how2heap之glibc——2.26版本

阅读量411190

|

发布时间 : 2019-04-24 16:30:07

 

0x00 前言

学习pwn绕不开Linux的堆,找到了有人翻译的shellphish团队在Github上开源的堆漏洞教程。

how2heap总结-上

how2heap总结-下

里面有github地址以及《Glibc内存管理-Ptmalloc2源码分析》的地址,我就不贴了,另外安利一本《程序员的自我修养》

本文是我在学习how2heap遇到的一些坑,做了一些整理,最主要的是因为glibc-2.26之后引入了tcache机制,导致刚开始学习时,发现运行结果和说好的不一样,N脸懵逼。

 

0x01 准备工作

how2heap的代码要使用不同的版本glibc进行实验,因此提供了glibc_run.sh,使用方法

glibc_run.sh <version> <code>

栗子:

glibc_run.sh 2.25 ./glibc_2.25/unsafe_unlink

不过由于还要使用gdb调试,就不能依赖glibc_run.sh脚本了,看下脚本执行的内容,栗子执行的命令就是LD_PRELOAD="./glibc_versions/libc-2.25.so" ./glibc_versions/ld-2.25.so ./glibc_2.25/unsafe_unlink

使用不同的libc可以通过环境变量LD_PRELOAD解决,在gdb中可以通过命令set exec-wrapper env "LD_PRELOAD=./libc-2.25.so"解决,现在就剩下链接器了,在看雪上看到有人分享了Python脚本修改程序使用的ld

关于不同版本glibc强行加载的方法(附上代码)

 

0x02 tcache

这里只是初步展示下tcache,一个长度为64的链表数组,每个链表的长度最大是7,链表类似于fastbin,通过fd连起来,不过fastbin中fd指针是指向下一个chunk的首地址,而tcache是指向下一个chunk的fd的地址。

这里以64位为例,tcache是个结构体,里面有count数组和指针数组,长度都是64,根据下标一一对应,结构体的声明是参考的:https://www.anquanke.com/post/id/104760

/* We overlay this structure on the user-data portion of a chunk when the chunk is stored in the per-thread cache.  */
typedef struct tcache_entry
{
  struct tcache_entry *next;
} tcache_entry;
/* There is one of these for each thread, which contains the per-thread cache (hence "tcache_perthread_struct").  Keeping overall size low is mildly important.  Note that COUNTS and ENTRIES are redundant (we could have just counted the linked list each time), this is for performance reasons.  */
typedef struct tcache_perthread_struct
{
  char counts[TCACHE_MAX_BINS];
  tcache_entry *entries[TCACHE_MAX_BINS];
} tcache_perthread_struct;
static __thread tcache_perthread_struct *tcache = NULL;

数组长度是64,存储的chunk大小是从32~1040字节,递增16字节,所以是数组下标从0开始,那么对应chunk大小就是(下标+2)*16

这个缓存链表类似于fastbin,每组链表节点长度为7,对应chunk释放后加入链表时,对应的in_use状态不变(状态位在内存相邻的下一个chunksizi字段上),因此内存地址上连续的两个chunk都释放了,也是不会合并的。

链表是通过fd指针相连的,fd也是指向另一个chunk的fd指针的地址,顺序是先进后出。

进行两个实验,实验一是为了证明数组大小,对应的chunk范围以及chunk是先进后出,实验二是为了证明链表长度最大是7。

实验一:

chunk大小范围是32-1040

因此申请的最小chunk设为16,最大chunk设为1024

a[0]=malloc(16)

a[1]=malloc(16)

a[2]=malloc(1024)

再按顺序释放a[0]、a[2]、a[1],然后再申请一次a[3]=malloc(16)

申请过3个内存之后的heap

现在释放a[0]和a[2],tcache也是申请的一块堆内存上存放的,因此查看申请的第一块内存的数据,tcache的chunk是从0x602000开始的,前16字节是chunk头,之后的64字节是count数组,用来记录对应下标链表的个数,之后的每8个字节是一个链表,总体是链表数组,长度是64。count数组的最低位和最高位分别记数了1,链表里存放的是a[0]和a[2]的fd指针的地址。

现在再释放a[1],tcache链表数组的第一个链表会指向a[1]的fd指针,也就是0x6020a0,而a[1]的fd存储的是a[0]的fd地址,并且count数组对应的值会变为2(对应count数组中的下标为0)

之后再去申请16字节的内存,那么会从tcahce中获取,按照FILO的原则,a[1]对应的chunk会先被选中,因此a[4]与a[1]的值是一样的

实验二:

申请a[0]~a[8]一共9个chunk,依次释放,会发现前7个在tcache中,后两个会在fastbin上。

先释放a[0]~a[6]

