Heap Overflow
技術史
- House of Force
Fastbin attack
分享原因
- 對 Heap Overflow (HOF) 有興趣
- 想要了解漏洞背後的原理
HOF 的影響
- sudo -s
- mac < 10.14.4 subject to use after free vulnerability
|
|
HOF 首次出現的地方
Source: MALLOC DES-MALEFICARUM
HOF 的攻擊類型
The house of X
X 包括:
- Prime
- Mind
- Force
- Lore
- Spirit
- Chaos
- Orange
HOF 的攻擊類型
The house of X
X 包括:
- Prime
- Mind
- Force
- Lore
- Spirit
- Chaos
- Orange
HOF 的攻擊類型
The house of X
X 包括:
- Prime
- Mind
- Force
- Lore
- Spirit
- Chaos
- Orange
HOF = Heap + Overflow
舉個例子
Overflow 包括總類
- Buffer Overflow
- Stack Overflow
- Heap Overflow
- Integer Overflow
- Format String Vulnerability
…
Source: Overflows
Heap 簡單介紹
- glibc
- malloc()/free()
- heap 分佈
glibc
malloc()/free()
heap 分佈
漏洞成因
- glibc < 2.29,top chunk size 沒有檢查
例子 1 - 任意寫資料
- 目標:修改 Target 的值
1. 先用 malloc(24, b"A"*24)
- 可以看到 top chunk 是 0x20fe1
2. 用 0xffffffffffffffff 蓋 top chunk
- 可以看到 top chunk 是
0xffffffffffffffff
3. 計算 Target 距離
- distance = delta(heap+0x20, elf.sym.target-0x20)
- malloc(distance, b"")
- 下一個 malloc 就可以覆蓋資料
4. malloc
- malloc(8, b"Hello, gg!")
5. Result
- 成功修改成 Hello, gg!
./Demo1.py
例子 2 - 拿 shell
- 目標:執行任意程式
補充
- __malloc_hook: 自定義 malloc()
- system(): 當前程式執行外部命令
1. 利用 top_chunk 漏洞
- 使用 0xffffffffffffffff
2. 計算到 __malloc_hook 的位址
- 塞我們要用的指令到這邊
/bin/sh - 使用
0xdeadbeef
3. 用 system() 覆蓋 __malloc_hook
- 使用
libc.sym.system取得 system() 位址
4. 呼叫 malloc() 觸發 system()
- 呼叫 system()
- 0x30 是放 /bin/sh 的地方
5. Result: get shell!
- 把它關機
./Demo2.py
討論
- 安全開發生命周期(SDLC):
- 如何在軟體開發過程中融入資訊安全考慮,已更好地預防安全漏洞和降低風險?
- 漏洞披露與修復:
- 技術人員在發現漏洞後應該如何披露和修復?
- 以及如何與其他利益相關者(如軟體開發者、用戶和監管機構)協作?
- 開源與資訊安全:
- 開源軟體在資訊安全領域的應用以及其優缺點?
Heap Overflow 技術史 House of Force Fastbin attack
{"metaMigratedAt":"2023-06-18T01:52:39.161Z","metaMigratedFrom":"YAML","title":"heap overflow","breaks":true,"contributors":"[{\"id\":\"6a610fe4-c967-47b5-84b7-1d26faef3c47\",\"add\":6700,\"del\":1588}]","description":"House of Force"}