Published 2022. 5. 18. 14:00

[Heap Exploit] UAF (Use-After-Free)

DreamHack

Heap 구조

출처 : https://dokhakdubini.tistory.com/35

: 컴퓨터 안의 메모리 구조 중 사용자가 임의로 사용하는 메모리 공간

▷ malloc 함수를 이용해 선언해주고, free 함수를 통해 해제해줌

1. First-Fit 알고리즘

: 메모리 할당 전략 중 하나로, 리눅스 운영체제는 이 알고리즘을 채택하고 있다.

First-Fit 말고도 Best-Fit, Worst-Fit도 있음

예)

char *a = malloc(20);     // 0xe4b010
char *b = malloc(20);     // 0xe4b030
char *c = malloc(20);     // 0xe4b050
char *d = malloc(20);     // 0xe4b070
 
free(a);
free(b);
free(c);
free(d);
 
a = malloc(20);           // 0xe4b070
b = malloc(20);           // 0xe4b050
c = malloc(20);           // 0xe4b030
d = malloc(20);           // 0xe4b010

각각 20바이트씩 heap에 4개의 포인터의 영역을 할당 해주었고, free를 해준 다음 다시 4개의 영역을 할당받았다.

이때 할당이 될 때는 LIFO(Last In First Out)을 따른다.

2. UAF(Use After Free)

메모리를 해제하고 재사용할 때 생기는 취약점

예)

#include <stdio.h>
#include <stdlib.h>
 
int main(void)
{
    int* heap1;
    int* heap2;
    int* heap3;
 
    heap1 = (int*)malloc(256);
    heap2 = (int*)malloc(256);
 
    printf("heap1의 주소 : %p\n", heap1);
    printf("heap2의 주소 : %p\n", heap2);        
 
    *heap2 = 1234;
    printf("heap2 number : %d\n", *heap2);        //1234
 
    free(heap2);
    printf("free heap2\n");
 
    heap3 = (int*)malloc(256);
    printf("new heap의 주소 : %p\n", heap3);
    printf("new heap number: %d\n", *heap3);    //안에있는 값은 초기화됨
    *heap3 = 4321;
    printf("new heap의 내용을 \"%d\"로 바꾸었습니다.\n\n", *heap3);
 
    printf("heap2를 다시 부른다면?: %d\n", *heap2);  //heap3의 값과 
 
    return 0;
}

    heap1 = (int*)malloc(256);
    heap2 = (int*)malloc(256);

malloc을 사용해서 heap1과 heap2의 공간을 할당해주었다.

    *heap2 = 1234;
    free(heap2);
    printf("free heap2\n");

heap2의 값을 1234로 바꿔주었다
heap2를 free해주었다.

    heap3 = (int*)malloc(256);
    printf("new heap의 주소 : %p\n", heap3);
    printf("new heap number: %d\n", *heap3);    //안에있는 값은 초기화됨

heap3을 malloc하면 앞서 살펴본 First-Fit에 따라 heap3에는 heap2의 주소가 들어가게 된다.
heap3의 값을 실행해서 확인해보면 초기화 되어있다는 걸 알 수 있다.

앞의 c파일을 컴파일하고 실행하면 다음과 같은 실행결과를 확인할 수 있다.

이와 같이 UAF를 이용하여 새로운 heap을 할당해준 후 원하는 값을 입력한 다음 기존 heap을 실행해서 익스플로잇 해줄 수 있다.

'DreamHack' 카테고리의 다른 글

POX 문제 도커 파일 제작 - exploitMe (0)	2022.10.07
POX 문제 도커 파일 제작 - Rotten EGG filter (0)	2022.10.07
POX 문제 제작 및 풀이 - Rotten EGG filter (0)	2022.10.03

[Heap Exploit] UAF (Use-After-Free)

Heap 구조

1. First-Fit 알고리즘

2. UAF(Use After Free)

'DreamHack' 카테고리의 다른 글

티스토리툴바