Linux下堆溢出利用2-House of force基本原理

最新推荐文章于 2024-07-12 21:56:50 发布
最新推荐文章于 2024-07-12 21:56:50 发布
阅读量1.5k 收藏 9
点赞数 2
文章标签: 堆栈 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/haibiandaxia/article/details/108260537
版权

Linux下堆溢出利用 2-House of force基本原理

1 前言

House of Force 是一种堆利用方法,可以实现内存地址的读写,个人认为难理解的点有两个:

  1. 如何通过溢出已经分配的chunk,准确覆盖top chunk中的size字段;
  2. 要将top chunk的偏移到我们想要的目标地址(本文中是全局变量bss_var),该如何计算新申请chunk的偏移量大小。

2 基础知识

2.1 Top Chunk的分割机制

在堆内存管理中top chunk是作为后备堆空间,在各bin中没有chunk可提供时,分割出一个chunk提供给用户。那么这个分割过程是怎样的呢?我们来参照一份源码:

victim = av->top;
size   = chunksize(victim);
if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE)) 
{
    remainder_size = size - nb;
    remainder      = chunk_at_offset(victim, nb);
    av->top        = remainder;
    set_head(victim, nb | PREV_INUSE |
            (av != &main_arena ? NON_MAIN_ARENA : 0));
    set_head(remainder, remainder_size | PREV_INUSE);

    check_malloced_chunk(av, victim, nb);
    void *p = chunk2mem(victim);
    alloc_perturb(p, bytes);
    return p;
}
  1. 首先是libc会检查用户申请的大小,top chunk是否能给的起;
  2. 如果给得起,就由top chunk的head处,以用户申请大小所匹配的chunk大小为偏移量,将top chunk的位置推到新的位置,而原来的top chunk head处就作为新的堆块被分配给用户了;
  3. 如果我们能控制top chunk在这个过程中偏移到任意位置,也就是说,如果我们能控制用户申请的大小为任意值,我们就能将top chunk劫持到任意内存地址,然后就可以控制目标内存。

2.2 溢出top chunk的方法

当我们malloc一个空间的时候,在申请到的这个chunk的后面就是top chunk,然而当我们输入的数据大小超过我们申请的范围,就会溢出到top chunk的位置。我们直接让top chunk 的size字段非常大就可以通过检查了,通常我们会传入-1,因为ptmalloc的源码中对于size使用unsigned long进行强转抓换,负数用补码表示,将-1当成无符号数为0xffffffffffffffff,已经非常大了,用于绕过if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE)) 验证。

2.3 利用条件

  1. 需要有办法能够更改到top chunk大小;
  2. 需要能够知道当前位置和要写位置的差值;
  3. 需要能够自由控制将要分配的chunk的大小,也就是malloc的参数值。

3 程序和调试环境准备

3.1 实验环境

  1. Linux ubuntu 16.04.1
  2. gdb 7.11.1
  3. pwndbg 1.1.0

3.2实验目标

我们提前定义了全局字符串变量bss_var,通过house of force 修改内存空间,改写其内容。

在实际应用场景中,可以用同理技术劫持malloc_hook、got等表指针,实现堆溢出攻击。

3.3演示程序

#include <stdio.h>
#include <stdint.h>
#include <stdlib.h>
#include <string.h>
#include <malloc.h>

char bss_var[] = "This is a string that we want to overwrite.";

int main(int argc , char* argv[])
{

    	fprintf(stderr, "\nbss_var为全局变量,指向数据段内存地址为:[%p],通过House of force修改内存,改写其内容.\n", bss_var);
    	intptr_t *chunk1 = malloc(0x100);
    	fprintf(stderr, "\nchunk1的mem位置为:[%p];chunk1头的位置为:[%p].\n",chunk1,chunk1 - 2);
	
	intptr_t chunk1_size = *(chunk1-1);
	chunk1_size &= 0xffffff0; 
	fprintf(stderr, "已分配的chunk大小:[0x%x].",chunk1_size);
	intptr_t *ptr_top = (intptr_t *) ((char *)chunk1 + chunk1_size-2*sizeof(long));
	*(intptr_t *)((char *)ptr_top + sizeof(long)) = -1;

	unsigned long evil_size = (unsigned long)bss_var - sizeof(long)*4 - (unsigned long)ptr_top;
	void *new_ptr = malloc(evil_size);
	void* ctr_chunk = malloc(100);
	strcpy(ctr_chunk, "'Hacked!!'");
	fprintf(stderr, "\nbss_var已经被改写成新字符串:[%s].\n", bss_var);
}

3.4编译命令

sudo gcc -o hof hof.c -g
需要安装插件 pwndbg进行程序调试

4 程序调试

在程序开始下断点,运行
b main
r
在这里插入图片描述

去0x601060看一下,这里存放着字符串"This is a string that we want to overwrite."
在这里插入图片描述

p 14
r
此时chunk1已经申请完毕,地址为0x602010。
在这里插入图片描述

输入:x/20xg 0x602000,看一下chunk1的结构
在这里插入图片描述
p 17
r
在这里插入图片描述
*(p1-1)是取出本chunk的size字段,看一下现在值是0x111
在这里插入图片描述
因为64位机器是16字节对齐,后四位是标志位,我们用chunksize &= 0xffffff0进行后四位清零。
在这里插入图片描述

intptr_t *ptr_top = (intptr_t *) ((char *)chunk1 + chunk1_size-2*sizeof(long));

