网络安全渗透测试之musl堆利用技巧
目录
- 前言
- 题目分析
- 调试分析
- malloc_context
- meta
- chunk
- meta的释放
- 总结
前言
最近比赛出的musl题型的越来越多,不得不学习一波musl的堆利用来应对今后的比赛。这里要讲的是musl1.22版本的利用,因为网上可以找到很多审计源码的文章,所以这篇文章是通过一道题目来debug去学习堆的利用技巧,这里用到的是2021第五空间线上赛的notegame题目。
题目分析
1、首先是add函数,使用了calloc,申请的最大size是0x90
2、接着是delete函数,free之后将指针清空了
3、然后是edit函数,漏洞就出现在这里,这里存在溢出空字节的漏洞,可以对index清零指向 fake_meta
4、最后来看这个update函数,这个realloc函数会将原来chunk的内容复制到新的chunk里面,我们可以用这个来进行泄露libc地址
调试分析
musl的chunk跟glibc的区别就是,chunk头的结构存放了比较少的堆块信息,没有像glibc那样存放了一些指针地址信息,所以我们如果要泄露libc地址的话也是要特定的条件,就是要chunk里面保存着另外一个chunk的指针地址或者其他指针地址的信息,而且也再不能直接改指针去达到任意分配的效果,而是要改chunk头仅有的信息去伪造meta进行任意分配。
malloc_context
add(0x20,'a'*0x20)
1、secret是用来校验meta域的一个key
2、free_meta_head存放着释放掉的meta,是个单链表结构,这里还没有释放,所以为空
3、active是根据size大小分出来的不同的meta
4、usage_by_class是对应meta的数量
meta
add(0x20,'a'*0x20) add(0x20,'a'*0x20) add(0x20,'a'*0x20) add(0x20,'a'*0x20) free(3)
1、prev和next分别是上一个和下一个meta页,这里都指向本身,表示只有一个meta页
2、 mem表示group的地址,它是由多个chunk组成
3、avail_mask表示可以分配的chunk情况,0x3f0=0b01111110000,因为我们已经分配了4个堆块,所以这里表示前四个不可分配。
4、freed_mask表示已经释放的chunk情况,因为我们释放掉了第一个chunk,所以这里的0x1表示的是free掉的第一个chunk
5、last_idx表示最后一个chunk的下标,这里是0x9,总数是0xa个
6、freeable表示已经释放的堆块个数
7、sizeclass表示管理的group的大小
8、maplen如果不为零表示mmap分配的内存页数
chunk
add(0x20,'a'*0x20) add(0x20,'a'*0x20) add(0x20,'a'*0x20) add(0x20,'a'*0x20) free(3)
1、表示距离group首地址的偏移分别为0x0、0x30、0x60,系统是根据这个偏移来找到对应的meta地址,所以我们如果能改这个偏移比如把chunk1的偏移置零的话,就能在chunk1-0x10的地方伪造一个meta的指针,而这个地方又是我们可以控制的chunk0的data域,于是我们就可以在任意地方伪造一个meta,不过这个地址必须是跟0x1000对齐的。
2、表示当前chunk的下标,当chunk被free之后会变成0xff
3、表示剩下用户空间的大小,chunk头后面的4个字节跟glibc的prev_size那样可以被上一个chunk复用, 所以我们就可知道我们分配的大小跟chunk大小的关系
0x10:0-0xc 0x20:0xd-0x1c 0x30:0x1d-0x2c 0x40:0x2d-0x3c ...
chunk的分配释放
add(0x50,'a'*0x50) add(0x50,'a'*0x50) add(0x50,'a'*0x50) free(0) add(0x50,'a'*0x50)
avail_mask = 0x10=0b10000
freed_mask = 0x1 =0b00001
musl的chunk释放了之后并不会马上分配,这里group里面有5个chunk,先是申请了3个chunk,然后free掉第一个,再次申请的时候并不会把第一个chunk分配出来,而是把group的第四个chunk申请出来,然后对应的avail_mask置零
add(0x50,'a'*0x50) add(0x50,'a'*0x50) add(0x50,'a'*0x50) add(0x50,'a'*0x50) free(0) free(1) free(2) add(0x50,'a'*0x50) add(0x50,'a'*0x50)
avail_mask = 0x6 =0b0110
freed_mask = 0x0 =0b0000
耗尽group的chunk的时候,musl会把释放掉的申请出来,并把其他chunk对应的avail_mask置1
meta的释放
add(0x50,'a'*0x50) free(0)
当只有一个chunk是被分配出去的,而freed_mask=0,我们把这个chunk给free掉之后,系统会回收整块meta空间
add(0x50,'a'*0x50) add(0x50,'a'*0x50) add(0x50,'a'*0x50) add(0x50,'a'*0x50) add(0x50,'a'*0x50) free(0) free(1) free(2) free(3) free(4)
总结起来,就是说avail_mask |freed_mask的结果是满状态的时候,就会释放这个meta。
总结
本篇先通过debug的方法来简单阐述musl堆块的结构,后续再讲如何对它进行利用。
更多关于网络安全渗透测试musl堆的资料请关注我们其它相关文章!
