个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
26
4
我一直在努力学习堆溢出攻击的基础知识。我最感兴趣的是使用 block 元数据的损坏或修改作为攻击的基础,但我也愿意接受其他建议。我知道我的漏洞利用目标应该是用 challenge() 函数指针覆盖 printf() 函数指针,但我似乎无法理解出如何实现那个写。我有以下要利用的代码,它使用 glibc 2.11.2 中的 malloc :
void challenge()
{
puts("you win\n");
}
int main(int argc, char **argv)
{
char *inputA, *inputB, *inputC;
inputA = malloc(32);
inputB = malloc(32);
inputC = malloc(32);
strcpy(inputA, argv[1]);
strcpy(inputB, argv[2]);
strcpy(inputC, argv[3]);
free(inputC);
free(inputB);
free(inputA);
printf("execute challenge to win\n");
}
显然,实现对已分配 block 的元数据的实际覆盖是微不足道的。但是,我一直无法找到使用任何标准技术来利用此代码的方法。我已阅读并尝试实现以下技术:
unlink 技术已经过时了一段时间。我最初试图通过操纵 inputC block 的大小值来利用此代码,以便它指向 inputC block 的头部。当这不起作用时,我尝试进一步指向 inputB block 。那时我才意识到新的 glibc 对大小值执行完整性检查。
假设用户有能力将分配的 block 的元数据编辑为任意值,并使用它来覆盖 GOT 中的值或写入任何其他任意地址,用户如何才能利用免费的漏洞利用?
注意:当我写“任意地址”时,我理解内存页可能是只读的或 protected ,我的意思是我可以假设我可以写入的地址。
最佳答案
注:回答前声明,纯学术回答,不用于恶意目的。我知道 OP 正在进行的练习,它们是开源的,无意鼓励任何用户在未经批准的情况下使用这些技术。
我将在下面详细介绍该技术,但为了您的引用,我会看一下 Vudo malloc 技巧(在上面的一个链接中引用了它),因为我的概述将是一个简短的:http://www.phrack.com/issues.html?issue=57&id=8
它详细说明了 malloc 如何处理创建内存块、从列表中提取内存以及其他事情。特别是取消链接攻击对这种攻击很感兴趣(注意:你是正确的,glibc 现在出于这个特殊原因对大小执行健全性检查,但你应该使用较旧的 libc 来进行此练习......遗留兄弟)。
从论文中可以看出,分配 block 和空闲 block 使用相同的数据结构,但对数据的处理方式不同。看这里:
chunk -> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| prev_size: size of the previous chunk, in bytes (used |
| by dlmalloc only if this previous chunk is free) |
+---------------------------------------------------------+
| size: size of the chunk (the number of bytes between |
| "chunk" and "nextchunk") and 2 bits status information |
mem -> +---------------------------------------------------------+
| fd: not used by dlmalloc because "chunk" is allocated |
| (user data therefore starts here) |
+ - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
| bk: not used by dlmalloc because "chunk" is allocated |
| (there may be user data here) |
+ - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
| |
| |
| user data (may be 0 bytes long) |
| |
| |
next -> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| prev_size: not used by dlmalloc because "chunk" is |
| allocated (may hold user data, to decrease wastage) |
+---------------------------------------------------------+
分配的 block 不使用 fd 或 bk 指针,但自由 block 会。这在以后很重要。您应该了解足够多的编程知识,以了解 Doug Lea 的 malloc 中的“ block ”被组织成一个双向链表;有一个用于空闲 block 的列表,另一个用于分配的 block (从技术上讲,根据大小有几个免费列表,但它在这里无关紧要,因为代码分配了相同大小的 block )。所以当你释放一个特定的 block 时,你必须修复指针以保持列表的完整性。
例如假设您要从下面的列表中释放 block y:
x <-> y <-> z
请注意,在上图中,bk 和 fd 的位置包含沿列表迭代所需的指针。当 malloc 想要从列表中取出 block p 时,它会调用一个宏来修复列表:
#define unlink( y, BK, FD ) {
BK = P->bk;
FD = P->fd;
FD->bk = BK;
BK->fd = FD;
}
宏本身并不难理解,但在旧版本的 libc 中需要注意的重要一点是它不会对大小或写入的指针执行健全性检查。在您的情况下,这意味着在没有任何类型的地址随机化的情况下,您可以可预测且可靠地确定堆的状态,并通过以特定方式溢出堆(通过此处的 strncopy)将任意指针重定向到您选择的地址.