查看tcache,现在链表长度是7,fastbins中没有chunk

现在继续释放a[7],tcache是没有变化的,a[7]进入fastbins

继续释放a[8],a[8]也加入了fastbins中

接着看下a[7],a[8]的fd是指向的chunk头还是fd

fastbins中的单链表还是指向的chunk头地址。

最后再申请一个16字节内存,应该是从tcahce中获取

 

0x03 first_fit

由于how2heap的源代码内还有说明,为了调试看的简单点,做了一些删减

/*first_fit.c*/
#include<stdlib.h>
#include<string.h>

int main()
{
        char *a = malloc(512);
        char *b = malloc(256);
        char *c;
        printf("1st malloc(512) %pn",a);
        printf("2nd malloc(256) %pn",b);
        strcpy(a,"this is A!");
        free(a);
        printf("free an");
        c = malloc(500);
        printf("3rd malloc(500) %pn",c);
        strcpy(c,"this is C!");
        printf("copy string 'this is c' to cn");
        printf("c(%p):%sn",c,c);
        printf("a(%p):%sn",a,a);
        return 0;
}

编译:gcc -g -no-pie -o first_fit first_fit.c,加入源码信息,关闭PIE。

使用不同版本glibc,通过chaneld脚本修改程序使用的ld,这些是实验前的准备工作,之后不提了。

first_fit是先申请了a,b两块内存,b是为了防止a释放后被top chunk合并,释放了a之后,再去申请c,c的大小小于a,那么c对应内存的首地址与a的一致,如果a存在UAF漏洞,就可以做一些事了(我不知道是什么事),在glibc-2.26之前,a的大小已经是大于fastbin了,所以释放后是进入unsorted bin,那么在申请c的时候,会将a的chunk做切割,然后分配给c,因此c与a的首地址相同,而在glibc-2.26的版本中,a是进入了tcache,只有chunk大小完全匹配,才会将a分配给c。

 

0x04 fastbin_dup

删减过的代码

#include <stdio.h>
#include <stdlib.h>

int main()
{
        int *a = malloc(0x20);
        int *b = malloc(0x20);
        int *c = malloc(0x20);

        fprintf(stderr, "1st malloc(8): %pn", a);
        fprintf(stderr, "2nd malloc(8): %pn", b);
        fprintf(stderr, "3rd malloc(8): %pn", c);

        free(a);
        free(b);
        free(a);

        fprintf(stderr, "1st malloc(0x20): %pn", malloc(0x20));
        fprintf(stderr, "2nd malloc(0x20): %pn", malloc(0x20));
        fprintf(stderr, "3rd malloc(0x20): %pn", malloc(0x20));
}

实验是将同一个chunk释放两次,对于fastbin不能连续调用两次free(a),因为会检测当前链表头部的chunk与释放的chunk是否为同一个,而在glibc-2.26版本中,只是进入了tcache中,没有多大区别。

但是现在可以把free(b)这一句删除,在glibc-2.26之前的版本,会触发检测到double free的错误

在tcache中则没有检测了,可以将同一块内存同时释放两次。

代码执行效果

a对应chunk(0x602250)中fd指针是指向自己的地址的

 

0x05 fastbin_dup_into_stack

修改过的源码

#include <stdio.h>
#include <stdlib.h>

int main()
{
    unsigned long long stack_var;
    fprintf(stderr, "The address we want malloc() to return is %p.n", 8+(char *)&stack_var);
    int *a = malloc(8);
    int *b = malloc(8);
    int *c = malloc(8);

    free(a);
//    free(b);//glibc-2.26版本不需要在free(b)了
    free(a);

    unsigned long long *d = malloc(8);

    fprintf(stderr, "1st malloc(8): %pn", d);
    fprintf(stderr, "2nd malloc(8): %pn", malloc(8));//这一句glibc-2.26中也可以删除的,不删除也无所谓,不修改fd指针之前,是循环返回a的地址。
//    stack_var = 0x20; //glibc-2.26版本不需要满足size字段在对应范围内
    *d = (unsigned long long) (((char*)&stack_var) +  sizeof(d));  //2.26版本之后这里是+,2.25版本是-,因为stack_var变量是伪造chunk的size字段,2.26中fd指向的是另一个chunk的fd,所以是size字段+8,而2.25是指向chunk头,所以是size字段-8

    fprintf(stderr, "3rd malloc(8): %p, putting the stack address on the free listn", malloc(8));
    fprintf(stderr, "4th malloc(8): %pn", malloc(8));
}

