Korean - Ht
HackTricks Training Twitter Linkedin Sponsor

unlink

AWS 해킹 학습 및 실습:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 학습 및 실습: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

코드

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c

/* Take a chunk off a bin list.  */
static void
unlink_chunk (mstate av, mchunkptr p)
{
if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr ("corrupted size vs. prev_size");

mchunkptr fd = p->fd;
mchunkptr bk = p->bk;

if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
malloc_printerr ("corrupted double-linked list");

fd->bk = bk;
bk->fd = fd;
if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
{
if (p->fd_nextsize->bk_nextsize != p
|| p->bk_nextsize->fd_nextsize != p)
malloc_printerr ("corrupted double-linked list (not small)");

// Added: If the FD is not in the nextsize list
if (fd->fd_nextsize == NULL)
{

if (p->fd_nextsize == p)
fd->fd_nextsize = fd->bk_nextsize = fd;
else
// Link the nexsize list in when removing the new chunk
{
fd->fd_nextsize = p->fd_nextsize;
fd->bk_nextsize = p->bk_nextsize;
p->fd_nextsize->bk_nextsize = fd;
p->bk_nextsize->fd_nextsize = fd;
}
}
else
{
p->fd_nextsize->bk_nextsize = p->bk_nextsize;
p->bk_nextsize->fd_nextsize = p->fd_nextsize;
}
}
}

그래픽 설명

unlink 프로세스의 훌륭한 그래픽 설명을 확인하세요:

https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/implementation/figure/unlink_smallbin_intro.png

보안 확인 사항

  • 청크의 크기가 다음 청크에 표시된 prev_size와 동일한지 확인

  • 또한 P->fd->bk == PP->bk->fw == P를 확인

  • 청크가 작지 않은 경우, P->fd_nextsize->bk_nextsize == PP->bk_nextsize->fd_nextsize == P를 확인

누출

언링크된 청크는 할당된 주소를 정리하지 않으므로, rad에 액세스하여 흥미로운 주소를 누출할 수 있습니다:

Libc 누출:

  • P가 이중 연결 목록의 헤드에 위치한 경우, bk는 libc의 malloc_state를 가리킵니다.

  • P가 이중 연결 목록의 끝에 위치한 경우, fd는 libc의 malloc_state를 가리킵니다.

  • 이중 연결 목록에 빈 청크가 하나만 있는 경우, P가 이중 연결 목록에 있고, fdbk 모두 malloc_state 내부 주소를 누출할 수 있습니다.

힙 누출:

  • P가 이중 연결 목록의 헤드에 위치한 경우, fd는 힙의 사용 가능한 청크를 가리킵니다.

  • P가 이중 연결 목록의 끝에 위치한 경우, bk는 힙의 사용 가능한 청크를 가리킵니다.

  • P가 이중 연결 목록에 있는 경우, fdbk는 모두 힙의 사용 가능한 청크를 가리킵니다.

Previousmalloc & sysmallocNextHeap Functions Security Checks

Last updated