相关推荐
-
网络安全渗透测试使用goby检测log4j漏洞
目录 一.前言 二.漏洞复现 三.gobypoc编写 expJson部分 自定义POC函数部分 一.前言 前段时间的Log4j漏洞影响很广泛,网上已经公开了很多地方的利用方式,而平时用goby较多,就想利用goby的指纹识别对目标定向检测.这篇文章就从Apache Solr Log4j漏洞为例,教大家如何写goby poc,文章中有错误还请及时指正. Goby可以通过编写go文件,来实现一些高级的漏洞检测或利用,例如dnslog检测漏洞 详情可查阅goby官方文档:https://cn.gobi
-
网络安全渗透测试小程序抓包流程步骤详解
目录 小程序测试流程 搜索目标小程序 小程序主体信息确认 小程序包获取 PC端 windows端获取小程序包流程 移动端 解包 调试 抓包 小程序测试流程 分为两个方面,解包可以挖掘信息泄露问题.隐藏的接口,抓包可以测试一些逻辑漏洞.API安全问题.两者结合起来就可以边调试边进行测试,更方便于安全测试. 搜索目标小程序 目标搜索不能仅仅局限于主体单位,支撑单位.供应商.全资子公司等都可能是入口点,所以小程序当然也不能放过它们. 小程序主体信息确认 查看小程序账号主体信息,否则打偏了花费了时间不说
-
windows上利用charles抓取微信小程序数据包,手机APP数据包(HTTP与HTTPS数据包)
1.下载charles包.安装 Charles Proxy抓包工具 v4.1 破解文件 win64 附破解方法 2.关闭电脑防火墙 打开控制面板,选择Windows防火墙,关了(不关很可能没法抓包,在这栽过坑) 2.连接手机 2.1 用数据线把手机连上电脑 2.2 查电脑ip,命令行输入 ipconfig 2.3 修改手机网络代理 手机网络改为代理,ip为电脑ip,端口8888(charles默认端口,若被其他程序占用可修改,原则是保持电脑和手机一致) 3.安装SSL证书 (大多数app或小程序
-
渗透测试信息收集查询真实IP过程
查找真实IP 如果目标服务器不存在CDN可以直接通过 http://tools.jb51.net/aideddesign/ipcha 获取目标的一些IP及域名信息. 目标服务器存在CDN CDN即内容分发网络,主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题. 说简单点,就是一组在不同运营商之间的对接节点上的高速缓存服务器,把用户经常访问的静态数据资源(例如静态的html.css.js图片等文件)直接缓存到节点服务器上.当用户再次请求时,会直接分发到在理用户近的节点服务器上响应给用
-
微信小程序-API接口安全详解
一.接口安全的必要性 最近我们公司的小程序要上线了,但是小程序端是外包负责的,我们负责提供后端接口.这就可能会造成接口安全问题.一些别有用心的人可以通过抓包或者其他方式即可获得到后台接口信息,如果不做权限校验,他们就可以随意调用后台接口,进行数据的篡改和服务器的攻击,会对一个企业造成很严重的影响. 因此,为了防止恶意调用,后台接口的防护和权限校验非常重要. 虽然小程序有HTTPs和微信保驾护航,但是还是要加强安全意识,对后端接口进行安全防护和权限校验. 二.小程序接口防护 小程序的登录过程: 小
-
网络安全渗透测试之musl堆利用技巧
目录 前言 题目分析 调试分析 malloc_context meta chunk meta的释放 总结 前言 最近比赛出的musl题型的越来越多,不得不学习一波musl的堆利用来应对今后的比赛.这里要讲的是musl1.22版本的利用,因为网上可以找到很多审计源码的文章,所以这篇文章是通过一道题目来debug去学习堆的利用技巧,这里用到的是2021第五空间线上赛的notegame题目. 题目分析 1.首先是add函数,使用了calloc,申请的最大size是0x90 2.接着是delete函数,
-
网络安全漏洞渗透测试之文件上传绕过思路案例详解
