本文最后更新于:星期三, 一月 2日 2019, 4:21 下午

house_of_force是一种通过修改topchunk 的size字段来控制malloc返回包含想要控制地址的chunk的手法,从而达到修改任意地址内容的目的

原理:

假设有一个溢出漏洞,可以改写 top chunk 的size字段,然后将其改为一个非常大的值,
以确保所有的 malloc 将使用 top chunk 分配,而不会调用 mmap。这时如果攻击者 
malloc 一个很大的数目(负有符号整数),top chunk 的位置加上这个大数,造成整
数溢出,结果是 top chunk 能够被转移到堆之前的内存地址(如程序的 .bss 
段、.data 段、GOT 表等),下次再执行 malloc 时,攻击者就能够控制转移之后地
址处的内存。

house_of_force利用条件:

  1. 存在漏洞能控制top_chunk的size大小
  2. 能自由控制分配堆的大小
  3. 分配的次数不受限制

evil chunk的大小:用目标地址减去 top chunk 地址,再减去 chunk 头的大小。

利用方法:

  1. 通过漏洞控制top chunk 的size字段为-1 (32位的话就是0xffffffff,64位的话就是0xffffffffffffffff)
  2. 计算出要分配的evil chunk的大小
  3. 分配evil chunk
  4. 分配目标地址的chunk

同时top_chunk还有另一种玩法
假设存在堆溢出漏洞或者其他能修改top chunk size字段的漏洞,加上malloc的大小受用户输入控制

  • 将top chunk size 字段修改为 __free_hook + system - top_chunk _ptr -1
  • 在malloc 一个 _free_hook - top_chunk_ptr - 0x10大小的chunk
    就可以将__free_hook 地址的内容修改为 top chunk的新size 即 system函数的地址

具体分析下源码:

  • 从topchunk中分配chunk的操作
       p = av->top;
       size = chunksize (p);
       /* check that one of the above allocation paths succeeded */
       if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE))
         {
           remainder_size = size - nb;
           remainder = chunk_at_offset (p, nb);
           av->top = remainder;
           set_head (p, nb | PREV_INUSE | (av != &main_arena ? NON_MAIN_ARENA : 0));
           set_head (remainder, remainder_size | PREV_INUSE);
           check_malloced_chunk (av, p, nb);
           return chunk2mem (p);
         }
    

如果将top chunk的size字段修改为(system + free_hook - top_chunk_ptr )
当分配
free_hook - top_chunk_ptr -0x10时,就会从top chunk 中分配
分配完后 ,新topchunk 的size 为

new_size= (system + __free_hook -  top_chunk_ptr) - (__free_hook - top_chunk_ptr - 0x10 + 0x10) = system 

然后新的top_chunk_ptr 为 old_top_ptr + 分配掉的size

new_top_chunk_ptr = top_ptr + ( __free_hook - top_chunk_ptr -0x10) = __free_hook - 0x10

理论上是这样的,但是实际分配的时候还需要考虑到计算size的对齐问题等,所以可以在上面
写入的值附近试一试,保证最后可以在__free_hook写入system地址
(实际上是system+1,因为topchunk的P标志位会被设为1)地址就行。


Heap_Exploitation      pwn houseofxxx

本博客所有文章除特别声明外,均采用 CC BY-SA 3.0协议 。转载请注明出处!