hacktricks/binary-exploitation/heap/heap-overflow.md

5.4 KiB
Raw Blame History

堆溢出

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

支持HackTricks的其他方式

基本信息

堆溢出类似于栈溢出,但发生在堆中。基本上意味着在堆中保留了一些空间来存储一些数据,存储的数据大于保留的空间

在栈溢出中,我们知道一些寄存器,如指令指针或堆栈帧,将从堆栈中恢复,并且可能会滥用这一点。在堆溢出的情况下,堆块中默认没有存储任何敏感信息,可以被溢出。但是,可能会有敏感信息或指针,因此此漏洞的严重性取决于可以被覆盖的数据以及攻击者如何滥用此漏洞

{% hint style="success" %} 为了找到溢出偏移量,您可以使用与栈溢出相同的模式。 {% endhint %}

栈溢出 vs 堆溢出

在栈溢出中,当漏洞触发时,堆栈中将出现的排列和数据相当可靠。这是因为堆栈是线性的,在冲突内存中始终增加,在程序运行的特定位置,堆栈内存通常存储类似类型的数据,并且具有一些特定结构,每个函数使用的堆栈部分末尾有一些指针。

然而,在堆溢出的情况下,由于使用的内存不是线性的,而是通常在内存的分离位置分配的块(不是相邻的),这是因为通过大小分隔分配的bins和zones,以及在分配新块之前使用先前释放的内存。很难知道将与易受堆溢出的对象发生冲突的对象是什么。因此,当发现堆溢出时,需要找到一种可靠的方法,使期望的对象从易受溢出的对象的旁边开始。

用于此目的的技术之一是堆整理,例如在此文章中使用。文章中解释了在iOS内核中当一个区域的内存用完以存储内存块时它会通过一个内核页扩展然后将该页分割为预期大小的块这些块将按顺序使用直到iOS版本9.2,然后这些块以随机方式使用,以增加这些攻击的利用难度)。

因此,在先前的文章中,发生堆溢出时,为了强制溢出的对象与受害者顺序发生冲突,通过几个线程强制执行几个**kallocs**,以确保所有空闲块都被填充,并创建一个新页面。

为了强制使用特定大小的对象填充此对象与iOS mach端口相关联的离线分配是一个理想的选择。通过精心制作消息的大小,可以精确指定kalloc分配的大小当相应的mach端口被销毁时相应的分配将立即释放回kfree

然后,可以释放其中一些占位符。kalloc.4096空闲列表以后进先出的顺序释放元素,这基本上意味着如果释放了一些占位符,并且尝试在分配易受溢出的对象时分配多个受害者对象,那么很可能该对象将被一个受害者对象跟随。

ARM64示例

在页面https://8ksec.io/arm64-reversing-and-exploitation-part-1-arm-instruction-set-simple-heap-overflow/中,您可以找到一个堆溢出示例,其中将要执行的命令存储在溢出块的下一个块中。因此,可以通过用易受攻击的块覆盖它来修改要执行的命令,例如:

python3 -c 'print("/"*0x400+"/bin/ls\x00")' > hax.txt
从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

其他支持HackTricks的方式