dig into musl

最新推荐文章于 2024-06-04 22:28:21 发布
最新推荐文章于 2024-06-04 22:28:21 发布
阅读量183 收藏
点赞数 1
文章标签: 数据结构 网络安全 python 网络 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73290593/article/details/129571317
版权

dig into musl

1.数据结构

1.malloc_context

struct malloc_context {
	uint64_t secret;//用于检查meta的合法性
#ifndef PAGESIZE
	size_t pagesize;//0x1000
#endif
	int init_done;//是否初始化
	unsigned mmap_counter;//用mmap开辟空间的数量
	struct meta *free_meta_head;//free掉的meta头指针
	struct meta *avail_meta;//空闲的meta链表头
	size_t avail_meta_count, avail_meta_area_count, meta_alloc_shift;
	struct meta_area *meta_area_head, *meta_area_tail;
	unsigned char *avail_meta_areas;
	struct meta *active[48];//active的meta链表头指针的数组
	size_t usage_by_class[48];//对应大小meta的group管理的chunk数
	uint8_t unmap_seq[32], bounces[32];
	uint8_t seq;
	uintptr_t brk;
};

2.meta_area

struct meta_area {
	uint64_t check;//与secret对应,检查meta_area的合法性
	struct meta_area *next;//下一个meta_area
	int nslots;//管理的meta数量
	struct meta slots[];
};

3.meta

struct meta {
	struct meta *prev, *next;//meta链表指针
	struct group *mem;//管理的group指针
	volatile int avail_mask, freed_mask;//bitmap,用一个bit表示是与否
	uintptr_t last_idx:5;//占5bit,表示最后一个chunk的索引(从左往右数)
	uintptr_t freeable:1;//占1bit,表示是否可以free
	uintptr_t sizeclass:6;//占6bit,表示此meta对应chunk的大小索引
	uintptr_t maplen:8*sizeof(uintptr_t)-12;//如果是由mmap分配的,则为内存页数,否则为0
};

4.group

struct group {
	struct meta *meta;//对应meta指针
	unsigned char active_idx:5;//5bit,还多少chunk可用
	char pad[UNIT - sizeof(struct meta *) - 1];//对齐0x10byte
	unsigned char storage[];
};

5.chunk

struct chunk{
 char prev_user_data[];
    uint8_t idx;  //低5bit为idx第几个chunk
    uint16_t offset; //group_addr = chunk_addr - offset*0x10 - 0x10
    char data[];
};

2.利用思路

在nontrivial_free函数中存在dequeue函数

static inline void dequeue(struct meta **phead, struct meta *m)
{
    if (m->next != m) {
        m->prev->next = m->next;
        m->next->prev = m->prev;
        if (*phead == m) *phead = m->next;
    } else {
        *phead = 0;
    }
    m->prev = m->next = 0; // 清理m(meta)的头尾指针
}

存在next指针和prev指针互写,且没有检查

free()–>nontrival_free()–>dequeue()

我们需要伪造chunk,甚至group,meta等等才能实现两个地址互写.

并且想要到达dequeue()函数,也要经过一系列检查.

free中调用的get_meta函数

(/src/malloc/mallocng/meta.h, line 129)
static inline struct meta *get_meta(const unsigned char *p)
{
	assert(!((uintptr_t)p & 15));
	int offset = *(const uint16_t *)(p - 2);
	int index = get_slot_index(p);
	if (p[-4]) {
		assert(!offset);
		offset = *(uint32_t *)(p - 8);
		assert(offset > 0xffff);
	}
	const struct group *base = (const void *)(p - UNIT*offset - UNIT);
	const struct meta *meta = base->meta;
	assert(meta->mem == base);
	assert(index <= meta->last_idx);
	assert(!(meta->avail_mask & (1u<<index)));
	assert(!(meta->freed_mask & (1u<<index)));
	const struct meta_area *area = (void *)((uintptr_t)meta & -4096);
	assert(area->check == ctx.secret);
	if (meta->sizeclass < 48) {
		assert(offset >= size_classes[meta->sizeclass]*index);
		assert(offset < size_classes[meta->sizeclass]*(index+1));
	} else {
		assert(meta->sizeclass == 63);
	}
	if (meta->maplen) {
		assert(offset <= meta->maplen*4096UL/UNIT - 1);
	}
	return (struct meta *)meta;
}

