Libc Protections
Reading time: 8 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Chunk Alignment Enforcement
Malloc inatoa kumbukumbu katika 8-byte (32-bit) au 16-byte (64-bit) makundi. Hii ina maana kwamba mwisho wa makundi katika mifumo ya 32-bit inapaswa kuendana na 0x8, na katika mifumo ya 64-bit na 0x0. Kipengele hiki cha usalama kinathibitisha kwamba kila kundi linapangwa vizuri katika maeneo haya maalum kabla ya kutumia kiashiria kutoka kwenye bin.
Faida za Usalama
Utekelezaji wa upangaji wa makundi katika mifumo ya 64-bit unaboresha usalama wa Malloc kwa kudhibiti uwekaji wa makundi ya uongo kuwa 1 tu kati ya anwani 16. Hii inafanya juhudi za unyakuzi kuwa ngumu, hasa katika hali ambapo mtumiaji ana udhibiti mdogo juu ya thamani za pembejeo, na kufanya mashambulizi kuwa magumu zaidi na yasiyoweza kutekelezwa kwa mafanikio.
- Fastbin Attack on __malloc_hook
Sheria mpya za upangaji katika Malloc pia zinakabili shambulio la jadi linalohusisha __malloc_hook
. Awali, washambuliaji wangeweza kubadilisha saizi za makundi ili kuandika tena kiashiria hiki cha kazi na kupata utendaji wa msimbo. Sasa, hitaji kali la upangaji linahakikisha kwamba manipulasi kama hizo hazifai tena, na kufunga njia ya kawaida ya unyakuzi na kuboresha usalama kwa ujumla.
Pointer Mangling on fastbins and tcache
Pointer Mangling ni uboreshaji wa usalama unaotumika kulinda fastbin na tcache Fd pointers katika operesheni za usimamizi wa kumbukumbu. Tekni hii husaidia kuzuia aina fulani za mbinu za unyakuzi wa kumbukumbu, hasa zile ambazo hazihitaji taarifa za kumbukumbu zilizovuja au ambazo zinabadilisha maeneo ya kumbukumbu moja kwa moja kulingana na nafasi zilizojulikana (kuandika tena).
Msingi wa mbinu hii ni fomula ya kuficha:
New_Ptr = (L >> 12) XOR P
- L ni Mahali pa Hifadhi ya kiashiria.
- P ni fastbin/tcache Fd Pointer halisi.
Sababu ya kuhamasisha mahali pa hifadhi (L) kwa bits 12 kuelekea kulia kabla ya operesheni ya XOR ni muhimu. Manipulasi hii inashughulikia udhaifu ulio ndani ya asili ya kimaamuzi ya bits 12 za chini zaidi za anwani za kumbukumbu, ambazo kwa kawaida zinatabirika kutokana na vikwazo vya usanifu wa mfumo. Kwa kuhamasisha bits, sehemu inayoweza kutabirika inahamishwa nje ya hesabu, ikiongeza nasibu ya kiashiria kipya kilichofichwa na hivyo kulinda dhidi ya unyakuzi unaotegemea utabiri wa bits hizi.
Kiashiria hiki kilichofichwa kinatumia nasibu iliyopo iliyotolewa na Address Space Layout Randomization (ASLR), ambayo inafanya anwani zinazotumiwa na programu kuwa ngumu kwa washambuliaji kutabiri mpangilio wa kumbukumbu wa mchakato.
Demangling kiashiria ili kupata anwani ya asili inahusisha kutumia operesheni sawa ya XOR. Hapa, kiashiria kilichofichwa kinachukuliwa kama P katika fomula, na wakati kinapofanywa XOR na mahali pa hifadhi (L) kisichobadilika, inasababisha kiashiria cha asili kufichuliwa. Hii symmetry katika kuficha na kufichua inahakikisha kwamba mfumo unaweza kuandika na kufichua viashiria kwa ufanisi bila mzigo mkubwa, huku ikiongeza usalama dhidi ya mashambulizi yanayobadilisha viashiria vya kumbukumbu.
