Frida explorando la explotación de los algoritmos de Heap

El experto en OTUS, Alexander Kolesnikov, compartió con nosotros un artículo útil, que escribió específicamente para estudiantes del curso de  Ingeniería inversa. Básico

Te invitamos a  ver el día de demostración del curso , en el que nuestros profesores hablaron en detalle sobre el programa del curso y respondieron preguntas.

---

La ingeniería inversa para obtener un algoritmo siempre es tentadora, pero la ingeniería inversa para crear algo nuevo es aún mejor. En este artículo, intentaremos utilizar la herramienta Frida para facilitar un poco el proceso de análisis de una aplicación vulnerable y crear un exploit para esta aplicación.

Todos los ejemplos del artículo tratarán sobre ataques de montón en el sistema operativo Linux, por lo que nos reservamos la paciencia y las palomitas de maíz.

Montón

Heap — , . , malloc



. , . , .

. . , libc, . :

1. heap grooming attack

   
   
   
   
   

2. fastbin attack

   
   
   
   
   

3. tcache attack

   
   
   
   
   

4. unlink

   
   
   
   
   

5. largebin

   
   
   
   
   

6. unsortedbin attack

   
   
   
   
   

, . . — , . , — libc. — .

Frida

frida 2 : frida-trace MemoryMonitor. , . , ,   CTF.

Heap Grooming

, libc 2.23. , , , , . , . 7.  :

#include <stdio.h>
#include <stdlib.h>
int main(void)
{
  unsigned long int *mem0, *mem1, *mem2;
  
  mem0 = malloc(0x10); 
  mem1 = malloc(0x10); 
  mem2 = malloc(0x10); 
  
  printf("Allocated memory on:\nptr0: %p\nptr1: %p\nptr2: %p\n\n", mem0, mem1, mem2);
  
  free(mem0);
  free(mem1);
  free(mem2);
  
  printf("mem0 after free and alloc again: %p\n", malloc(0x10));
  printf("mem1 after free and alloc again: %p\n", malloc(0x10));
  printf("mem2 after free and alloc again: %p\n\n", malloc(0x10));
}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

. :

, , , printf



? printf



frida-trace



. :

Frida-trace -f test -i “malloc”

handler



. “handlers” frida-trace. malloc.js OnLeave



, :

. pico CTF “Are you root”. frida-trace:

, , . , login;



Auth level



. ? malloc 0x10 0x7. , , 0x10, 2 - 0x1514eb0 0x1514ed0. . 

TCACHE

, , tcache



, . , tcache



, tcache



:

#include <stdio.h>
#include <stdlib.h>
int main(void)
{
    unsigned long int *mem0, *mem1;
	  int target;
    
	  mem0 = malloc(0x10);
    mem1 = malloc(0x10);
    target = 0xdead;
    
    printf("mem0: %p\n", mem0);
	  printf("mem1: %p\n", mem1);
	  printf("int:  %p\n\n", &target);
    
    free(mem0);
    free(mem1);
    
 		printf("Next pointer for mem1: %p\n\n", (unsigned long int *)mem1);
 
    *mem1 = (unsigned long int)&target;
 		printf("Next pointer for mem1: %p\n\n", (unsigned long int )mem1);
     
    printf("Malloc Allocated: %p\n\n", malloc(0x10));
	  printf("Malloc Allocated: %p\n\n", malloc(0x10));
}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, frida-trace , :

, , , . , malloc



. , Use-After-Free. Plaid CTF “cpp”. :

, malloc



. :

, .

. . , . . 

---

"Reverse-Engineering. Basic"

:

• « » Frida Windows