这行代码是要计算top chunk的头节点地址,具体见下图:
在这里插入图片描述

*(intptr_t *)((char *)ptr_top + sizeof(long)) = -1;

将top chunk的size字段赋值为-1,赋值前后的对比。

在这里插入图片描述
在这里插入图片描述

计算偏移地址方法1:

  1. 继续执行,下一步需要申请一个new chunk,使top chunk偏移到我们的目的地址bss_var;
  2. 严格来说应该写成:evil_size = bss_var-ptr_top-2sizeof(long)-2sizeof(long),第一个2*sizeof(long)是申请的大chunk的头系统会自动添加,所以需要减去;
  3. 要写目的地址,需要再申请一个chunk,使其mem正好是目的地址(下文中的 void* ctr_chunk = malloc(100);),故这个chunk的头也需要预留出来,所以才减去第二个2*sizeof(long)。

计算偏移地址方法2:
要申请一个evil_size大小的堆,使top chunk的mem部分扩展到0x601060(bss_var地址)处,即chunk地址要偏移到bss_adr-0x10处,则:
ptr_top+0x10+evil_size=bss_adr-0x10
0x602030+0x10+evil_size=0x601060-0x10 = 0x601050
evil_size=0x601060-0x602030-0x20
在这里插入图片描述
p 24
r
在这里插入图片描述

这时top chunk 的位置为0x601050。

在这里插入图片描述

对ctr_chunk写入数据,全局变量bss_var被成功改写,over!
在这里插入图片描述

5 总结

通过以下6步实现了对全局变量bss_var的改写,

  1. 先申请一个chunk1;
  2. 根据堆的内存分配机制定位到top chunk的位置ptr_top;
  3. 改写top chunk的size字段为-1,从而绕过验证 if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE)) 检查;
  4. 根据目的地址(bss_var)和top chunk的地址计算偏移evil_size,注意要预留出两个chunk头的空间;
  5. 申请evil_size大小的内存空间,此时top chunk的位置已经到了: 目的地-0x10;
  6. 再次malloc内存空间,其mem地址正好为目的地址,可以进行任意读写。
    在实际应用中可用同理技术劫持malloc_hook、got等表指针,实现get shell。

