首页 > 程序开发 > 移动开发 > Android > 正文
unlink之android中的利用
2017-06-19       个评论    来源:houjingyi的博客  
收藏    我要投稿

unlink之android中的利用,前面我们学习了64位和32位下unlink的利用,下面是android4.4模拟器上的一个Demo,基于这个Demo来具体分析android中unlink利用的原理。

分析

该Demo是一个native可执行程序(源码),主要的功能是建立note并保存用户的输入到该note,每一个note的大小为0x80,总共可以新建10个note,每个note可以通过notes这个全局变量来索引。比如建立一个note,索引为0,note 0的内容为1234,然后把note 0的内容重新改为5678,接着释放掉note 0,最后退出程序。其操作如下。

然而在handle_cmd()函数中给notes中的note赋值时,没有对note_size进行检查,如果note_size大于0x80,会导致堆溢出。

利用

这里把利用过程分为6个步骤。
1. 新建note 0和note 1
2. 伪造相关数据
3. free(notes[1])触发unlink
4. 将free@plt的地址写入notes[0]
5. 修改free@plt的指令
6. 新建并释放notes[2]触发system(“/system/bin/sh”)
下面对每一个步骤进行详细的讲解。

准备

启动一个Android 4.4模拟器(arm),将unlink_demo、gdb和socat push到/data/local/tmp目录下。

adb push unlink_demo /data/local/tmp
adb push gdb /data/local/tmp
adb push socat /data/local/tmp

进入模拟器shell环境,通过socat将unlink_demo作为服务绑定到端口12345。

adb shell
cd /data/local/tmp
./socat tcp4-listen:12345,fork exec:./unlink_demo

在主机上配置端口转发。

adb forward tcp:12345 tcp:12345

step 1.新建note 0和note 1

self.__malloc_note(0, 4, "c" * 4)
self.__malloc_note(1, 4, "c" * 4)

这里建立了两个note,内容均初始化为cccc,此时的内存布局如下图所示。

notes[0]中存的是note 0的起始地址,notes[1]中存的是note 1的起始地址。在使用malloc进行分配内存时,对于32位来说分配的内存是8字节对齐的,且实际分配内存的起始地址要比malloc的返回值小8,多出的8个字节表示前一个内存块的大小presize(如果前一个内存块是空闲的)和当前内存块的大小size,由于内存8字节对齐,因而size的低3位用作标志位。

step 2.伪造相关数据

首先来看一下android中空闲内存块的结构。

presize:前一个块的大小(如果前一个块是空闲的)
size:当前块的大小
F标志位:目前还没有用
C标志位:如果当前块已被分配,置1;否则,置0
P标志位:如果前一个块已被分配,置1;否则,置0
如果C、P都是0,表示该内存块是通过mmap得到的,这也说明了在内存中不存在两个连续相邻的大内存块。(android中空闲内存块标志位的含义和Linux的不一样)
fd:下一个空闲内存块的地址
bk:上一个空闲内存块的地址
回顾unlink的关键操作如下。

//将 p 移除链表
F = p -> fd;
B = p -> bk;
if (F -> bk == p && B -> fd == p){
  F -> bk = B;
  B -> fd = F;
}

向note 0填充0x88字节的内容,多出的8个字节将会覆盖note 1的presize和size&flag。那么如何构造填充的内容以便free(notes[1])的时候触发unlink呢?首先修改note 1中的P标志位,将其置0,这样就会认为前一个块note 0是空闲的,然后将note 1内存块的presize字段改为0x80,这样就会认为前一个内存块大小只有0x80(包括presize、size&flag、fd和bk),且这0x80字节的内容完全可控,最后伪造空闲块的fd和bk。由于unlink时会对unlink的节点的合法性进行检查,因而fd和bk不能随便构造。全局变量notes刚好指向note 0的起始地址,把它认为是伪造空闲块的chunk ptr,当fake_free_note->fake_fd = notes - 12,fake_free_note->fake_bk = notes - 8时就可以绕过unlink的检查。具体的构造代码如下。

notes_addr = int(raw_input("notes address:"), 16)
# "c"*8 + fake_fd + fake_bk + "c"*0x70 + fake_presize + modify_pre_inuse_flag
note0_content = "c" * 8 + p32(notes_addr - 12) + p32(notes_addr - 8) + "c" * 0x70 + p32(0x80) + p32(0x88 | 0x02)
self.__edit_note(0, 0x88, note0_content)

其中notes_addr的值可以通过gdb获得(记得退出gdb)。

此时的内存布局如下。

self.__free_note(1)  # free notes[1]

由于在note 1前面构造了一个伪造的空闲内存块,当free(notes[1])时,就会对伪造的空闲内存块进行unlink操作。unlink后,notes[0]存的不再是note 0的起始地址了,而是notes-12。此时notes数组的内存布局如下。

step 4.将free@plt的地址写入notes[0]

我们可以将任意值写入notes[0],这里将.plt section中free的地址写入notes[0]。

note0_content = "c" * 12 + p32(self.free_plt_addr)
self.__edit_note(0, 0x10, note0_content)

在IDA中查看free_plt_addr为0x8558。

此时notes数组的内存布局如下。

step 5.修改free@plt的指令

为了调用free()时实际调用的是system(),这里需要将free@plt函数的指令修改使其跳转到system()函数。首先拿到模拟器上的libc.so。

adb pull /system/lib/libc.so

然后查看system函数的偏移。

可见system指令为thumb指令,在libc.so中的偏移为system_offset=0x246A1。接着通过读取/proc/pid/maps得到libc.so的基址libc_base,从而system()在内存中的实际地址就是system_addr=libc_base+system_offset。将free@plt的指令修改为如下所示。

LDR R1, [PC]
BLX R1
system_addr

假如system_addr为0xB124A561,那么上面指令的机器码如下。

00109FE5
31FF2FE1
61A524B1

具体的代码如下。

note0_content = p32(0xE59F1000) + p32(0xE12FFF31) + p32(self.system_addr)
self.__edit_note(0, 0xC, note0_content)

在unlink_demo中.got section所在segment的flags是可写的,但是一运行起来从/proc/pid/maps得到的结果却是该segment只读。于是只好修改unlink_demo文件中代码段的属性为可读写,这样就可以运行时修改free@plt的指令了。

step 6.新建并释放notes[2]触发system(“/system/bin/sh”)

self.__malloc_note(2, 0xE, "/system/bin/sh")
self.__free_note(2)

当free(notes[2])时,由于free@plt会直接跳转到system(),所以这里相当于调用system(notes[2]),而notes[2]指向“/system/bin/sh”,所以这里相当于执行system(“/system/bin/sh”),从而得到shell,利用成功!

结果

运行利用程序exp_unlink.py,通过gdb得到notes的地址,最后的运行结果如下。

将how2heap中unsafe_unlink.c修改为32位后在android模拟器上是运行不成功的,通过对比Linux和android unlink时的源码发现,在android中多了一条检测条件:ok_address(M, F),就是检查F地址的合法性,因为malloc/free绝对不会向一个静态地址写数据。于是将unsafe_unlink.c中uint32_t* pointer_vector[10];改为uint32_t** pointer_vector; pointer_vector=(uint32_t**)malloc(10*sizeof(uint32_t));就可以在android上跑通了。

点击复制链接 与好友分享!回本站首页
上一篇:AndroidStudio第一次新建项目时报错
下一篇:Android —— Tabhost选项卡的使用
相关文章
图文推荐
文章
推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 |
版权所有: 88bifa.com--致力于做实用的IT技术学习网站