House of Roman
基本信息
这是一种非常有趣的技术,通过伪造的fastbins、unsorted_bin攻击和相对覆写实现RCE而不泄漏信息。然而,这已经被修复。
代码
目标
通过滥用相对指针实现RCE
要求
编辑fastbin和unsorted bin指针
必须暴力破解12位随机数(0.02%的成功几率)
攻击步骤
第一部分:Fastbin块指向__malloc_hook
创建几个块:
fastbin_victim(0x60,偏移0):稍后用于编辑堆指针,使其指向LibC值。chunk2(0x80,偏移0x70):用于良好的对齐main_arena_use(0x80,偏移0x100)relative_offset_heap(0x60,偏移0x190):在'main_arena_use'块上的相对偏移
然后释放main_arena_use,这将将此块放入未排序列表,并在fd和bk指针中获取指向main_arena + 0x68的指针。
现在分配一个新的块fake_libc_chunk(0x60),因为它将包含fd和bk中指向main_arena + 0x68的指针。
然后释放relative_offset_heap和fastbin_victim。
fastbin_victim有一个fd指向relative_offset_heaprelative_offset_heap是从fake_libc_chunk的距离偏移量,其中包含一个指向main_arena + 0x68的指针只需更改
fastbin_victim.fd的最后一个字节,就可以使fastbin_victim指向main_arena + 0x68
对于前面的操作,攻击者需要能够修改fastbin_victim的fd指针。
然后,main_arena + 0x68并不那么有趣,所以让我们修改它,使指针指向**__malloc_hook**。
请注意,__memalign_hook通常以0x7f开头,然后是零,因此可以将其伪装成0x70快速分配块中的一个值。由于地址的最后4位是随机的,有2^4=16种可能性,使得值最终指向我们感兴趣的位置。因此,在这里执行BF攻击,使得块最终如下:0x70: fastbin_victim -> fake_libc_chunk -> (__malloc_hook - 0x23)。
(有关其余字节的更多信息,请查看how2heap中的解释。如果BF攻击不起作用,程序将崩溃(因此请重新开始直到成功)。
然后,执行2次malloc以移除前两个初始快速分配块,然后分配第三个以获得一个位于**__malloc_hook:**的块。
第2部分:未排序块攻击
有关更多信息,请查看:
Unsorted Bin Attack但基本上它允许通过在chunk->bk中指定的位置写入main_arena + 0x68。对于攻击,我们选择__malloc_hook。然后,在覆盖它之后,我们将使用相对覆盖来指向一个one_gadget。
为此,我们开始获取一个块并将其放入未排序块中:
利用此块中的UAF指向unsorted_bin_ptr->bk到__malloc_hook的地址(我们之前进行了暴力破解)。
请注意,此攻击会破坏未排序的 bin(因此也会影响 small 和 large)。因此,我们现在只能使用来自 fast bin 的分配(更复杂的程序可能会进行其他分配并崩溃),要触发此操作,我们必须分配相同大小,否则程序会崩溃。
因此,要触发在 __malloc_hook 中执行 main_arena + 0x68 的写入,我们在将 __malloc_hook 设置为 unsorted_bin_ptr->bk 后,只需要执行:malloc(0x80)
步骤 3:将 __malloc_hook 设置为 system
在第一步中,我们控制了一个包含 __malloc_hook 的块(在变量 malloc_hook_chunk 中),在第二步中,我们成功将 main_arena + 0x68 写入其中。
现在,我们利用 malloc_hook_chunk 中的部分覆盖,使用我们在那里写入的 libc 地址(main_arena + 0x68)来指向一个 one_gadget 地址。
这就是需要暴力破解 12 位随机性(更多信息请参考 how2heap 的示例)。
最后,一旦正确的地址被覆盖,调用 malloc 并触发 one_gadget。
参考资料
Last updated