6 参考链接

  1. https://blog.youkuaiyun.com/aaa15893831716/article/details/102408213
  2. https://blog.youkuaiyun.com/qq_35519254/article/details/76986169
  3. https://bbs.pediy.com/thread-222924.htm
3243324324
关注
glibc 堆学习(一)-基础概念
weixin_44222568的博客
02-10 541
在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理堆的那部分程序为堆管理器。
linux 堆溢出学习之malloc堆管理机制原理详解
热门推荐
jmp esp
03-02 1万+
前言在pwn的学习过程中,最为难啃的骨头莫过于堆相关的利用,然而无论是在实际情况下还是在ctf比赛中,堆利用都是绝对的主流,是漏洞的主要类型之一。鉴于国内相关资料有限,系统讲解堆溢出利用的更是少之又少,我在此整理相关内容,既能作为自己学习的记录,也希望能够给大家带来一定的作用,不过鉴于本人也在学习之中,如有错误希望大家包涵,并且能够积极指正。堆的基础知识什么是堆堆是一种全局的数据结构,用以动态管理系
Linux 堆溢出原理分析
weixin_30709809的博客
11-03 601
堆溢出与堆的内存布局有关,要搞明白堆溢出,首先要清楚的是malloc()分配的堆内存布局是什么样子,free()操作后又变成什么样子。 解决第一个问题:通过malloc()分配的堆内存,如何布局? 上图就是malloc()分配两块内存的情形。 其中mem指针指向的是malloc()返回的地址,pre_size与size都是4字节数据,size存放当前chunk(内存块,本文均不翻译...
5.1 堆溢出的工作原理
qq_55202378的博客
09-26 1533
堆溢出原理
windows下的堆溢出原理与教程
12-22
windows下的堆溢出,原理,教程。 shellcode,exploit~
topchunk利用 | House Of Force
最新发布
ULGANOY的博客
07-12 1057
House Of Force的简单学习记录
linux 堆溢出 pwn 指南,新手科普 | CTF PWN堆溢出总结
weixin_36467693的博客
05-16 1095
学习汇总序言自从加入RTIS交流群, 在7o8v师傅,gd大佬的帮助下,PWN学习之路进入加速度。下面是八周学习的总结,基本上是按照how2heap路线走的。由于八周内容全写,篇幅太长,这里只讲述每道PWN题所用到的一个知识点。第一节(fastbin_dup_into_stack)知识点利用fastbin之间,单链表的连接的特性, 溢出修改下一个free chunk的地址, 造成任意地址写.例子:...
【CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 6103
【CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
堆漏洞之house系列1
08-04
《堆漏洞之House系列1》主要探讨了Linux系统中glibc库在内存管理中的安全漏洞,特别是关于House of Spirit和House of Force两种攻击技术。这些技术涉及到内存分配机制的细节,如smallbin、fastbin、unsorted bin以及...
pwn题堆利用的一些姿势 -- malloc_hook
lifanxin的博客
04-12 4654
  在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell。因此也就有了我这一系列文章的目的,在got表无法被修改时,我们往往利用的就是下面的一些hook+one
windows堆溢出原理
03-02
本来写的一个笔记,经过上机实践,详细介绍了在windows上如何实现堆溢出
Linux下缓冲区溢出攻击的原理及对策
11-14 1万+
前言从逻辑上讲进程的堆栈是由多个堆栈帧构成的,其中每个堆栈帧都对应一个函数调用。当函数调用发生时,新的堆栈帧被压入堆栈;当函数返回时,相应的堆栈帧从堆栈中弹出。尽管堆栈帧结构的引入为在高级语言中实现函数或过程这样的概念提供了直接的硬件支持,但是由于将函数返回地址这样的重要数据保存在程序员可见的堆栈中,因此也给系统安全带来了极大的隐患。历史上最著名的缓冲区溢出攻击可能要算是1988年11月2
CTF-PWN-
llovewuzhengzi的博客
10-24 305
4.然后再次malloc此时出来的的是之前fakechunk的fd位置的chunk,内容为随意,然后free该chunk两次,再次malloc此时内容为_free_hook的地址,然后再次malloc,内容随意,再次malloc此时内容为getshell的函数地址且得到的是以_free_hook地址为userdata地址的chunk。利用重写第一个chunk时溢出覆盖到第三个chunk的fd的值(修改为第五个chunk的地址)同时利用重写第四个chunk溢出覆盖到第五个chunk的size值为合适的值。
Pwn-gyctf_2020_force
fayinq的博客
03-13 451
gyctf_2020_force 这个题目是一个新的知识点,house_of_force,第一次看,以前没见过。 HOUSE_OF_FORCE: 使用条件: 能够使用溢出等手段,修改top_chunk的大小 能够自由分配chunk大小,不会被限制 基本原理: 在malloc之中,会有一个topchunk的size大小,如果说,能够malloc一个chunk的大小大于topchunk的大小(一般是0x20df1这种个大小),那么chunk就会去到vmmap映射出来的另一端地址,一般来说会在libc上面一点
利用-house_of_force-top_chunk
qq_43390703的博客
11-14 412
house_of_force House Of Force 是一种堆利用方法,如果一个堆 (heap based) 漏洞想要通过 House Of Force 方法进行利用,需要以下条件: 能够以溢出等方式控制到 top chunk 的 size 域 能够自由地控制堆分配尺寸的大小 产生原因 glibc中如果进行堆块分配的时候,如果所有空闲块都无法满足需求,那么就会从top chunk中分割出相应的大小作为堆块空间。 但是当top chunck分配堆块的size值可以由用户控制的时候,top chu
linux 下c内存管理,linux内存管理之malloc
weixin_42531923的博客
04-30 1521
对于内核的内存管理,像kmalloc,vmalloc,kmap,ioremap等比较熟悉。而对用户层的管理机制不是很熟悉,下面就从malloc的实现入手.( 这里不探讨linux系统调用的实现机制. ) ,参考了《深入理解计算机系统》和一些网上的资料.首先从http://ftp.gnu.org/gnu/glibc下载glibc库2.21,通常我们用的bsp或者sdk里面的工具链都是编译好的,而这个...
Linux堆溢出利用4-bamboobox解题思路之house of force
haibiandaxia的博客
10-10 371
Linux堆溢出利用4-bamboobox解题思路之house of force1 前言2 程序和调试环境准备2.1 实验环境2.2 实验目标3 反编译程序3.1 检查安全机制3.2 main函数 1 前言 因这段时间在忙护网,再加上对堆块进行负方向移动不理解,导致更新迟了一些,后来经过反复调试,查看堆状态,才慢慢理解,详细内容见正文吧。 2 程序和调试环境准备 2.1 实验环境 Linux ubuntu 16.04.1 gdb 7.11.1 bamboobox(目标程序) Python 2.7.12
c语言 malloc 源码详解,dlmalloc源码剖析之:mALLOc
weixin_29541743的博客
05-19 999
/*如果你使用linux, douglea malloc已经默认作为glibc的malloc,新的版本可能用的是ptmalloc(dlmalloc的多线程版本)如果你用的bsd4.2及以前系统libc用的kingsley的malloc;BSD(包括freebsd,netbsd,openbsd)4.2以后版本libc用的是PHKmalloc;如果你用的windows系统用的是microsoft的分配...
malloc Assertion错误
wzzushx的专栏
02-21 1万+
近日调试代码遇到了 malloc.c:3361: sYSMALLOc: Assertion `(old_top == (((mbinptr) (((char *) &((av)->bins[((1) - 1) * 2])) - __builtin_offsetof (struct malloc_chunk, fd)))) && old_size == 0) || ((unsigned long)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值