Faida za Usalama
Kuficha viashiria kuna lengo la kuzuia kuandika tena kwa sehemu na kamili za viashiria katika usimamizi wa heap, uboreshaji muhimu katika usalama. Kipengele hiki kinaathiri mbinu za unyakuzi kwa njia kadhaa:
- Kuzuia Kuandika Tena kwa Bye Byte Relatives: Awali, washambuliaji wangeweza kubadilisha sehemu ya kiashiria ili kuhamasisha makundi ya heap kwa maeneo tofauti bila kujua anwani halisi, mbinu inayojulikana katika unyakuzi wa House of Roman bila uvujaji. Kwa kuficha viashiria, kuandika tena kama hizo bila uvujaji wa heap sasa kunahitaji nguvu za kikatili, na hivyo kupunguza uwezekano wao wa kufanikiwa.
- Kuongeza Ugumu wa Mashambulizi ya Tcache Bin/Fastbin: Mashambulizi ya kawaida yanayoandika tena viashiria vya kazi (kama
__malloc_hook
) kwa kubadilisha fastbin au tcache entries yanakabiliwa. Kwa mfano, shambulio linaweza kujumuisha kuvujisha anwani ya LibC, kuachilia kundi katika tcache bin, na kisha kuandika tena kiashiria cha Fd ili kuhamasisha kwa__malloc_hook
kwa utendaji wa msimbo wa kiholela. Kwa kuficha viashiria, viashiria hivi lazima viandikwe vizuri, vinahitaji uvujaji wa heap kwa usahihi wa manipulasi, hivyo kuongeza kizuizi cha unyakuzi. - Hitaji la Uvujaji wa Heap katika Maeneo Yasiyo ya Heap: Kuunda kundi la uongo katika maeneo yasiyo ya heap (kama stack, sehemu ya .bss, au PLT/GOT) sasa pia kunahitaji uvujaji wa heap kutokana na hitaji la kuficha viashiria. Hii inapanua ugumu wa unyakuzi katika maeneo haya, sawa na hitaji la kubadilisha anwani za LibC.
- Kuvujisha Anwani za Heap Kunakuwa Ngumu Zaidi: Kuficha viashiria kunapunguza matumizi ya viashiria vya Fd katika fastbin na tcache bins kama vyanzo vya uvujaji wa anwani za heap. Hata hivyo, viashiria katika bins zisizopangwa, ndogo, na kubwa vinabaki kuwa havijafichwa, hivyo bado vinatumika kwa uvujaji wa anwani. Mabadiliko haya yanawasukuma washambuliaji kuchunguza bins hizi kwa taarifa zinazoweza kutumika, ingawa mbinu zingine zinaweza bado kuruhusu kufichua viashiria kabla ya uvujaji, ingawa kwa vikwazo.
Demangling Pointers with a Heap Leak
caution
Kwa maelezo bora ya mchakato angalia chapisho la asili kutoka hapa.
Muhtasari wa Algorithm
Fomula inayotumika kwa kuficha na kufichua viashiria ni:
New_Ptr = (L >> 12) XOR P
Ambapo L ni mahali pa hifadhi na P ni kiashiria cha Fd. Wakati L inahamishwa kulia kwa bits 12, inafichua bits muhimu zaidi za P, kutokana na asili ya XOR, ambayo inatoa 0 wakati bits zinapofanywa XOR na zenyewe.
Hatua Muhimu katika Algorithm:
- Uvujaji wa Awali wa Bits Muhimu Zaidi: Kwa kufanya XOR ya L iliyohamishwa na P, unapata kwa ufanisi bits 12 za juu za P kwa sababu sehemu iliyohamishwa ya L itakuwa sifuri, ikiacha bits zinazohusiana za P zisibadilishwe.