1.meta->mem == base : 检查meta的mem指针是否是原来通过group->meta找到自己的group,即检查双向闭合

2.index <= meta->last_idx : 检查idx的合法性

3.area->check == ctx.secret : 检查area的合法性

4.offset >= size_classes[meta->sizeclass]*index

5.offset < size_classes[meta->sizeclass]*(index+1) : 检查offset和chunk大小是否匹配

6.assert(offset <= meta->maplen*4096UL/UNIT - 1) : 检查offset是否越界

然后再看nontrivial_free

static struct mapinfo nontrivial_free(struct meta *g, int i)
{
	uint32_t self = 1u<<i;
	int sc = g->sizeclass;
	uint32_t mask = g->freed_mask | g->avail_mask;

	if (mask+self == (2u<<g->last_idx)-1 && okay_to_free(g)) {
		// any multi-slot group is necessarily on an active list
		// here, but single-slot groups might or might not be.
		if (g->next) {
			assert(sc < 48);
			int activate_new = (ctx.active[sc]==g);
			dequeue(&ctx.active[sc], g);
			if (activate_new && ctx.active[sc])
				activate_group(ctx.active[sc]);
		}
		return free_group(g);
	} else if (!mask) {
		assert(sc < 48);
		// might still be active if there were no allocations
		// after last available slot was taken.
		if (ctx.active[sc] != g) {
			queue(&ctx.active[sc], g);
		}
	}
	a_or(&g->freed_mask, self);
	return (struct mapinfo){ 0 };
}

这里要求mask+self == (2u<last_idx)-1 && okay_to_free(g), 因此要合理设置meta的两个mask的值

(1) avail_mask 表示只有一个chunk 被使用 ,freed_mask=0,free这个chunk

(2) avail_mask=0, freed_mask 表示只有1个chunk没被释放,即当前这个chunk没释放,free这个chunk

tips: activate_group(ctx.active[sc])建议不要让这条语句执行,因为它在dequeue之后,相当于把next指针的区域链入active[]并且还要activate这个区域,但是这个区域一般是stdout_used是无法控制,来伪造成meta,所以很可能会报错. 所以为了避免执行,我们把sc改掉即sizeclass,使得ctx.active[sc]!=g,activate_new为0.

之后调用free_group

static struct mapinfo free_group(struct meta *g)
{
	struct mapinfo mi = { 0 };
	int sc = g->sizeclass;
	if (sc < 48) {
		ctx.usage_by_class[sc] -= g->last_idx+1;
	}
	if (g->maplen) {
		step_seq();
		record_seq(sc);
		mi.base = g->mem;
		mi.len = g->maplen*4096UL;
	} else {
		void *p = g->mem;
		struct meta *m = get_meta(p);
		int idx = get_slot_index(p);
		g->mem->meta = 0;
		// not checking size/reserved here; it's intentionally invalid
		mi = nontrivial_free(m, idx);
	}
	free_meta(g);
	return mi;
}

我们不能进入else分支,这样会再一次调用nontrivial_free,因此要使得maplen不为0

3.控制程序流

想控制musl题的程序流,一般都是打IO

IO_FILE

struct _IO_FILE {
	unsigned flags;
	unsigned char *rpos, *rend;
	int (*close)(FILE *);
	unsigned char *wend, *wpos;
	unsigned char *mustbezero_1;
	unsigned char *wbase;
	size_t (*read)(FILE *, unsigned char *, size_t);
	size_t (*write)(FILE *, const unsigned char *, size_t);
	off_t (*seek)(FILE *, off_t, int);
	unsigned char *buf;
	size_t buf_size;
	FILE *prev, *next;
	int fd;
	int pipe_pid;
	long lockcount;
	int mode;
	volatile int lock;
	int lbf;
	void *cookie;
	off_t off;
	char *getln_buf;
	void *mustbezero_2;
	unsigned char *shend;
	off_t shlim, shcnt;
	FILE *prev_locked, *next_locked;
	struct __locale_struct *locale;
};

