House of Roman
基本情報
これは、偽のfastbins、unsorted_bin攻撃、および相対的な上書きを介してリークなしでRCEを可能にする非常に興味深いテクニックでした。ただし、これはパッチ済みです。
コード
ゴール
相対ポインタを悪用してRCEを達成する
必要条件
fastbinとunsorted binのポインタを編集する
作業するために12ビットのランダム性をブルートフォースする必要があります(0.02%の確率)
攻撃手順
パート1: Fastbin Chunkが__malloc_hookを指す
複数のチャンクを作成します:
fastbin_victim
(0x60、オフセット0): 後でヒープポインタを編集してLibCの値を指すようにするUAFチャンクchunk2
(0x80、オフセット0x70): 良いアライメントのためmain_arena_use
(0x80、オフセット0x100)relative_offset_heap
(0x60、オフセット0x190): 'main_arena_use'チャンク上の相対オフセット
次に、free(main_arena_use)
を実行します。これにより、このチャンクがunsortedリストに配置され、fd
およびbk
ポインタの両方でmain_arena + 0x68
へのポインタが取得されます。
次に、fd
およびbk
にmain_arena + 0x68
へのポインタを含む新しいチャンクfake_libc_chunk(0x60)
が割り当てられます。
その後、relative_offset_heap
とfastbin_victim
を解放します。
fastbin_victim
はrelative_offset_heap
を指すfd
を持っています。relative_offset_heap
はfake_libc_chunk
からの距離オフセットであり、main_arena + 0x68
を指すポインタを含んでいます。fastbin_victim.fd
の最後のバイトを変更するだけで、fastbin_victim
をmain_arena + 0x68
を指すようにすることが可能です。
前述のアクションを行うためには、攻撃者はfastbin_victim
のfd
ポインタを変更できる必要があります。
その後、main_arena + 0x68
はあまり興味深くないので、ポインタが**__malloc_hook
**を指すように変更します。
__memalign_hook
は通常0x7f
で始まり、その前にゼロが続くため、0x70
のfast binの値として偽装することが可能です。アドレスの最後の4ビットはランダムなので、アドレスの値が興味のある場所を指すようにするためには2^4=16
の可能性があります。そのため、ここではBF攻撃が実行され、チャンクが次のようになるようにします:0x70: fastbin_victim -> fake_libc_chunk -> (__malloc_hook - 0x23)
。
(残りのバイトに関する詳細情報については、how2heapの説明を参照してください。BFが機能しない場合、プログラムはクラッシュします(動作するまで繰り返します)。
その後、最初の2つのfast binチャンクを削除するために2つのmallocが実行され、3番目のmallocが実行されて、**__malloc_hook:
**内のチャンクを取得します。
パート2: Unsorted_bin attack
詳細については、以下をチェックしてください:
pageUnsorted Bin Attack基本的には、chunk->bk
で指定された場所に main_arena + 0x68
を書き込むことができます。そして、攻撃では __malloc_hook
を選択します。それを上書きした後、相対的な上書きを使用して one_gadget
を指すようにします。
これには、チャンクを取得してそれを unsorted bin に入れることから始めます:
UAFを使用して、unsorted_bin_ptr->bk
を__malloc_hook
のアドレスにポイントするようにします(以前にこれをブルートフォースしました)。
この攻撃はunsorted binを破壊します(したがってsmallとlargeも)。そのため、今後はfast binからの割り当てのみを使用できます(より複雑なプログラムは他の割り当てを行い、クラッシュする可能性があります)、そしてこれをトリガーするには同じサイズを割り当てる必要があります。さもないとプログラムはクラッシュします。
したがって、__malloc_hook
をunsorted_bin_ptr->bk
に設定した後、main_arena + 0x68
に書き込むトリガーを発生させるには、単に**malloc(0x80)
**を実行する必要があります。
ステップ3: __malloc_hookをsystemに設定する
ステップ1では、__malloc_hook
を含むチャンクを制御することができ(変数malloc_hook_chunk
)、ステップ2では、ここにmain_arena + 0x68
を書き込むことができました。
今、malloc_hook_chunk
での部分的な上書きを悪用して、そこに書き込んだlibcアドレス(main_arena + 0x68
)を使用して**one_gadget
アドレスを指す**ことができます。
ここで、12ビットのランダム性をブルートフォースする必要がある(詳細はhow2heapの例にあります)。
最後に、正しいアドレスが上書きされたら、malloc
を呼び出してone_gadget
をトリガーします。
参考文献
Last updated