分析方法:
全局变量位置布局: 哪些在.bss,哪些在.data,变量之间的关系
哪些变量, 缓冲区, 数组,存储了哪些值(别的变量,别的地址,申请的堆地址)
使用的数据结构:数据结构中成员之间的关系,地址位置关系,各个成员大小及其含义.
程序处理数据结构的方法:存储方式,遍历方式,查找方式.操作方法(创建,修改,打印,删除.增删改查各种操作)
是否有数组越界, 整数溢出(处理不好负数,处理不好0,-1后又变成全f), 长度判断错误,没有进行长度判断,将用户提供的长度直接去申请内存,
是否有uaf,是否有double free,是否有悬挂指针
分析使用了什么bin:fastbin, smallbin, unsorted bin, top chunk 能否利用
错误的unlink对栈, bss,.data等进行操作
一般大结构体对应的申请的堆地址会存储在bss上的全局变量. 可用于unlink将其中一个地址指向改全局变量前面,操作该堆内容时就会操作到该全局变量.(unlink的套路)
1.off by one
https://www.jianshu.com/p/046a6b0578fc
2.unlink
3.uaf
https://www.jianshu.com/p/1b0b773a8c7f
4.fastbin attack
fastbin double free 也是一种修改fd指向来在任意地址分配内存,可以在某个可以被编辑的全局指针处,malloc_hook处亦可以
伪造fastbin chunk,强制释放后再次申请到这片内存(需要绕过很多检查)
修改fastbin中chunk的fd指向stack或者其他地方中伪造的fast chunk,多次申请内存后得到目标地址内存(只需要绕过size检查),
可通过前一个chunk的堆溢出修改下一个chunk的fd和其他chunk的size域. 这种方式可以结合unsorted bin泄漏libc和修改fd申请到
malloc_hook进行getshell.
实例1:
实例2: https://www.jianshu.com/p/5b0a1b168fed
5.Chunk Extend and Overlapping
1).篡改前一个块大小,释放后把后一个块合起来free到fastbin中:
0x602000: 0x0000000000000000 0x0000000000000041 <=== 篡改大小
0x602010: 0x0000000000000000 0x0000000000000000
0x602020: 0x0000000000000000 0x0000000000000021 这个chunk属于bin中的某个chunk
0x602030: 0x0000000000000000 0x0000000000000000
0x602040: 0x0000000000000000 0x0000000000020fc1
2).small bin:篡改的时机在释放前后都是可以的,因为unsorted bin大小不同的chunk可共存.
而fastbin不能在free后篡改,因为bin的链表大小是相同的,就算改了也不会找到这个块进行分配.
0x602000: 0x0000000000000000 0x00000000000000b1 <=== 被放入unsorted bin, 篡改为0xb0大小
0x602010: 0x00007ffff7dd1b78 0x00007ffff7dd1b78
0x602020: 0x0000000000000000 0x0000000000000000
0x602030: 0x0000000000000000 0x0000000000000000
0x602040: 0x0000000000000000 0x0000000000000000
0x602050: 0x0000000000000000 0x0000000000000000
0x602060: 0x0000000000000000 0x0000000000000000
0x602070: 0x0000000000000000 0x0000000000000000
0x602080: 0x0000000000000000 0x0000000000000000
0x602090: 0x0000000000000000 0x0000000000000021
0x6020a0: 0x0000000000000000 0x0000000000000000 一直extend到这里
0x6020b0: 0x00000000000000b0 0x0000000000000020 <=== 注意此处标记为空,这个块防止与top chunk合并
0x6020c0: 0x0000000000000000 0x0000000000000000
0x6020d0: 0x0000000000000000 0x0000000000020f31 <=== top chunk
3)fastbin 的后向extend多个块:
ptr=malloc(0x10);//分配第1个 0x80 的chunk1
malloc(0x10); //分配第2个 0x10 的chunk2
malloc(0x10); //分配第3个 0x10 的chunk3
malloc(0x10); //分配第4个 0x10 的chunk4
*(int *)((int)ptr-0x8)=0x61;
free(ptr);
ptr1=malloc(0x50);这个包含了后3个堆,可完全控制它们
4)各种块的前向extend:
ptr1=malloc(128);//smallbin1
ptr2=malloc(0x10);//fastbin1
ptr3=malloc(0x10);//fastbin2
ptr4=malloc(128);//smallbin2
malloc(0x10);//防止与top合并
free(ptr1);
*(int *)((long long)ptr4-0x8)=0x90;//修改pre_inuse域
*(int *)((long long)ptr4-0x10)=0xd0;//修改pre_size域
free(ptr4);//unlink进行前向extend
malloc(0x150);//占位块,可以控制前面4个块
6.House Of xxx:
1)House Of Einherjar:通过溢出(一般是堆溢出)修改in_use,主动触发free后进行合并,且此时prev_size可是可控的,达到再次申请到任意地址内存的效果
实例:https://www.jianshu.com/p/dbf0d8adc736
2)House of Lore
类似于修改fastbin的fd指针一样修改small bin的bk,从而在指定位置申请内存.
