漏洞原理
Double Free其实就是一种在free时利用伪造chunk并且欺骗操作系统,达到修改内存的目的。
基本知识点
先大概说下基本知识。 不管是在正在使用的还是释放的chunk,其数据结构是差不多一样的,差别在于prev_size、’fd’和’bk’,prev_size只有前一个chunk是free状态才会放置其大小,后两个只有当前chunk是free状态才会有,不然只会存放数据。
struct malloc_chunk {
INTERNAL_SIZE_T prev_size; /*如果前一个chunk是free状态,则为其大小*/
INTERNAL_SIZE_T size; /*包含头部在内的chunk的大小*/
struct malloc_chunk * fd; /*如果此chunk释放,此为指向上一个释放chunk的指针*/
struct malloc_chunk * bk; /*与上同样,指向下一个释放chunk*/
}在64位操作系统上,由于堆的分配大小是8字节对齐的,所以pre_size和size后3bit都为0,为了节省空间,glibc把size的后三位用于3个标志位,分别表示:
- PREV_INUSE (P) –标示前一个chunk的分配在用状态。
- IS_MMAPPED (M) – 标示通过mmap分配。
- NON_MAIN_ARENA (N) – 标示此chunk属于线程arena。
关于堆的分配,还需要说明下,堆管理中的chunk指针是指向chunk头部,大小也是包括头部的,而用户申请的大小只是数据空间的大小,返回的指针也是指向数据空间。
malloc
来分析个很简单的程序,这边以64位为例。
int main(int argc, char **argv)
{
char * buf=malloc(32);
strcpy(buf,"hello world");
char * buf1=malloc(504);
char * buf2=malloc(512);
memset(buf1,'1',504);
memset(buf2,'2',512);
free(buf1);
free(buf2);
free(buf);
return 0;
}整个chunk是从0x1c06000开始的,malloc返回的是数据地址也就是0x1c06010,相差0x10,也就是pro_size和size的长度。从下图可以看到第一个红框0x31表示的是整个chunk长度为0x30,前一个chunck处于使用状态
free
第一次free时,可以得到main erana的fastbin地址,这边有点难以理解,建议先去了解malloc 过程http://blog.csdn.net/maokelong95/article/details/51989081
定位到0x7FF832A927B8+C和0x7FF832A927B8+8记录了buf1的地址,也就是fd,bk都为buf1的chunk
第二次free,发现0x7FF832A927B8+C变为0x7FF832A927B8
分析
存在一具有写权限的全局变量ptr指向buf1,如果让buf1释放后fd为指向ptr-0x18(0x234f010-3*0x8),那么在free buf2时,ptr就会指向ptr-0x18(0x234f010-3*0x8),这时候修改*ptr不再是buf1的内容,而是ptr-0x18开始的内存。
参考资料:
https://bbs.pediy.com/thread-218395.htm
https://sploitfun.wordpress.com/2015/02/10/understanding-glibc-malloc/comment-page-1/