- Kurejesha Bits za Kiashiria: Kwa kuwa XOR ni ya kurudi, kujua matokeo na mmoja wa waendeshaji kunakuruhusu kuhesabu waendeshaji mwingine. Mali hii inatumika kudhibitisha seti nzima ya bits za P kwa kufanya XOR mara kwa mara na seti zinazojulikana za bits na sehemu za kiashiria kilichofichwa.
- Kufichua kwa Kiteremko: Mchakato huu unarudiwa, kila wakati ukitumia bits mpya zilizogunduliwa za P kutoka hatua ya awali ili kufichua sehemu inayofuata ya kiashiria kilichofichwa, hadi bits zote zirejeshwe.
- Kushughulikia Bits za Kimaamuzi: Bits za mwisho 12 za L zinapotea kutokana na kuhamasisha, lakini ni za kimaamuzi na zinaweza kujengwa tena baada ya mchakato.
Unaweza kupata utekelezaji wa algorithm hii hapa: https://github.com/mdulin2/mangle
Pointer Guard
Pointer guard ni mbinu ya kupunguza unyakuzi inayotumika katika glibc kulinda viashiria vya kazi vilivyohifadhiwa, hasa vile vilivyosajiliwa na wito wa maktaba kama atexit()
. Ulinzi huu unahusisha kuchanganya viashiria kwa kufanya XOR na siri iliyohifadhiwa katika data ya thread (fs:0x30
) na kutumia kuhamasisha kwa bits. Mekanism hii inalenga kuzuia washambuliaji kuiba udhibiti wa mtiririko kwa kuandika tena viashiria vya kazi.
Kupita Pointer Guard kwa uvujaji
- Kuelewa Operesheni za Pointer Guard: Kuchanganya (kuficha) viashiria kunafanywa kwa kutumia macro ya
PTR_MANGLE
ambayo inafanya XOR ya kiashiria na siri ya bits 64 na kisha inafanya kuhamasisha kwa bits 0x11 kushoto. Operesheni ya kinyume ya kurejesha kiashiria cha asili inashughulikiwa naPTR_DEMANGLE
. - Mkakati wa Shambulio: Shambulio linategemea mbinu ya maandiko yanayojulikana, ambapo mshambuliaji anahitaji kujua toleo la asili na la kufichwa la kiashiria ili kudhibitisha siri iliyotumika kwa kuficha.
- Kunutumia Maandishi Yanayojulikana:
- Kutambua Viashiria vya Kazi Vilivyowekwa: Kwa kuchunguza msimbo wa chanzo wa glibc au meza za viashiria vya kazi zilizowekwa (kama
__libc_pthread_functions
), mshambuliaji anaweza kupata viashiria vya kazi vinavyoweza kutabirika. - Kuhesabu Siri: Kwa kutumia kiashiria cha kazi kinachojulikana kama
__pthread_attr_destroy
na toleo lake lililofichwa kutoka kwenye meza ya viashiria vya kazi, siri inaweza kuhesabiwa kwa kuhamasisha (kuhamasisha kulia) kiashiria kilichofichwa na kisha kufanya XOR na anwani ya kazi.
- Maandishi Mbadala: Mshambuliaji anaweza pia kujaribu kuficha viashiria kwa kutumia thamani zinazojulikana kama 0 au -1 ili kuona kama hizi zinatoa mifumo inayoweza kutambulika katika kumbukumbu, huenda zikafichua siri wakati mifumo hii inapatikana katika dump za kumbukumbu.
- Matumizi ya Vitendo: Baada ya kuhesabu siri, mshambuliaji anaweza kubadilisha viashiria kwa njia iliyo na udhibiti, kimsingi akipita ulinzi wa Pointer Guard katika programu yenye nyuzi nyingi kwa maarifa ya anwani ya msingi ya libc na uwezo wa kusoma maeneo ya kumbukumbu yasiyo na mipaka.
Marejeleo
- https://maxwelldulin.com/BlogPost?post=5445977088
- https://blog.infosectcbr.com.au/2020/04/bypassing-pointer-guard-in-linuxs-glibc.html?m=1
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.