技術討論 | Largebin attack漏洞利用分析
<div>
背景知識
我們以64位,libc 2.27爲例,其實與2.23差不多,只不過2.27中,0×420以下堆塊會進入tcache,但是2.23中0×400就能進入largebin了 
largebin 從哪裏來
在堆的機制中,free掉的chunk會進入bin,如果此chunk的大小大於fastbin,free後就會先進unsorted bin,之後,再次申請更大堆塊,unsorted bin無法滿足,heap就會進入large bin,那麼large bin的範圍是多少呢? 源碼告訴我們一切: 
| index | size範圍 |
|---|---|
| 64 | [0x400,0x440) 相差0x40 |
| 65 | [0x440,0x480)相差0x40 |
| ...... | ......相差0x40 |
| 96 | [0xc00,0xc40)相差0x40 |
| 97 | [0xc40,0xe00)相差0x1c0 |
| 98 | [0xe00,0x1000)相差0x200 |
| ...... | ......相差0x200 |
| ...... | ...... |
largebin 的內部
因爲largebin,一個bin內部並不是一個size,所以需要fd_nextsize與bk_nextsize將其串起來。 那麼largebin內部是如何佈置的呢: 首先fd_nextsize指向比他小的最大heap,而bk_nextsize指向比他大的最小的heap,最後將兩條鏈條首尾相連。而fd和bk和其原來的任務一樣,都是指向和其大小相同的堆塊。那麼,畫個草圖: 
large bin attack
那麼large bin attack又是怎麼進行的呢? 現在有兩種常見的利用方式: 在申請largebin的過程中,僞造largebin的bk_nextsize,實現非預期內存申請。 在largebin插入的過程中,僞造largebin的bk_nextsize以及bk,實現任意地址寫堆地址。申請時利用
在申請largebin的時候,從最小的heap開始,利用bk_nextsize尋找合適的heap,如果找到了合適的heap,就將其取出,那麼如果我們將bk_nextsize指向其他地方,就可以申請到其他地方。看下源碼: if ((victim = first (bin)) != bin
&& (unsigned long) chunksize_nomask (victim)
>= (unsigned long) (nb))
{
victim = victim->bk_nextsize;
while (((unsigned long) (size = chunksize (victim)) <
(unsigned long) (nb)))
victim = victim->bk_nextsize; //尋找堆塊
......
remainder_size = size - nb;
unlink (av, victim, bck, fwd); //unlink
所以只需要在目標地方符合unlink,那麼就可以通過檢查了。舉個例子:申請一個largebin,之後free,再申請一個大堆塊使之前堆塊進入large bin:
申請A和底下分割的0x20,之後freeA,申請B和C。
bk_nextsize = B+0x10 ,而B+0x10一般存在bss段上,所以,此時B上僞造以一個的 fd = bss - 0x18 , bk= bss - 0x10 的堆塊,這都屬於unlink常規操作。注意僞造堆塊的fd_nextsize要等於0,因爲unlink有檢查。
之後注意對於僞造堆塊檢查,即檢查下一個堆塊的pre_size。最後得到:
插入時利用
在申請大堆塊後,unsorted bin不滿足size要求,會將其放入large bin,此時,我們可以通過一些辦法,達到一次任意地址寫堆地址的目的,看代碼: victim_index = largebin_index (size);
bck = bin_at (av, victim_index); //這個是main_arena的地址
fwd = bck->fd;//這是最大size的鏈首
/* maintain large bins in sorted order */
if (fwd != bck)
{
/* Or with inuse bit to speed comparisons */
size |= PREV_INUSE;
/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) //bck->bk是最小size的鏈首
< (unsigned long) chunksize_nomask (bck->bk)) //如果當前申請的size小於最小szie
{
fwd = bck;
bck = bck->bk;
victim->fd_nextsize = fwd->fd;
victim->bk_nextsize = fwd->fd->bk_nextsize;
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim;//這裏不好整
}
else //如果當前申請的size不是最小的
{
assert (chunk_main_arena (fwd));
while ((unsigned long) size < chunksize_nomask (fwd)) //從最大塊開始尋找一個小於szie的鏈
{
fwd = fwd->fd_nextsize;
assert (chunk_main_arena (fwd));
}
if ((unsigned long) size
== (unsigned long) chunksize_nomask (fwd)) // 如果找到的鏈和申請的size相同
/* Always insert in the second position. */
fwd = fwd->fd;
else//如果不同,則說明應該插在這個鏈前面
{
victim->fd_nextsize = fwd;//小的鏈在victim上
victim->bk_nextsize = fwd->bk_nextsize;//這裏如果可以控制
fwd->bk_nextsize = victim;
victim->bk_nextsize->fd_nextsize = victim;//這裏能寫一個victim
}
bck = fwd->bk;
}
}
else
victim->fd_nextsize = victim->bk_nextsize = victim;
}
mark_bin (av, victim_index);
victim->bk = bck;
victim->fd = fwd;
fwd->bk = victim;
bck->fd = victim;//最後這裏,還可以有一次寫,如果fwd->bk可控
可以看到,這段代碼中有兩次可以寫入victim的地方,由於其比較簡單,沒啥檢查,所以可以直接搞起:
搞到一塊large bin 然後搞到一塊更大的large bin,且其index一樣。在得到這個large bin之前,先改寫原本就在large bin中的堆塊的bk或bk_nextsize。
舉個例子:
首先申請3個chunk,free A堆塊,之後申請更大的chunk