要使攻击生效,需要做一些事情:
因此,您必须在特定示例中使用偏移量,但您尝试在此处使用 strcpy 传递的一般恶意格式的格式为:
|垃圾填满合法缓冲区| -4 | -4 |您要覆盖的地址 -12 (0x0C) | addr 你想调用
注意负数将 prev_size 字段设置为 -4,这使得自由路由认为 prev_size block 实际上从您控制/正在损坏的当前 block 开始。
是的,如果不提及这种攻击不适用于当前版本的 glibc,那么正确的解释是不完整的;大小已完成健全性检查,取消链接方法将不起作用。这与地址随机化等缓解措施相结合,使得这种攻击在遗留系统以外的任何地方都不可行。但是这里描述的方法是我如何完成挑战的;)
关于c - 使用堆溢出写入任意数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9646608/
26
4
0
我有一个 div(蓝色框),它在父元素(红色框)内的页面上绝对定位,我需要将 overflow-y 设置为隐藏,以便它强制 Y 轴上的溢出内容切掉了,但我希望任何溢出-x 的内容都可见。 HTML:
请参阅以下帖子以获取突出显示我的问题和可能的解决方案的图片: CSS overflow-y:visible, overflow-x:scroll 但是,当您实际移动滚动条时,此策略会中断。在建议的实现
我在搜索中看到过几个类似的问题,但要么没有正确回答问题,要么没有给出答案。所以,我再问一次。 .parent { overflow-y:scroll; overflow-x:visible; wid
我读过这个CSS overflow-x hidden and overflow-y visible (以及很多其他帖子)但我无法在我的具体情况下使用它。 我正在使用 slick-slider并想添加下
我有以下 Spark 作业,试图将所有内容保留在内存中: val myOutRDD = myInRDD.flatMap { fp => val tuple2List: ListBuffer[(St
我有疑问 两个16位的值加上最大值,16位机会不会溢出? 我会详细说明 unsigned short a; unsigned short b; unsigned long c; c=(unsigne
我有这个 HTML 和 CSS,但“溢出:隐藏”标签在 Firefox 中不起作用。这让我感到难过...有人知道为什么它不起作用吗?是因为A标签不支持overflow标签吗? #page_sideba
我正在开发一个程序,用于在 C++ 中分解非常大的数字(20 位或更多),并且正在使用 GMP 来处理溢出问题。我的程序对于大约 10 位或更少的数字运行良好,但是当我向它抛出一个 15 位数字时,它
我创建了一个 Canvas ,并在其中放置了一个StackPanel。 StackPanel是水平的,它接受缩略图图像的列表。 Canvas 具有固定的大小。当我放置的缩略图多于Canvas宽度不能容
当 g_array_append_val() 时会发生什么或 GLib 中的其他附加/前置函数之一,使 GArray 的长度大于 guint (unsigned int) 所能容纳的长度? 文档对此没
overflow-x:hidden 和 overflow:hidden; 有什么区别? 我所知道的是overflow-x:hidden;禁用水平滚动,但当我使用它时,它不仅仅适用于 Firefox,所
我们正在运行 Solr 来索引大量数据,但遇到了一个非常有趣的问题,我无法在任何地方找到任何帮助。 似乎 Solr 使用带符号的 32 位整数来计算索引中当前的文档数。我们刚刚达到了这个数字,我们的
这是我的查询: 从相似性中选择 COUNT(*),其中 T1Similarity = 0 或 T2Similarity = 0 结果如下: Msg 8115, Level 16, State 2, L
int main(void) { char x1 = 0x81; char x2 = 0x1; int a, b; a = x1
我有一个 div,其中的内容通过查询的 append() 定期附加到它。随着内容越来越长,最终会溢出div。我不希望在溢出时出现滚动条,但仍然让内容向上滚动以显示下面的新内容。 这可能吗?当我使用 o
我为 UITextField 创建了一个简单的子类,它按预期工作。我遇到的唯一问题是当文本值变得太大时,它会溢出到清除按钮中。 我似乎无法找到如何仅更改文本的右侧以具有一些填充而不与清除按钮相交的方法
我想要一个包括下拉菜单的粘性导航栏。但是,当我将鼠标悬停在它上面时,下拉菜单没有显示。 如果我删除 overflow: hidden;在无序列表中,当我向下滚动时,导航栏设法保持在顶部,但是导航栏是不
我正在研究一些按钮。我想要一个翻转状态,我在一个 div 的图像中有这个,溢出:隐藏以隐藏不活动的状态。它有时有效,但有时看起来像这样: 最奇怪的是,当我尝试使用 Chrome Web Inspect
基本上,我正在尝试创建一个六边形形状,它内部有一个圆圈,圆圈的多余部分应该被隐藏。演示:https://codepen.io/AskSaikatSinha/pen/jwXNPJ?editors=110
这似乎是一个相当常见且不那么奇特的用例,但我以前没有遇到过。我设置了一支笔,但无法在那里复制它,我正在努力找出原因。 Demo Pen 左侧边栏有一个用于元素列表的自定义滚动窗口,但是虽然设置 ove
我是一名优秀的程序员,十分优秀!