目录 引言 案例一 案例二 案例三 案例四 其它场景&总结 引言 分享一些文件上传绕过的思路,下文内容多包含实战图片,所以打码会非常严重,可多看文字表达:本文仅用于交流学习, 由于传播.利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任. 案例一 一次项目渗透时,通过往png后缀随便加个字符可知该上传点为白名单上传,正常情况下无法绕过 通过观察接口信息,发现接口名字为UploadImg,猜测该接口用于图片上传,按照开发的习惯,保不准会存在te
-
网络安全渗透测试反序列化漏洞分析与复现工作
目录 0x00概述 0x01服务分析 0x02漏洞分析 0x03POC构造 0x04总结 0x00 概述 GENESIS64软件的多个版本存在反序列化漏洞,影响多个组件,例如: 根据CVE漏洞相关描述,下载对应GENESIS软件版本搭建环境,进行漏洞分析与复现工作. 0x01 服务分析 安装完成后对整个系统进行熟悉,发现Web程序接口使用Silverlight进行数据交互,因此需要找到相关功能文件进行分析.经过一些时间查找,找到系统服务开启的配置文件,在配置文件中定义了访问接口信息以及调用的相关
-
Kali渗透测试之使用Metasploit对Web应用的攻击
目录 实 验 环 境 实 验 步 骤 1. 在Kali中启动并进入msf6 2. 启动web_delivery模块 3. 设置木马类型.木马主控端IP地址和端口 4. 执行run 5. 在靶机DVWA中“Command Execution”页面中注入命令 6. 在Kali中查看session Web应用程序的漏洞数量众多,这里我们以其中一个命令注入漏洞为例复现一下.这种漏洞源于Web应用程序没有对用户输入的内容进行准确的验证,从而导致操作系统执行了攻击者输入的命令.下面是一段运行在Metaspl
-
eWebSoft在线编辑器漏洞利用技巧
现在eWebSoft在线编辑器用户越来越多, 危害就越来越大~ 转载标明: 作者:badwolf 出处:坏狼安全网 http://www.winshell.cn/ 首先介绍编辑器的一些默认特征: 默认登陆admin_login.asp 默认数据库db/ewebeditor.mdb 默认帐号admin 密码admin或admin888 搜索关键字:"inurl:ewebeditor" 关键字十分重要 有人搜索"eWebEditor - eWebSoft在线编辑器" 根
-
使用百度搜索引擎鲜为人知的深度搜索优化语法
目录 搜索语法汇总[建议收藏] 1.filetype 搜索文件的后缀或者扩展名 2.info 网站基本信息 3.inurl 网址链接包含的关键字 4. index of 对搜索引擎结果进行二次检索 5.intext 网页内容信息 6.intitle 网页title信息 7.cache 搜索引擎缓存信息 8.define 关键词定义 9.link 相关联的网址 10.site 主网站子网站 11.links 类似link和site 12.allinurl 所有相关的url链接 搜索案例 获取某
-
C语言植物大战数据结构堆排序图文示例
目录 TOP.堆排序前言 一.向下调整堆排序 1.向下调整建堆 建堆的技巧 建堆思路代码 2.向下调整排序 调整思路 排序整体代码 3.时间复杂度(难点) 向下建堆O(N) 向下调整(N*LogN) 二.向上调整堆排序 1.向上调整建堆 2.建堆代码 “大弦嘈嘈如急雨,小弦切切如私语”“嘈嘈切切错杂弹,大珠小珠落玉盘” TOP.堆排序前言 什么是堆排序?假如给你下面的代码让你完善堆排序,你会怎么写?你会怎么排? void HeapSort(int* a, int n) { } int main(
-
Serv-U漏洞解析 防患于未然 serv_u安全设置
如上描述,如果serv_u不做任何安全设置就投入使用,到时候引起后果请大家一定要看下,一句话降低serv_u运行权限,设置密码,如果不会可以找我们帮忙解决.所有的工具我们服务器安全设置频道都有都有. Serv-U是一个极为强大的FTP服务器软件,界面简洁,容易上手,不论是商业用途,还是自己搭个人FTP,它几乎成了首选软件,而近两年不断爆出的各个版本的安全漏洞,却让大家在使用Serv-U时不得不多留个心眼. 攻击手段 纵览一下当前网络上流行的漏洞攻击方式,软件缺陷所造成的溢出最为关键,简单的说溢出