IO_FILE结构体中有4个函数指针,一般利用stdinstdoutstderr

exit()调用链

_Noreturn void exit(int code)
{
	__funcs_on_exit();
	__libc_exit_fini();
	__stdio_exit();
	_Exit(code);
}


void __stdio_exit(void)
{
	FILE *f;
	for (f=*__ofl_lock(); f; f=f->next) close_file(f);
	close_file(__stdin_used);
	close_file(__stdout_used);
	close_file(__stderr_used);
}

static void close_file(FILE *f)
{
	if (!f) return;
	FFINALLOCK(f);
	if (f->wpos != f->wbase) f->write(f, 0, 0);
	if (f->rpos != f->rend) f->seek(f, f->rpos-f->rend, SEEK_CUR);
}

在close_file函数中当 f->wpos != f->wbase 就会调用f->write函数

1.getshell

1.利用dequeue函数,将可控地址写到stdout_used(__stdout_FILE结构体链表头)中

2.再在FILE结构体头几字节写入"/bin/sh"

3.再修改write指针为system,

4.以及f->wpos != f->wbase

5.触发exit()

2.orw

maigic_gadget

mov rsp, qword ptr [rdi + 0x30] ; jmp qword ptr [rdi + 0x38]

1.利用dequeue函数,将可控地址写到stdout_used(__stdout_FILE结构体链表头)中

2.再rdi+0x30也就是FILE+0x30写入orw的首地址,在rdi+0x38(也是f->wbase)处写入ret

3.再在write指针处写入magic_gagdet

4.构造好orw链

5.触发exit()

reference

musl 1.2.2 总结+源码分析

musl pwn 入门 (1)

musl pwn 入门 (2)

musl pwn 入门 (3)

