Linux下堆的unlink漏洞
参考文章:https://blog.csdn.net/qq_25201379/article/details/81545128
首先介绍一下Linux的堆块结构:
struct malloc_chunk { INTERNAL_SIZE_T prev_size; INTERNAL_SIZE_T size; struct malloc_chunk *fd; Struct malloc_chunk *bk; }
0x01、其中前两个结构体成员组成了堆块的块首:1、prev_size字段仅在该堆块是空闲时有意义,代表了前一个堆块的size(包括块首的大小在内),注意国内很多相关blog中将prev解释成“后一个”堆块,这非常的别扭,此处我们将prev当作前一个。 2、size字段表示该堆块的大小,由于堆块的大小必须是8字节的整数倍,因此size字段的后三个二进制位是不表示大小的,因此作为其他标志位,我们需要知道的是,最后一位表示prev堆块是否空闲,若prev空闲,则最后一位为0。 3、至于fd和bk,也是在空闲堆块中才有意义的数据,应用在双链表中表示前后堆块(指向块首),而在in_use堆块中它们是用户数据。
0x02、关于malloc的返回值:malloc返回的指针是用户态指针,是指向chunk_body的,不包括块首,而malloc的参数表示的size也是用户态size
0x03、链表安全检查:Linux的堆内存管理有一个很重要的机制,会检查 p->bk->fd==p && p->fd->bk==p,我们不讨论宏中没有这个机制的漏洞利用
0x04、漏洞利用详解:我们不先讲原理,直接看过程来体会
(图中8byte有误,应该是16byte,图片不方便换了,聊以填坑。。)
我们需要至少两个堆块,堆内存分布如上,此处不要引起误会,虽然每个chunk都列出了fd和bk字段,但是只是为了方便读者参考,并不代表这些堆块是空闲的
首先malloc p堆块和引线堆块,那么如果放到空闲链表中看,p就是引线堆块的prev_chunk,但是此时两个堆块都是非空闲的。
往下方是高地址这个不用多说,我们在p堆块中打一个溢出,踩到引线堆块,怎么踩呢?要把引线堆块的prev_size覆盖成p堆块的用户区大小,把引线堆块的size字段的最后一个二进制位弄成0,这样就造成了p堆块是free态的假象;此外在这个溢出过程中,由于写操作是从p发起的,要顺便看一下能否写到p_user的2和3个的偏移,也就是p_user[2]和p_user[3],如果能,就把它们分别覆盖成fake的fd和bk,不能的话也不慌,寻找一下有没有别的可行写操作或者可以从更低地址堆块打来溢出。
那么fake的fd和bk应该改成多少呢?注意改了以后还要过链表安全检查的!我们来看一个巧夺天工的构造:
fd = &p - 3*size(int); bk = &p - 2*size(int) 我们来分析一下这个小小的艺术品奇妙在哪里:
首先我们需要清楚结构体的寻址是按偏移来寻址的,然后我们来看一下free函数的具体实现:
FD = p->fd; BK = p->bk; FD->bk = BK; BK->fd = FD;其实就是一个很简单的双向链表拆卸,不多说;
然后我们来看,fd = &p - 3*size(int),bk = &p - 2*size(int) ,所以FD=&p - 3*size(int) , BK=&p - 2*size(int)
FD->bk按照偏移寻址,就是FD+3*size(int)==&p,FD->bk==p,同理 BK->fd==p,这样一来就绕过了安全检查
检查通过就按照上述代码来free,第三行等价于p=&p - 2*size(int)
但是第四行又把值覆盖回来了,最终执行完毕后就变成了p=&p - 3*size(int)
回到本例中,此时如果程序free(引线堆块),那么由于检查到引线堆块的size最后一位是0,因此认为p堆块空闲,进行合并,触发p的unlink
现在大家应该就明白“引线堆块”这个名字是怎么来的了,free相当于点火,堆块就是引线,触发prev的unlink爆炸
还记得我们已经将引线堆块的prev_size覆盖成了prev用户区的大小,因此会造成一种假象,认为prev用户区的起始就是prev的块首起始,因此做unlink时,进行fd和bk操作的时候,fd和bk就能成功定位到之前的fake值!
这样一来,在没有触发检查报警的情况下,成功将指针p_user劫持到了存放p_user自己的内存往上三个单位的内存处:
(图中p为p_user)
此时p_user=&p_user - _3
但是,此时在受害程序视角上,堆块p并非空闲态,也就是说,此时程序可能继续以指针p_user为接口继续进行读写操作。此时,便可以为所欲为。
这里举例一个具体操作:(p指p_user)
比如接下来存在p堆块的写操作,原程序中正常的堆块操作是,首先写p[3],然后写p[0]
假定我们现在已经知道了libc在内存中的映像地址,即得知了&free_got(free_plt)、system_got
那么我们就可以在写操作中执行p[3]=&free_got,p[0]=system_got
这两个操作分别实现的效果是,p[3]指向p即p[0],将p[0]的值即p的值改成了&free_got,之后p[0]=system_got,就相当于实现了*(&free_got)=system_got
这样一来,在程序执行任何free操作的时候,都会被劫持到system函数,get shell
当然有一个问题忘了提到,就是伪造fd和bk的时候,我们需要事先知道&p的值,这个估计需要具体的内存泄露,不再赘述。
希望对各位pwn们有所裨益,有不当之处欢迎指正!
(尊重版权,转载请注明出处,谢谢!)