Double Free
Basic Information
메모리 블록을 한 번 이상 해제하면 할당자의 데이터가 엉망이 되어 공격의 문이 열릴 수 있습니다. 이는 다음과 같이 발생합니다: 메모리 블록을 해제하면 그것은 무료 청크 목록(예: "빠른 빈")으로 돌아갑니다. 같은 블록을 연속으로 두 번 해제하면 할당자는 이를 감지하고 오류를 발생시킵니다. 그러나 그 사이에 다른 청크를 해제하면 이중 해제 검사가 우회되어 손상이 발생합니다.
이제 새로운 메모리를 요청할 때(malloc
사용), 할당자는 두 번 해제된 블록을 제공할 수 있습니다. 이로 인해 두 개의 서로 다른 포인터가 동일한 메모리 위치를 가리킬 수 있습니다. 공격자가 그 포인터 중 하나를 제어하면, 그 메모리의 내용을 변경할 수 있으며, 이는 보안 문제를 일으키거나 심지어 코드를 실행할 수 있게 할 수 있습니다.
Example:
이 예제에서는 tcache를 여러 개의 해제된 청크(7)로 채운 후, 코드가 청크 h
를 해제한 다음 청크 i
를 해제하고 다시 h
를 해제하여 이중 해제를 발생시킵니다(Fast Bin dup이라고도 함). 이는 재할당 시 겹치는 메모리 주소를 받을 가능성을 열어주며, 두 개 이상의 포인터가 동일한 메모리 위치를 가리킬 수 있습니다. 한 포인터를 통해 데이터를 조작하면 다른 포인터에 영향을 미칠 수 있어, 이는 심각한 보안 위험과 악용 가능성을 초래합니다.
실행 시, i1
과 i2
가 동일한 주소를 가졌음을 주목하세요:
예제
우리는
0x70
크기를 제외하고는 Fast-Bin 크기의 청크만 할당할 수 있으며, 이는 일반적인__malloc_hook
덮어쓰기를 방지합니다.대신, Fast Bin dup의 대상으로
0x56
로 시작하는 PIE 주소를 사용합니다(1/2 확률).PIE 주소가 저장되는 한 곳은 Glibc 내부의
main_arena
이며,__malloc_hook
근처에 있습니다.우리는
main_arena
의 특정 오프셋을 목표로 하여 그곳에 청크를 할당하고,__malloc_hook
에 도달할 때까지 청크를 계속 할당하여 코드 실행을 얻습니다.Tcache 빈과 널 바이트 오버플로우를 사용하여 이중 해제 상황을 달성할 수 있습니다:
우리는 크기
0x110
의 청크 세 개(A
,B
,C
)를 할당합니다.우리는
B
를 해제합니다.우리는
A
를 해제하고 널 바이트 오버플로우를 사용하기 위해 다시 할당합니다.이제
B
의 크기 필드는0x100
이며,0x111
이 아니므로 다시 해제할 수 있습니다.우리는 동일한 주소를 가리키는 크기
0x110
의 Tcache-bin 하나와 크기0x100
의 Tcache-bin 하나를 가지고 있습니다. 따라서 우리는 이중 해제를 가지고 있습니다.우리는 Tcache poisoning을 사용하여 이중 해제를 활용합니다.
참고문헌
Last updated