c0wb3ll's 5tudy B109

Unsafe_unlink

Reference https://github.com/shellphish/how2heap https://dreamhack.io/learn/2/16#44 http://lazenca.net/pages/viewpage.action?pageId=1148137 https://koharinn.tistory.com/142 https://code1018.tistory.com/195?category=981925 https://rninche01.tistory.com/entry/heap-exploit-Unsafe-Unlink https://wogh8732.tistory.com/195 https://midascopp.tistory.com/66 Unsafe_unlink Unsafe_unlink는 헤더 값이 조작된 Fake chu..

fastbin_dup_consolidate

소스코드 #include #include #include int main() { void* p1 = malloc(0x40); void* p2 = malloc(0x40); fprintf(stderr, "Allocated two fastbins: p1=%p p2=%p\n", p1, p2); fprintf(stderr, "Now free p1!\n"); free(p1); void* p3 = malloc(0x400); fprintf(stderr, "Allocated large bin to trigger malloc_consolidate(): p3=%p\n", p3); fprintf(stderr, "In malloc_consolidate(), p1 is moved to the unsorted bin.\n"); f..

fastbin_dup_into_stack

fastbin_dup_into_stack.c 소스코드 #include #include int main() { fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" "returning a pointer to a controlled location (in this case, the stack).\n"); unsigned long long stack_var; fprintf(stderr, "The address we want malloc() to return is %p.\n", 8+(char *)&stack_var); fprintf(stderr, "Allocating 3 buffers.\n"); int *a = malloc(..

fastbin_dup

fastbin_dup.c 소스코드 #include #include #include int main() { fprintf(stderr, "This file demonstrates a simple double-free attack with fastbins.\n"); fprintf(stderr, "Allocating 3 buffers.\n"); int *a = malloc(8); int *b = malloc(8); int *c = malloc(8); fprintf(stderr, "1st malloc(8): %p\n", a); fprintf(stderr, "2nd malloc(8): %p\n", b); fprintf(stderr, "3rd malloc(8): %p\n", c); fprintf(stderr, "F..

how2heap 준비

git clone https://github.com/shellphish/how2heap cd how2heap && make

Heap Arena

Reference https://rninche01.tistory.com/entry/heap2-glibc-malloc1-feat-Arena?category=838537 https://wogh8732.tistory.com/180 https://s0ngsari.tistory.com/entry/BlackHat-Draft-mallocstate-structure https://www.lazenca.net/pages/viewpage.action?pageId=51970061 http://core-analyzer.sourceforge.net/index_files/Page335.html Arena 란? 각각의 스레드가 서로 간섭하지 않고 서로 다른 메모리 영역에서 액세스 할 수 있도록 도와주는 힙 영역이다. 단일 스레드 ..

Heap_기초 2

Heap_기초 2 정리 오늘 정리는 힙 공부를 하면서 여기저기 많이 들려보았지만 fkillrra님의 블로그를 보고 추천영상을 받아 그것을 기초로 정리하였다. 마지막 부분에 reference를 첨부했으니 그 글을 보는 것을 추천한다. 또한 이 글은 힙에 대한 기초적인 내용의 이해를 위해 glibc_2.23버전에서 실습하였다. (ubuntu16.04) dlmalloc의 알고리즘 boundary tag chunk의 크기 정보가 chunk의 앞뒤에 저장 binning 재사용가능한 chunk를 크기 단위로 관리 boundary tag 각 chunk들이 할당될 때 크기 정보는 각 chunk의 size부분에 저장된다. 각 청크가 해제될 때 크기 정보가 바로 뒤 chunk의 prev_size부분에 저장된다. 위 그림을..

