安全路透社
当前位置:安全路透社 > 网络转载 > 正文

Dance In Heap(四):一些堆利用的方法(下)

*本文原创作者:hellowuzekai,属于FreeBuf原创奖励计划,禁止转载

相关链接:

Dance In Heap(一):浅析堆的申请释放及相应保护机制

Dance In Heap(二):一些堆利用的方法(上)

Dance In Heap(三):一些堆利用的方法(中)

Dance In Heap(四):一些堆利用的方法(下)

0×00 前面的话

本篇文章是系列的最后一篇,主要分析一下House系列的几个典型漏洞,关于堆利用的后续学习,大家可以关注 shellphish 团队的 how2heap 项目,有精力的可以结合源码详细了解堆的机制并从中找出利用的点。

本篇文章目录:

0x01 House of spirit
0x02 House of lore
0x03 House of force
0x04 结语

0×01 House of spirit

假设我们可以在栈上伪造出一个chunk结构,那么我们可不可以利用free来释放,再次malloc得到这个chunk呢?House of spirit就是这个思路,当我们在栈上伪造出 chunk,并绕过检查的话,那么就可以实现

首先我们需要伪造chunk,但是要记住,在free执行的时候,会有一步检查,检查下一个chunk的size是否大于2*sizeof(size_t),并且小于所有分配的空间,所以我们需要构造两个size位。

我们假设栈上有一个数组可以填充数据

unsigned long long fake_chunks[10];

我们开始构造要free的chunk的size

fake_chunks[1] = 0x40;

然后为了绕过检查,需要在这个chunk后面紧跟一个chunk,设置其size位

fake_chunks[9] = 0x1234; // 0x40/sizeof(unsigned long long) = 8

然后我们把 fake_chunks[2] 的地址作为参数调用free

free(&fake_chunk[2]);// size的下一位为malloc返回的地址

此时再进行malloc就可以得到该处的chunk

p = malloc(0x30) // 根据 chunk size 计算公式 小于 0x38 即可 (0x38+0x10-0x08)(0x10对齐)

0×02 House of lore

在前面的 House of spirit 中,我们尝试在栈上伪造了一个 chunk,那么接下来在 House of lore 中,我们将尝试伪造一条 smallbin链表,注意看,这里会用到我们在第一篇中讲过的 malloc分配流程的内容。

首先我们需要创建两个chunk,第一个用于进入smallbin中,第二个用来防止free后被top chunk合并

victim = malloc(100) // size 位于 smallbin 范围内
malloc(1000) //防止free后被top chunk合并

接下来我们要将这个 victim 送入 smallbin 中。

free(victim);

我们先将其free掉,现在它位于unsortedbin中

malloc(1200);

接下来,我们再次申请一个size位于largebin中,并且在unsortedbin中没有与其匹配的chunk,所以我们需要一个大值。

设想一下,接下来会发生什么?

系统依次找完 fastbin、smallbin、unsortedbin后发现找不到这个size的chunk,接下来会把unsortedbin中的chunk加入到smallbin或者largebin中,这时,我们的victim就成功进入smallbin中了。

现在我们假设可以控制 victim的fd、bk指针,我们就可以在栈上伪造出一个smallbin的链表

    intptr_t* stack_buffer_1[4] = {0};
    intptr_t* stack_buffer_2[3] = {0};
    intptr_t *victim_chunk = victim-2;
    stack_buffer_1[0] = 0;
    stack_buffer_1[1] = 0;
    stack_buffer_1[2] = victim_chunk;
    stack_buffer_1[3] = (intptr_t*)stack_buffer_2;
    stack_buffer_2[2] = (intptr_t*)stack_buffer_1;
    victim[1] = (intptr_t)stack_buffer_1;

那么我们再次malloc时,就可以从smallbin的链表末尾取chunk了

void *p3 = malloc(100);

而当我们在栈上创造出 chunk 后,就可以向chunk中写入来覆盖返回地址控制eip,甚至绕过 canary检查。

0×03 House of force

在 House of force 中,我们这样设想,如果我们能够将top chunk的size覆盖为一个巨大的值,是否就可以实现malloc从堆直接到.bss段、到栈?

我们首先创建一个 chunk,紧跟着这个chunk的就是top chunk

p = malloc(0x100-8);

我们设法溢出到top chunk

*(p+0xf8) = -1;

那么现在top chunk 的size 就是 0xffffffffffffffff,现在我们可以计算一下从top chunk的起始地址到我们要覆盖的地址之间的距离,然后malloc一个巨大的chunk填充这一段距离,然后再次malloc一个小chunk,向小chunk中写入数据就可以改变这里的值。

malloc(big_size);
q = malloc(100);
*q = "hello world";

0×04 结语

Dance In Heap 系列教程到这里就要结束了,这个系列算是把我最近一段时间的学习做了一个简单的总结,当然,想写的要远比实际写上去的多,堆利用的方法有很多,我只是挑了几个相对基础的利用方式,结合堆的一些机制较为详细的讲解一下,仅供入门参考,能够理解完这些,对一些比较复杂的漏洞也能够去试着了解。这里面许多漏洞是结合 how2heap 项目中的实例讲解的,有时间的话大家可以去 how2heap 看看。

这篇教程写的太匆忙,里面如果有错误纰漏,欢迎大家指出,一同进步,谢谢。

*本文原创作者:hellowuzekai,属于FreeBuf原创奖励计划,禁止转载

未经允许不得转载:安全路透社 » Dance In Heap(四):一些堆利用的方法(下)

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册