Binary Exploitation

Heap Exploitation

  • 基於NTU Computer Security Fall 2019所寫的筆記

yuawn NTU-Computer-Security

Heap workflow

  • 通過 nmmapbrk跟kernel要memory

image

  • 跟kernel要了memory會放在glibc再透過malloc來跟glibc要memory

image

chunks

  • 注意heap是以16 bytes唯一排
    Allocated chunk malloc拿到的
    Free chunk free掉的
    Top Chunk 未分配的

image

Allocated chunk

  • chunk header也可叫metadata
  • ! pointer會指向user data的頭而不是header
  • sizeN M P中間有個byte不做使用
    image

  • prev_size/data 連續記憶體上⼀塊如是 free chunk,則紀錄該size,
    若是 allocated chunk 則同時為它的 data。

  • size 該memory的大小(佔4bytes)

  • (P) PREV_INUSE 上⼀個 chunk 是否使⽤中

  • (M) IS_MMAPED chunk 是否透過 mmap 出來的

  • (N) NON_MAIN_ARENA 該 chunk 是否不屬於 main arena

image

Free Chunk

  • 連續記憶體下⼀塊的 P flag 為0

  • (fd) forward pointer 指向同⼀ bin 中的前⼀塊 chunk (linked list)

  • (bk) backward pointer 指向同⼀ bin 中的後⼀塊 chunk (linked list)

image

Top Chunk

  • 第⼀次malloc後,剩下的空間為 top chunk,分配空間時視情況從 top chunk 切割分配

  • free Top chunk 連續記憶體上⼀塊chunk時,若不是 fastbin 則會與 Top chunk merge,top chunk P 恆為1。

image

bins

  • 回收 Free chunk 的資料結構

  • 主要依據 size ⼤⼩,分為:
    fast bin size < 0x90 bytes
    small bin
    large bin
    unsorted bin

Fast bin

  • Size < 0x90 bytes

  • bin 中依據 size 又會劃分為,0x20, 0x30, 0x40 …

  • global_max_fast = 0x80(在判定中是<=0x80)

  • Singly linked list,fd 指向前⼀個,bk 沒⽤到

  • LIFO (Last in, First out)

  • ! free 時不會將下⼀塊 chunk P flag 設成 0

Slow bin

• Circular doubly linked list
• 依據 size 劃分為 62 個bin
• 0x20, 0x30 ~ 0x3f0
• 0x20 ~ 0x80 的⼤⼩與 fast bin 重疊,會根據機制放到fast bin或small bin
• FIFO (First in, First out)
• free 掉時會將下⼀塊chunk P 設為0

Large bin

• Circular doubly linked list (依據⼤⼩遞減排序)
• size >= 1024 bytes (0x400)
• 63 bins
• 細節可以參考 source code
• header
• fd_nextsize
• bk_nextsize

image

Unsorted bin

  • Circular doubly linked list

  • free 的 chunk size ⼤於 fast bin 時,不會直接放到對應的 bin 裡,會先丟到
    unsorted bin 中。

  • malloc fast bin size ⼤⼩時會先去 fast bin list 裡找,若沒有則會⾄ unsorted bin找,如找到⼀樣⼤⼩則回傳,若無但找到⼤⼩⼤於所需⼤⼩的 chunk 則切割回傳,剩下的部分會丟回 unsorted bin,若都沒有則從 top chunk 切出來回傳。

  • malloc時會因為unsorted bin的切割而造成small bin也有fast binsize

Tcache

  • glibc >= 2.26

  • smallbin ⼤⼩範圍的 chunk 都會使⽤ tcache

  • Tcache 中,當滿 7 個時,再 free 才會再放⾄ fastbin 中。

  • tcache fd 是指向 user data

  • malloc 時沒有檢查 size 是否合法

  • 沒有檢查 double free

malloc

  • malloc fast bin size ⼤⼩時會先去 fast bin list 裡找,若沒有則會⾄ unsorted bin找,如找到⼀樣⼤⼩則回傳,若無但找到⼤⼩⼤於所需⼤⼩的 chunk 則切割回傳,剩下的部分會丟回 unsorted bin,若都沒有則從 top chunk 切出來回傳。

Hooks

  • glibc 中存在許多 function hooks,會是個很好的寫入目標
    __malloc_hook
    __free_hook
    __realloc_hook
  • 執⾏該 function 時,發現該 function hook 有值,則當作 function pointer 跳上去執⾏。
    image

Use After Free (UAF)

  • free( ptr )

  • freepointer 後未將 ptr 清空 ( ptr = NULL ),稱之 dangling pointer

  • information leak

  • fast bin leak heap address

  • unsorted bin leak libc address

Fastbin attack

  • fastbin 在檢查 double free 時,cmp linked list 第⼀個 chunk 即將要 free 掉的 chunk

  • bypass free(A) free(B) free(A)

image

  • malloc(0x70)

image
image

  • write s to fake fd

image

  • mallocfake chunk

image

  • write everywhere!

image

constraints

  • malloc check chunk size是否正確

  • bypass by using aslr address like 0x7f which is
    size 0x70 N=true M=true P=true if u ignore the 0xc6
    image