enllus1on
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux下安装使用dig命令
Bertram的博客
04-06 5026
有时候用的精简版linux系统会发现没有dig命令,这时候就需要安装一下。 centos系 yum install bind-utils dig命令大多时候可以取代nslookup 简明使用,只会输出A记录(写脚本的时候容易获取ip地址) dig www.baidu.com +short 只输出mx记录,简明使用 dig mx www.baidu.com +short 只输出NS记录 dig ns www.baidu.com 查询SOA( Start of Autority ) 返回主DNS服务器
Windows下dig命令
07-06
解压,把解压的的内容放到C盘Windows目录下;在cmd(Win+R)下就可以使用。
ciscn 2022 华东北分区赛pwn blue
z1r0的博客
07-02 737
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
dig(1) command
Dablelv 的博客专栏。
11-02 6297
dig(domain information groper)是域名查询工具。dig 是一个灵活的 DNS 查询工具,它会打印出 DNS 域名服务器的回应,主要用来从 DNS 域名服务器查询主机地址信息。dig 命令与 nslookup 命令功能基本相同,但是 dig 命令灵活性好、易用、输出清晰。
Linux编译安装dig9.18
识途老码
09-18 705
Linux编译安装dig9.18
DNS篇之dig使用详解
热门推荐
新雪兰
06-15 2万+
1、首先DNS常见的一些类型如下: 类型 数值 描述 A 1 域名的IPv4地址 AAAA 34 域名的IPv6地址 CNAME 5 域名的别名,可以理解为域名的重定向,主要方便IP地址的变更 NS 2 指定哪个域名服务器可以解析该域名的子域名 SOA 6 授权机构记录,记录ns中哪个是主服务器。 PTR 12 根据IP反向查找域名 HINFO 13 主机信息 MX 15.
dig命令命令常见用法
识途老码
02-01 6279
dig命令常见用法
windows 安装dig
JiayanFighting的博客
12-08 759
因为用docker遇到了问题,好多解决方案都说要用dig,所以我就打算安一下dig,但是好多博客列出的网站都下载不了,然后我苦苦寻找,终于找到了正确的网站:https://www.isc.org/download/ 选择BIND 下载 安装的时候选择‘Tools Only’ 然后在环境变量中添加: 到这里安装dig就完成了。 但是 可能会报错: https://www.mic...
常用dig命令
jinkun2010的博客
03-31 971
检查网络的小技巧 dig常用命令集+noall表示隐藏所有内容+answer 表示显示响应内容+[no]question,+[no]answer,+[no]authority,+[no]stat,+short# 直接查询根DNS dig # 指定解析服务器为8.8.8.8 dig @8.8.8.8 ite.me # 查询DNS记录 dig -t NS ite.me +noall +answer...
dig命令
面向学姐编程
11-12 831
刚刚想起来之前用到了一个新的命令,dig,但是没有及时记录下来,想补上一篇博文。发现网上已经有一篇很不错的文章了,直接转载了。原文链接
dig常用命令
lhorse003的博客
05-11 1084
Dig是域信息搜索器的简称(Domain Information Groper),使用dig命令可以执行查询域名相关的任务。 ###1. 理解dig的输出结果 $ dig chenrongrong.info 1 ; > DiG 9.9.5-3ubuntu0.1-Ubuntu > chenrongrong.info 2 ;; global options:
dig命令工具
06-26
Windows 10 安装BIND Tools完美使用dig命令 Dig是一个在类Unix命令行模式下查询DNS包括NS记录,A记录,MX记录等相关信息的工具。Dig的源码是ISC BIND大包的一部分,但是大多编译和安装Bind的文档都不把它包括在内。
linux Dig命令使用大全
09-15
主要介绍了linux Dig命令使用大全,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
dig_led.rar_dig
09-22
数码管驱动,有外部声明函数,方便调用,简化代码编写时间
DIG_LED.rar_dig
09-21
数码管的Verilog HDL高级描述,将数码管接口封装完成,适宜20MHz的时钟使用
二叉树及其在C语言中的实现A
2301_79642159的博客
06-01 367
本文介绍了二叉树的基本概念、特性以及在C语言中的实现方式。通过定义二叉树节点的结构体,我们可以轻松地实现二叉树的插入、遍历等操作。二叉树作为数据结构的重要组成部分,对于理解树形结构、递归算法等方面都有着重要意义。更多实现在另一篇文章,希望能够帮助读者更好地掌握二叉树的相关知识。
数据结构——二叉树
2301_80097874的博客
06-04 736
二叉树如其名,就是有两个分岔树枝的树,如下图。每个节点下面都有两个及两个以下的节点,就被称为二叉树。现实中的二叉树二叉树。
【数据结构】二叉搜索树--BST,Binary Search Tree
最新发布
Z1tai的博客
06-04 790
二叉搜索树是一种重要且常用的数据结构,其节点具有左子树和右子树,且左子树所有节点值小于根节点,右子树所有节点值大于根节点,这种特性使得查找、插入和删除操作非常高效。然而,如果树结构不平衡,会导致性能下降。因此,对于实现二叉搜索树的算法和数据结构有深入了解是至关重要的,同时也需要了解其他优化的数据结构如AVL树、红黑树等。
【数据结构】六种排序实现方法及区分比较
2301_77954967的博客
06-01 1154
众所周知,存在许多种排序方法,作为新手,最新接触到的就是冒泡排序,这种排序方法具有较好的教学意义,但是实用意义不高,原因就在于它的时间复杂度太高了,为O(n^2)即便后来我们使用flag去优化它,也不过也不过少了一点,如果序列完全倒序,就没什么用。所以为了使代码运行效率更高,人们就设计了许多种排序方法,这里笔者将比较常用的六种进行介绍,并对其的一些使用情景及效率进行一下比较。默认实现时都为升序插入排序希尔排序选择排序堆排序冒泡排序快速排序。
linux dig
09-23
Linux中的dig命令是用于查询域名信息的工具。最典型的用法是查询单个主机的信息。在Linux系统中,可以通过输入"dig www.linuxidc.com"来查询www.linuxidc.com的IP地址等信息。根据提供的引用,该命令查询到了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值