3)House Of Force
这个是针对top chunk size 的纂改,可以使得 top chunk 指向我们期望的任何位置,这就相当于一次任意地址写,一般通过堆溢出写入size为-1
首先,需要存在漏洞使得用户能够控制 top chunk 的 size 域。
其次,需要用户能自由控制 malloc 的分配大小
第三,分配的次数不能受限制
size计算:
目标地址t, top chunk 地址s
按理说的大小是 w=t-s
但是输入i要满足((i) + SIZE_SZ + MALLOC_ALIGN_MASK) & ~MALLOC_ALIGN_MASK=w
而MALLOC_ALIGN_MASK = 2 * SIZE_SZ -1
实例1:HITCON training lab 11
s=0xa4e060
t=0xa4e000
w=t-s=-0x60 由于这个值已经是对~MALLOC_ALIGN_MASK对齐(就是看低16bit位全为0就已经对齐了,
此时w&~MALLOC_ALIGN_MASK还是=w)
i=w- SIZE_SZ - MALLOC_ALIGN_MASK
实例二:
4)House of Rabbit
一般运用在 fastbin attack 中,利用了在 malloc consolidate 的时候 fastbin 中的堆块进行合并时 size 没有进行检查从而伪造一个假的堆块.
可以通过修改size字段(堆溢出),再分配大内存触发合并
也可以通过uaf修改fd触发
5)House of Roman
7.Unsorted Bin Attack
Unsorted Bin Attack 被利用的前提是控制 Unsorted Bin Chunk 的 bk 指针。重要!!(一般通过堆溢出覆盖已被释放到unsortedbin中的chunk)
Unsorted Bin Attack 可以达到的效果是实现修改任意地址值为一个较大的数值。
当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。
释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。
插入的时候插入到 unsorted bin 的头部,取出的时候从链表尾获取。
当进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。
可用于泄漏地址和任意地址写固定大数据.
- .tcache
tcache poisoning :类似于fastbin中的chunk的fd被修改,但是修改tcache的fd不需要size验证
tcache dup:类似于double free或者修改fd形成的循环链表.且没有检测可以t->a->t...
tcache house of spirit;强制对某块进行释放,没有对齐检测
tcache unlink: 在 smallbin 中包含有空闲块的时候,会同时将同大小的其他空闲块,放入 tcache 中,此时也会出现解链操作,但相比于 unlink 宏,缺少了链完整性校验。因此,原本 unlink 操作在该条件下也可以使用。例子:
利用unsorted bin泄漏libc需要将tcache填满才行.就这个导致了一些麻烦而已
内存释放:
在 free 函数的最先处理部分,首先是检查释放块是否页对齐及前后堆块的释放情况,便优先放入 tcache 结构中。
内存申请:
(1)首先,申请的内存块符合 fastbin 大小时并且找到在 fastbin 内找到可用的空闲块时,会把该 fastbin 链上的其他内存块放入 tcache 中。
(2)其次,申请的内存块符合 smallbin 大小时并且找到在 smallbin 内找到可用的空闲块时,会把该 smallbin 链上的其他内存块放入 tcache 中。
(3)当在 unsorted bin 链上循环处理时,当找到大小合适的链时,并不直接返回,而是先放到 tcache 中,继续处理。
9.IO_FILE
1)伪造vtable指针指向别处,再该处写入要劫持的对象和内容. 实例:
https://www.jianshu.com/writer#/notebooks/32246030/notes/40290385
2)FSOP 文件流导向编程.
劫持_IO_list_all 的值来伪造链表和其中的_IO_FILE 项
触发:FSOP 选择的触发方法是调用_IO_flush_all_lockp,这个函数会刷新_IO_list_all 链表中所有项的文件流,相当于对每个 FILE 调用 fflush,也对应着会调用_IO_FILE_plus.vtable 中的_IO_overflow。
如何触发?:
当 libc 执行 abort 流程时
当执行 exit 函数时
当执行流从 main 函数返回时
条件:泄漏libc基址, 任意地址写修改_IO_list_all
绕过: fp->_mode <= 0; fp->_IO_write_ptr > fp->_IO_write_base
3)2.24版本及以上多了检测.很难劫持vtable了
scanf读入数据时会先将数据写入到IO_FILE中的char* _IO_buf_base; /* Start of reserve area. /
char _IO_buf_end; /* End of reserve area. */ 地址中,这些地址是通过heap分配的.
如果修改了这些地址,就可以往别处写入数据了.