Heap_기초 1

정리 오늘 정리는 힙 공부를 하면서 여기저기 많이 들려보았지만 fkillrra님의 블로그를 보고 추천영상을 받아 그것을 기초로 정리하였다. 마지막 부분에 reference를 첨부했으니 그 글을 보는 것을 추천한다. 또한 이 글은 힙에 대한 기초적인 내용의 이해를 위해 glibc_2.23버전에서 실습하였다. (ubuntu16.04) 메모리 구조에 대해 공부를 하다보면 위와 같은 자료를 많이 보았을 것이다. 이번 포스팅에서는 위에 구조에서 나누어진 Code(text), Data, Heap, Stack 영역 중 Heap 영역에 대해서 정리를 할 예정이다. Heap Heap이란 프로그램이 실행되는 도중 동적으로 할당하고 해제하여 사용하는 메모리 영역을 의미한다. C 에서 사용하는 malloc 함수가 대표적인 메..

ret2libc - x64 && (MOVAPS issue 삽질)

ret2libc-x64 RTL(return-to-libc) RTL이란 Return address 영역에 공유 라이브러리 함수의 주소로 변경해, 해당 함수를 호출하는 방식 NX-Bit(DEP) 우회 가능 Calling Convention System V AMD64 ABI Solaris, Linux, 에서 사용하는 함수 호출 규약 UNIX계열 운영체제의 표준 특징 레지스터 rdi, rsi, rdx, rcx, r8 및 r9는 정수 및 메모리 주소 인수가 전달됨 레지스터 XMM0, XMM1, XMM2, XMM3, XMM4, XMM5, XMM6 및 XMM7은 부동 소수점 인수가 전달됨 인자 전달 방법 rdi, rsi, rdx, rcx, r8, r9, XMM0-7 오른쪽에서 왼쪽의 순서로 레지스터에 저장 함수 반환..

ROP

ROPROP?Return Oriented Programming 의 약자취약한 프로그램에 기계어 코드를 삽입하여 콜스택을 제어하는 공격기법이다.필요한 배경지식PLT,GOTGOT OverwriteRTL ChainGadgetPLT, GOTPLT : 외부 프로시저를 연결해주는 테이블GOT : PLT가 참고하는 테이블, 실제 함수 주소가 들어있다.PLT, GOT의 경우 첫번째 호출과 그 후의 호출이 다른데 첫번째 호출에서는 GOT에 PLT+6주소가 들어있어서 복잡한 과정을 거쳐 외부 라이브러리에 함수를 GOT에 연결시키고 그 후에 호출될 때는 GOT에 실제 함수 주소가 들어있어서 GOT에서 실제 함수를 호출 시켜준다.GOT Overwrite말 그대로 GOT를 덮어씌우는 기법GOT를 덮어씌워 특정 함수를 호출할 경..

메모리 보호 기법 (RELRO)

메모리 보호 기법 (RELRO) 메모리 보호 기법 종류 NX Bit ( MS : DEP ) ASLR Canaries RELRO PIE RELRO Explanation RELRO는 RELocation Read-Only의 줄임말이며, ELF 바이너리 / 프로세스의 데이터 섹션의 보안을 강화하는 일반적인 기술이다. RELRO에는 Partial RELRO와 FULL RELRO 두가지 모드가 있다. 각각 RELRO에 대한 특징은 다음과 같다. No RELRO 명령어 옵션 : gcc -Wl,-z,norelro Lazy Binding Write to GOT Partial RELRO 명령어 옵션 : gcc -Wl,-z,relro Lazy Binding Write to GOT RELRO in the Program Hea..

메모리 보호 기법 (Canary)

메모리 보호 기법 (Canaries) 메모리 보호 기법 종류 NX Bit ( MS : DEP ) ASLR Canaries RELRO PIE Canaries Canaries 또는 Canary word는 버퍼 오버 플로우를 모니터하기 위해 버퍼와 제어 데이터 사이에 설정 된 값 버퍼 오버플로가 발생하면 Canary 값이 손상되며, Canaries 데이터의 검증에 실패하여, 오버플로에 대한 경고가 출력되고, 손상된 데이터를 무효화 처리 Canaries 종류 Terminator Canaries Terminator Canaries는 Canary의 값을 문자열의 끝을 나타내는 문자들을 이용해 생성 Terminator Canaries의 값은 NULL (0x00), CR (0x0d), LF (0x0a) 및 EOF (0..