这个算是上一个的延续,通过将一个内存块释放两次,那么申请一个出来,就可以修改其fd指针了,控制之后申请返回的地址为任意地址,fastbin的话还需要满足地址+8(也就是size字段)处的值是在对应fastbin范围内,比如栗子中fastbin的大小是0x20,那么指定的其他地址处,size字段值应该是0x20~0x2f。但是对于tcache来说就简单多了,没有double free检测,没有size字段的检测。
gdb调试

申请过d之后,0x405260还在tcache中,用户使用内存就是chunk的从fd开始的,因此直接修改*d的值即可

fd已经指向了我们希望返回的地址了,先申请一个chunk将d对应的chunk卸下,查看tcache

最后成功返回指定的地址

PS:house_of_lore对于glibc-2.26版本来说没什么区别,因为代码一个是利用fastbin,一个是利用small bin,但是tcache范围较大,就都在tcache内了。

 

0x06 unsorted bin attack(glibc-2.25)

unsorted bin attack其实就是泄露unsorted bin 的地址,根据unsorted bin的地址计算出malloc_area的地址(main_area=unsorted bin – 0x58),从而推算出libc_base的加载地址,那么就能去获取one_gadget的实际地址,或者是知道system函数地址之类的。因为针对unsorted bin,所以和tcache无关,因此这部分内容其实和标题也无关,算个彩蛋?

这里整理了三个方法,其实就是三种读取到unsorted bin地址的方法。

方法一

how2heap的代码给了一个思路是,将内存释放进入unsorted bin之后,假设这个chunk为p,修改p的bk地址为一个可获取内容的变量地址-2size_t(代码中是一个栈变量),那么再申请一个chunk p大小所对应的的内存,会将p从链表中取出,此时

p->fd = unsorted bin 头部 = FD

p->bk = 栈变量-2size_t = BK

卸下链表的操作就是

FD->bk = BK (这个是导致unsorted bin之后申请的内存为栈地址)

BK->fd = FD(此时BK->fd 就是BK的地址加上2*size_t,所以就是栈变量地址,那么就是获取了unsorted bin 的地址)

方法二

UAF的方法,当chunk进入unsorted bin,直接输出fd或者bk的值(之前如果是空的话),如果之前unsortedbin有值,那么最好还是输出bk的值保险(合并的情况排除 )

方法三

有两个连续的chunk p和q,其中p的大小是大于fastbin的,那么free之后是会进入unsorted bin的,然后修改p的大小(通过溢出漏洞,如果没有这个方法就没办法用了)为p+q的大小(即理解为p和q是合并为一个chunk了),那么再去申请一个chunk p对应大小的内存,会将假装合并的p+q的chunk分隔出来,将p分配出去,从而修改了chunk q的fd和bk,会指向unsorted bin,那么去读取chunk q的fd或者bk即可。

方法一示例

方法一就是how2heap内的源码,未做修改,直接看下过程。

先申请一个chunk p,再申请个malloc(500)是为了防止free(p)时,p被top chunk合并。

free(p)之后,chunk 进入unsorted bin

然后修改p的bk指针为栈变量地址-2site_t(也可以修改p的fd指针为栈变量地址-3size_t)

然后申请一个chunk p 对应的大小,会将p从链表中卸下,此时栈变量存储的就是unsorted bin的地址了。

方法二示例

UAF,演示代码

#include <stdio.h>
#include <stdlib.h>

int main(){
        unsigned long *p=malloc(400);
        malloc(500);
        free(p);
        printf("p[1] is at %p:%pn",p,(void*)p[1]);
}

emmm,没什么说明的了。

方法三示例

通过修改unsortedbin中chunk的size,达到分割chunk来获取unsorted bin的地址

源码

#include <stdio.h>
#include <stdlib.h>
int main(){
        unsigned long *p=malloc(0x100);
        unsigned long *q=malloc(0x40);
        free(p);
        *(p-1) = 0x161;
        printf("free(p) and p's value is %pn",(void *)p[0]);
        unsigned long *t = malloc(0x100);
        printf("t is at %pn",t);
        printf("p is at %pn",p);
        printf("q's value is %pn",(void *)q[0]);
}

申请两个内存,p和q,对应chunk大小分别是0x110和0x50

此时修改p的size大小(其实只要p的大小+4*size_t就可以了,但是不想分割q了)为p+q的大小和,所以是0x160,再加上最低位表示前一个chunk在使用,所以修改值为0x161,此时查看heap可以看到q好像被合并了

再申请一个0x100的内存,就是再将p分割出来,此时q的fd和bk就是指向unsortedbin了,而此时q是从未释放过的,所以读取q的值算正常操作,因此能获取到unsorted bin的地址。

本文由abyss原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/177108

安全客 - 有思想的安全新媒体

分享到:微信
+13赞
收藏
abyss
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66