網絡安全滲透測試之musl堆利用技巧

Posted on by

前言

最近比賽出的musl題型的越來越多,不得不學習一波musl的堆利用來應對今後的比賽。這裡要講的是musl1.22版本的利用,因為網上可以找到很多審計源碼的文章,所以這篇文章是通過一道題目來debug去學習堆的利用技巧,這裡用到的是2021第五空間線上賽的notegame題目。

題目分析

1、首先是add函數,使用瞭calloc,申請的最大size是0x90

image.png

2、接著是delete函數,free之後將指針清空瞭

image.png

3、然後是edit函數,漏洞就出現在這裡,這裡存在溢出空字節的漏洞,可以對index清零指向 fake_meta

image.png

4、最後來看這個update函數,這個realloc函數會將原來chunk的內容復制到新的chunk裡面,我們可以用這個來進行泄露libc地址

image.png

調試分析

musl的chunk跟glibc的區別就是,chunk頭的結構存放瞭比較少的堆塊信息,沒有像glibc那樣存放瞭一些指針地址信息,所以我們如果要泄露libc地址的話也是要特定的條件,就是要chunk裡面保存著另外一個chunk的指針地址或者其他指針地址的信息,而且也再不能直接改指針去達到任意分配的效果,而是要改chunk頭僅有的信息去偽造meta進行任意分配。

malloc_context

add(0x20,'a'*0x20)

image.png

1、secret是用來校驗meta域的一個key

2、free_meta_head存放著釋放掉的meta,是個單鏈表結構,這裡還沒有釋放,所以為空

3、active是根據size大小分出來的不同的meta

4、usage_by_class是對應meta的數量

meta

add(0x20,'a'*0x20)
add(0x20,'a'*0x20)
add(0x20,'a'*0x20)
add(0x20,'a'*0x20)
free(3)

image.png

1、prev和next分別是上一個和下一個meta頁,這裡都指向本身,表示隻有一個meta頁

2、 mem表示group的地址,它是由多個chunk組成

3、avail_mask表示可以分配的chunk情況,0x3f0=0b01111110000,因為我們已經分配瞭4個堆塊,所以這裡表示前四個不可分配。

4、freed_mask表示已經釋放的chunk情況,因為我們釋放掉瞭第一個chunk,所以這裡的0x1表示的是free掉的第一個chunk

5、last_idx表示最後一個chunk的下標,這裡是0x9,總數是0xa個

6、freeable表示已經釋放的堆塊個數

7、sizeclass表示管理的group的大小

8、maplen如果不為零表示mmap分配的內存頁數

chunk

add(0x20,'a'*0x20)
add(0x20,'a'*0x20)
add(0x20,'a'*0x20)
add(0x20,'a'*0x20)
free(3)

image.png

1、表示距離group首地址的偏移分別為0x0、0x30、0x60,系統是根據這個偏移來找到對應的meta地址,所以我們如果能改這個偏移比如把chunk1的偏移置零的話,就能在chunk1-0x10的地方偽造一個meta的指針,而這個地方又是我們可以控制的chunk0的data域,於是我們就可以在任意地方偽造一個meta,不過這個地址必須是跟0x1000對齊的。

2、表示當前chunk的下標,當chunk被free之後會變成0xff

3、表示剩下用戶空間的大小,chunk頭後面的4個字節跟glibc的prev_size那樣可以被上一個chunk復用, 所以我們就可知道我們分配的大小跟chunk大小的關系

0x10:0-0xc
0x20:0xd-0x1c
0x30:0x1d-0x2c
0x40:0x2d-0x3c
...

chunk的分配釋放

add(0x50,'a'*0x50)
add(0x50,'a'*0x50)
add(0x50,'a'*0x50)
free(0)
add(0x50,'a'*0x50)

image.png

avail_mask = 0x10=0b10000

freed_mask = 0x1 =0b00001

musl的chunk釋放瞭之後並不會馬上分配,這裡group裡面有5個chunk,先是申請瞭3個chunk,然後free掉第一個,再次申請的時候並不會把第一個chunk分配出來,而是把group的第四個chunk申請出來,然後對應的avail_mask置零

add(0x50,'a'*0x50)
add(0x50,'a'*0x50)
add(0x50,'a'*0x50)
add(0x50,'a'*0x50)
free(0)
free(1)
free(2)
add(0x50,'a'*0x50)
add(0x50,'a'*0x50)

image.png

avail_mask = 0x6 =0b0110

freed_mask = 0x0 =0b0000

耗盡group的chunk的時候,musl會把釋放掉的申請出來,並把其他chunk對應的avail_mask置1

meta的釋放

add(0x50,'a'*0x50)
free(0)

image.png

當隻有一個chunk是被分配出去的,而freed_mask=0,我們把這個chunk給free掉之後,系統會回收整塊meta空間

add(0x50,'a'*0x50)
add(0x50,'a'*0x50)
add(0x50,'a'*0x50)
add(0x50,'a'*0x50)
add(0x50,'a'*0x50)
free(0)
free(1)
free(2)
free(3)
free(4)

image.png

總結起來,就是說avail_mask |freed_mask的結果是滿狀態的時候,就會釋放這個meta。

總結

本篇先通過debug的方法來簡單闡述musl堆塊的結構,後續再講如何對它進行利用。

更多關於網絡安全滲透測試musl堆的資料請關註WalkonNet其它相關文章!

推薦閱讀: