,扮演着至关重要的角色,相信大家在工作中也经常打交道。如果想从0到1系统习,也欢迎私信我,告知习意向,我会为你推荐最适合你的方式。今天就来讲讲核心交换机,从交换机是什么,到如何选择与部署,统统给你盘明白。衡量交换机最大数据处理能力的指标,确保它能满足当前和未来的网络流量需求。)和第3层(网络层)的交换功能,有的还支持第4层到第7层的应用级处理。
vsftpd 文件服务器A中的文件,需复制到B服务器,关闭防火墙,A的文件可以复制到B,打开防火墙,就复制失败分析原因分析和rsync实现文件同步
雨笋情缘的专栏
08-12 665
确认防火墙配置是否允许FTP流量通过。调整VSFTPD配置以启用被动模式并指定合适的端口范围。考虑使用SFTP、SCP或rsync作为替代方案。请根据实际情况调整上述建议。如果有具体的操作系统版本或者详细的VSFTPD配置信息,我可以提供更加具体的帮助。
linux为QT程序创建桌面应用
王尼莫的博客
08-12 222
【代码】linux为QT程序创建桌面应用。
华为路由的AAA是什么?
最新发布
huaqianzkh的专栏
08-14 521
华为路由的AAA是Authentication(认证)、‌Authorization(授权)和Accounting(计费)的简称,‌是一种提供认证、‌授权和计费的安全管理机制。‌AAA作为一种网络安全管理机制,‌主要提供以下功能和服务:‌认证:‌验证用户是否可以获得网络访问权,‌确定哪些用户可以访问网络。‌授权:‌授权用户可以使用哪些服务,‌即对用户赋予不同的权限,‌限制用户可以使用的服务。‌计费。
漏洞利用理解unlink机制与技巧
"堆漏洞之unlink1 - 一篇关于Linux环境下glibc库中堆管理漏洞的分析和利用技术的文章,作者SP00F强调了unlink操作在内存管理中的关键作用,以及如何通过覆盖相邻chunk的prev_inuse位来触发漏洞利用。文章适合于习...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值