HackTricksWWW2Exec - __malloc_hook & __free_hook
Reading time: 4 minutes
tip
AWS 해킹 배우기 및 연습하기:
HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: 
HackTricks Training GCP Red Team Expert (GRTE)
HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.
Malloc Hook
공식 GNU 사이트에 따르면, 변수 **__malloc_hook**는 malloc()가 호출될 때마다 호출될 함수의 주소를 가리키는 포인터로, libc 라이브러리의 데이터 섹션에 저장됩니다. 따라서 이 주소가 예를 들어 One Gadget으로 덮어쓰여지면 malloc이 호출될 때 One Gadget이 호출됩니다.
malloc을 호출하기 위해 프로그램이 이를 호출할 때까지 기다리거나 **printf("%10000$c")**를 호출하여 너무 많은 바이트를 할당하여 libc가 힙에 할당하도록 만들 수 있습니다.
One Gadget에 대한 더 많은 정보는 다음에서 확인할 수 있습니다:
warning
GLIBC >= 2.34에서는 훅이 비활성화되어 있습니다. 최신 GLIBC 버전에서 사용할 수 있는 다른 기술이 있습니다. 참조: https://github.com/nobodyisnobody/docs/blob/main/code.execution.on.last.libc/README.md.
Free Hook
이는 정렬되지 않은 빈 공격을 남용한 후 빠른 빈 공격을 남용한 예제 중 하나에서 악용되었습니다:
이진 파일에 기호가 있는 경우 다음 명령어로 __free_hook의 주소를 찾을 수 있습니다:
gef➤ p &__free_hook
이 게시물에서 기호 없이 free hook의 주소를 찾는 방법에 대한 단계별 가이드를 찾을 수 있습니다. 요약하자면, free 함수에서:
gef➤ x/20i free
0xf75dedc0 : push ebx
0xf75dedc1 : call 0xf768f625
0xf75dedc6 : add ebx,0x14323a
0xf75dedcc : sub esp,0x8
0xf75dedcf : mov eax,DWORD PTR [ebx-0x98]
0xf75dedd5 : mov ecx,DWORD PTR [esp+0x10]
0xf75dedd9 : mov eax,DWORD PTR [eax]--- 여기서 중단
0xf75deddb : test eax,eax ;<
0xf75deddd : jne 0xf75dee50
앞서 언급한 코드에서 중단된 위치의 $eax에는 free hook의 주소가 위치하게 됩니다.
이제 fast bin attack이 수행됩니다:
- 우선,
__free_hook위치에서 200 크기의 fast chunks로 작업할 수 있음을 발견합니다: gef➤ p &__free_hook
$1 = (void (**)(void *, const void *)) 0x7ff1e9e607a8 <__free_hook> gef➤ x/60gx 0x7ff1e9e607a8 - 0x59 0x7ff1e9e6074f: 0x0000000000000000 0x0000000000000200 0x7ff1e9e6075f: 0x0000000000000000 0x0000000000000000 0x7ff1e9e6076f <list_all_lock+15>: 0x0000000000000000 0x0000000000000000 0x7ff1e9e6077f <_IO_stdfile_2_lock+15>: 0x0000000000000000 0x0000000000000000
- 이 위치에서 크기 0x200의 fast chunk를 얻으면 실행될 함수 포인터를 덮어쓸 수 있습니다.
- 이를 위해 크기
0xfc의 새로운 chunk를 생성하고, 그 포인터로 병합된 함수를 두 번 호출하여 fast bin에서 크기0xfc*2 = 0x1f8의 해제된 chunk에 대한 포인터를 얻습니다. - 그런 다음, 이 chunk에서 edit 함수를 호출하여 이 fast bin의
fd주소를 이전__free_hook함수로 가리키도록 수정합니다. - 이후, 크기
0x1f8의 chunk를 생성하여 fast bin에서 이전의 쓸모없는 chunk를 가져오고, 또 다른 크기0x1f8의 chunk를 생성하여 **__free_hook**에서 fast bin chunk를 가져오고, 이를system함수의 주소로 덮어씁니다. - 마지막으로, 문자열
/bin/sh\x00을 포함하는 chunk를 삭제 함수 호출로 해제하여__free_hook함수를 트리거하고, 이 함수는/bin/sh\x00을 매개변수로 하여 system을 가리킵니다.
References
- https://ir0nstone.gitbook.io/notes/types/stack/one-gadgets-and-malloc-hook
- https://github.com/nobodyisnobody/docs/blob/main/code.execution.on.last.libc/README.md.
tip
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.