zoukankan      html  css  js  c++  java
  • unlink

    0x00 堆chunk的结构

    一个 heap chunk 是如下的结构:

    如果本 chunk 前面的 chunk 是空闲的,那么第一部分 prev_size 会记录前面一个 chunk 的大小,第二部分是本 chunk 的 size ,因为它的大小需要8字节对齐,所以 size 的低三位一定会空闲出来,这时候这三个位置就用作三个 Flag (最低位:指示前一个 chunk 是否正在使用;倒数第二位:指示这个 chunk 是否是通过 mmap 方式产生的;倒数第三位:这个 chunk 是否属于一个线程的arena )。之后的FD和BK部分在此 chunk 是空闲状态时会发挥作用。FD指向下一个空闲的 chunk ,BK指向前一个空闲的 chunk ,由此串联成为一个空闲 chunk 的双向链表。如果不是空闲的。那么从fd开始,就是用户数据了。

    0x01 堆溢出unlink的思路

    1.unlink是说从链表从卸下一个节点。

    在free一块内存时,会查看该块前后相邻的两块是否空闲,如果空闲的话则把他们从原来的链表上卸载出来和当前块合并在一起。分为向前合并和向后合并。

    向前合并:

    • 查看下一个块是不是空闲的 – 下一个块是空闲的,如果下下个块(距离当前空闲块)的PREV_INUSE(P)位没有设置。为了访问下下个块,将当前块的大小加到它的块指针,再将下一个块的大小加到下一个块指针。
    • 如果是空闲的,合并它。
    • 现在将合并后的块添加到 unsorted bin 中。

    向后合并:

    • 查看前一个块是不是空闲的 –如果当前空闲块的PREV_INUSE(P)位没有设置, 则前一个块是空闲的,。
    • 如果空闲,合并它。

    unlink操作:

    FD = P->fd;
    BK = P->bk;
    FD->bk = BK;
    BK->fd = FD;

    假设执行free(q),对于向前合并,p就是指向q这个chunk块,对于向后合并,p指向的是q的前一个chunk块

    2.unlink漏洞利用

     

    现在假设我们已经申请了两块堆内存分别由chunk1和chunk2指针指向,并且存在一个指针ptr指向chunk1.如下图

    现在我们通过向chunk1中输入内容构造一个伪chunk并覆盖chunk2头部,如下图

    然后我们指向free(chunk2)指令,就会发生unlink.根据chunk2头部size的flag位显示chunk2前一个fake_chunk1空闲,于是发生向后合并。由于现在的glibc会对(P->fd)->bk和(P->bk)->fd进行一个验证,检测它们是不是指向的同一个块即P.根据unlink操作代码。我们会发现根据我们的构造,可以通过检测。

    FD = P->fd; //FD = ptr - 0x0c
    BK = P->bk; //BK = ptr - 0x08
    (FD -> bk == BK -> fd)
    FD->bk = BK; //ptr = ptr - 0x08
    BK->fd = FD; //ptr = ptr - 0x0c

    最终,ptr指向ptr - 0x0c,如下图

    至此,我们可以通过向chunk1改写任意地址的值。例如,加入我们先向chunk1内输入‘a'*0x12 + read@got,然后再向chunk1内进行写操作时,就是改写read@got的值了。

    3.32位与64位区别

    64bit:
    FD = fake_fd = target_addr - 0x18
    BK = fake_bk = target_addr - 0x10
    //then
    FD + 0x18 = BK = target_addr - 0x10
    BK + 0x10 = FD = target_addr - 0x18
    // thus
    *target_addr = target_addr - 0x18
    
    32bit:
    FD = fake_fd = target_addr - 0x0c
    BK = fake_bk = target_addr - 0x08
    //then
    FD + 0x18 = BK = target_addr - 0x08
    BK + 0x10 = FD = target_addr - 0x0c
    // thus
    *target_addr = target_addr - 0x0c

    0x02 参考链接

    堆溢出unlink的思路

    使用 unlink 的堆溢出

  • 相关阅读:
    Delphi开发动态连接库的方法和规范
    EntityFramework+DomainDataSource+Silverlight完成数据读取分页排序与修改
    啊啊啊啊
    HTML、CSS、JavaScript从零开始系列文章
    从JAVA学思想,在.Net用……关于各种模型,备案以便查
    为ExtJS 4 系列树添加可将节点拖动到叶子节点上的功能,可配置
    在使用WCF RIA Services时所要注意的,不断更新中……
    修复EXTJS 4.0.2a在ie9与FIREFOX下字体过小、表格头部字体在Chrome下模糊的CSS补丁
    修复EXTJS 4.0.2a下面gridFilter的type为list时,不能从服务器读取列表数据的bug
    大学生程序员,"我们将要何去何从?!"
  • 原文地址:https://www.cnblogs.com/elvirangel/p/7197537.html
Copyright © 2011-2022 走看看