house_of_force是一种通过修改topchunk 的size字段来欺骗malloc返回想要控制的地址的chunk的手法,来达到修改任意地址内容的目的
原理:
假设有一个溢出漏洞,可以改写 top chunk 的size字段,然后将其改为一个非常大的值,
以确保所有的 malloc 将使用 top chunk 分配,而不会调用 mmap。这时如果攻击者
malloc 一个很大的数目(负有符号整数),top chunk 的位置加上这个大数,造成整
数溢出,结果是 top chunk 能够被转移到堆之前的内存地址(如程序的 .bss
段、.data 段、GOT 表等),下次再执行 malloc 时,攻击者就能够控制转移之后地
址处的内存。
house_of_force利用条件:
- 存在漏洞能控制top_chunk的size大小
- 能自由控制分配堆的大小
- 分配的次数不受限制
evil chunk的大小:用目标地址减去 top chunk 地址,再减去 chunk 头的大小。
利用方法:
- 通过漏洞控制top chunk 的size字段为-1 (32位的话就是0xffffffff,64位的话就是0xffffffffffffffff)
- 计算出要分配的evil chunk的大小
- 分配evil chunk
- 分配目标地址的chunk
同时top_chunk还有另一种玩法
假设存在堆溢出漏洞或者其他能修改top chunk size字段的漏洞,加上malloc的大小受用户输入控制
- 将top chunk size 字段修改为 __free_hook + system - top_chunk _ptr -1
- 在malloc 一个 _free_hook - top_chunk_ptr - 0x10大小的chunk
就可以将__free_hook 地址的内容修改为 top chunk的新size 即 system函数的地址
具体分析下源码:
- 从topchunk中分配chunk的操作
p = av->top;
size = chunksize (p);
/* check that one of the above allocation paths succeeded */
if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE))
{
remainder_size = size - nb;
remainder = chunk_at_offset (p, nb);
av->top = remainder;
set_head (p, nb | PREV_INUSE | (av != &main_arena ? NON_MAIN_ARENA : 0));
set_head (remainder, remainder_size | PREV_INUSE);
check_malloced_chunk (av, p, nb);
return chunk2mem (p);
}
如果将top chunk的size字段修改为(system + __free_hook - top_chunk_ptr )
当分配 __free_hook - top_chunk_ptr -0x10时,就会从top chunk 中分配
分配完后 ,新topchunk 的size 为
new_size= (system + __free_hook - top_chunk_ptr) - (__free_hook - top_chunk_ptr - 0x10 + 0x10) = system
然后新的top_chunk_ptr 为 old_top_ptr + 分配掉的size
new_top_chunk_ptr = top_ptr + ( __free_hook - top_chunk_ptr -0x10) = __free_hook - 0x10
理论上是这样的,但是实际分配的时候还需要考虑到计算size的对齐问题等,所以可以在上面
写入的值附近试一试,保证最后可以在__free_hook写入system地址
(实际上是system+1,因为topchunk的P标志位会被设为1)地址就行。
网友评论