<해킹: 공격의 예술> 5회차 스터디

힙이란 ? 요청에 따라 할당되며 chunk 형태로 나뉠 수 있는 인접한 메모리 영역

힙에 메모리를 할당할 때는 malloc() 함수를 사용해야 함

malloc 함수에는 크기를 정하는 인자가 필요하고, 그 크기만큼 공간을 힙 세그먼트에 할당한다. (Top Chunk를 사용해 메모리 할당)

그리고 보이드 포인터로 할당한 메모리의 시작주소를 리턴한다.

malloc함수가 어떤 이유로 메모리 할당을 하지 못하게 되면 0값을 리턴한다.

malloc에 대응하는 해제 함수는 free()이다. free 함수에는 포인터 인자가 필요하고, 나중에 다시 그 공간을 사용하려면 인자 포인터의 메모리 할당을 해제한다.

char *char_ptr; 

// 힙 메모리 할당 (mem_size 바이트 만큼 할당)
char_ptr = (char *) malloc(mem_size);

prev_size : 이전 chunk의 크기 ( 이전 chunk가 free되었을 때 설정됨 )

size : 현재 chunk의 크기 (32bits에서 8byte, 64bits에서 16byte크기로 할당됨)

-> 하위 3bit는 flag로 사용(M,A,P)

PREV_INUSE : 이전 chunk가 사용중인 경우 설정되는 플래그

IS_MMAPPED : mmap()로 할당된 chunk인 경우 설정되는 플래그

NON_MAIN_ARENA : 멀티 쓰레드 환경에서 main이 아닐 때 생성되는 플래그

fd(forward pointer) : 아직 사용되지 않은 다음 chunk의 주소

bk(backward pointer) : 아직 사용되지 않은 이전 chunk의 주소

malloc 을 통해서 할당된 chunk는 prev_size, size , data필드 이렇게 구성

fd와 bk는 chunk가 free가 되면 세팅됨

Arena 종류

- Main Arena : 메인 쓰레드로써 생성

- Sub Arena : 새로운 스레드가 생성되어 힙 작업을 수행하고자 할 때 다른 스레드를 기다리는 것을 줄이기 위해 새로운 arena 생성! main arena와 달리 mmap()을 통해 새로운 메모리를 할당받고 mprotect()를 사용해 확장

House of Force

Chunk : malloc()에 의해 메모리 할당 요청이 들어온 경우 실제로 할당받는 영역

chunk의 종류 : Allocated Chunk , Free Chunk, Top Chunk

TopChunk : 메모리의 마지막에 있는 특별한 chunk이다. malloc이 OS에 더 많은 공간을 요구할 때 TopChunk는 resize된다.

House of Force는 Top chunk의 size에 저장된 값을 다른 값으로 덮어쓸수 있고, 원하는 크기의 메모리 할당을 요청할 수 있다면 구현이 가능하다.

- user chunk : 사용자가 요청한 크기

- remainder chunk : 요청한 크기의 나머지 부분으로 새롭게 top chunk가 됨

offset = 할당받기 원하는 주소 - 청크 헤더사이즈(0x10) - 현재 탑청크 주소 - 청크 헤더사이즈(0x10)

반대로 Top chunk보다 큰 chunk를 요청하면 top chunk의 크기를 늘리게 됨

remainder : 할당하고 남은 chunk 크기

main arena -> top : top chunk의 메모리 주소

main arena -> top -> size : top chunk size

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>
   
// 코드 예시 
int main(int argc, char *argv[])
{
    int size;
    unsigned long *buf1, *buf2, *buf3;
 
    fprintf(stderr,"The house of Force"); 
 
    buf1 = malloc(256);
    buf1[33] = 0xffffffffffffffff; // 변환할 chunk의 크기
 
    buf2 = malloc(0xffffffffffffeee0); // offset
 
    buf3 = malloc(256);
 
    buf3[0] = 0x4141414141414141; // AAAAA..
 
    free(buf3);
   
    return 0;
}

Unsafe Unlink

[참고]

https://d41jung0d.tistory.com/108

https://www.lazenca.net/pages/viewpage.action?pageId=1148018

https://cyber0946.tistory.com/101

'Hacking > System Hacking' 카테고리의 다른 글

<해킹: 공격의 예술> 4회차 스터디 (0)	2022.05.03
<해킹: 공격의 예술> 3회차 스터디 (0)	2022.05.01
<해킹: 공격의 예술> 2회차 스터디 (0)	2022.04.28
<해킹: 공격의 예술> 1회차 스터디 (0)	2022.04.25
[dreamhack] Return to Library (0)	2022.04.10

House of Force

Unsafe Unlink

'Hacking > System Hacking' 카테고리의 다른 글

검색 태그

티스토리툴바