House of Roman
Taarifa Msingi
Hii ilikuwa mbinu ya kuvutia sana iliyoruhusu RCE bila kuvuja kupitia fastbins bandia, shambulio la unsorted_bin na kubadilisha maeneo ya kumbukumbu kwa kiasi kinachofaa. Hata hivyo, imefanyiwa marekebisho.
Kanuni
Unaweza kupata mfano katika https://github.com/shellphish/how2heap/blob/master/glibc_2.23/house_of_roman.c
Lengo
RCE kwa kudanganya pointers za kihusishi
Mahitaji
Hariri pointers za fastbin na unsorted bin
Lazima ujaribu kwa nguvu bits 12 za nasibu (0.02% nafasi) ya kufanya kazi
Hatua za Shambulio
Sehemu 1: Fastbin Chunk inaelekeza kwa __malloc_hook
Unda vipande kadhaa:
fastbin_victim(0x60, offset 0): Kipande cha UAF kitakachotumiwa baadaye kuhariri pointer ya kumbukumbu ili ielekee thamani ya LibC.chunk2(0x80, offset 0x70): Kwa upangilio mzurimain_arena_use(0x80, offset 0x100)relative_offset_heap(0x60, offset 0x190): kiasi cha kihusishi kwenye kipande cha 'main_arena_use'
Kisha free(main_arena_use) ambayo itaweka kipande hiki kwenye orodha isiyopangwa na kupata pointer kwa main_arena + 0x68 katika pointers za fd na bk.
Sasa inaundwa kipande kipya fake_libc_chunk(0x60) kwa sababu italeta pointers kwa main_arena + 0x68 katika fd na bk.
Kisha relative_offset_heap na fastbin_victim zinaachiliwa.
fastbin_victiminafdinayoelekezarelative_offset_heaprelative_offset_heapni mbali ya umbali kutoka kwafake_libc_chunk, ambayo ina pointer kwamain_arena + 0x68Kwa kubadilisha herufi ya mwisho ya
fastbin_victim.fdinawezekana kufanyafastbin_victim ielekeekwamain_arena + 0x68
Kwa hatua zilizotangulia, mshambuliaji anahitaji kuwa na uwezo wa kubadilisha kidude cha fd cha fastbin_victim.
Kisha, main_arena + 0x68 sio ya kuvutia sana, hivyo turekebishe ili kidude kiashirie __malloc_hook.
Tambua kwamba __memalign_hook kawaida huanza na 0x7f na sifuri kabla yake, kwa hivyo inawezekana kuidanganya kama thamani katika fast bin ya 0x70. Kwa sababu biti 4 za mwisho za anwani ni za kubahatisha kuna 2^4=16 uwezekano wa thamani kuishia kuelekeza mahali tunapovutiwa. Kwa hivyo shambulio la BF linatekelezwa hapa ili kidude kiishie kama: 0x70: fastbin_victim -> fake_libc_chunk -> (__malloc_hook - 0x23).
(Kwa habari zaidi kuhusu sehemu iliyobaki ya herufi angalia maelezo katika how2heap mfano). Ikiwa BF haifanyi kazi, programu itaanguka (kwa hivyo anza tena hadi itakapofanya kazi).
Kisha, 2 mallocs zinatekelezwa kuondoa vipande 2 vya mwanzo vya fast bin na ya tatu inatengwa kupata kidude katika __malloc_hook:
Sehemu 2: Shambulio la unsorted_bin
Kwa maelezo zaidi unaweza kuangalia:
Unsorted Bin AttackLakini kimsingi inaruhusu kuandika main_arena + 0x68 kwenye eneo lolote lililowekwa katika chunk->bk. Na kwa shambulio tunachagua __malloc_hook. Kisha, baada ya kuibadilisha tutatumia ubadilishaji wa kihesabu) kuashiria kwa one_gadget.
Kwa hili tunaanza kupata kipande na kukitia kwenye unsorted bin:
Tumia UAF katika sehemu hii kuashiria unsorted_bin_ptr->bk kwa anwani ya __malloc_hook (tulilazimisha hii hapo awali).
Tafadhali kumbuka kuwa shambulio hili linaharibu sanduku lisilo na mpangilio (hivyo ndogo na kubwa pia). Kwa hivyo tunaweza kutumia alokesheni kutoka kwa sanduku la haraka sasa (programu yenye ngumu zaidi inaweza kufanya alokesheni nyingine na kugonga), na ili kuzindua hii lazima aloke ukubwa sawa au programu itaanguka.
Kwa hivyo, ili kuzindua andika ya main_arena + 0x68 katika __malloc_hook tunafanya baada ya kuweka __malloc_hook katika unsorted_bin_ptr->bk tunahitaji tu kufanya: malloc(0x80)
Hatua 3: Weka __malloc_hook kuwa mfumo
Katika hatua ya kwanza tulimaliza kudhibiti kipande kinachohusisha __malloc_hook (katika kipengele cha malloc_hook_chunk) na katika hatua ya pili tulifanikiwa kuandika main_arena + 0x68 hapa.
Sasa, tunatumia uandishi wa sehemu katika malloc_hook_chunk kutumia anwani ya libc tuliyoiandika hapo (main_arena + 0x68) ku ashiria anwani ya one_gadget.
Hapa ndipo inapohitajika kuvunja nguvu 12 bits za nasibu (maelezo zaidi katika how2heap mfano).
Hatimaye, baada ya anwani sahihi kuandikwa, ita malloc na kuzindua one_gadget.
Marejeo
Last updated
