利用BSS段伪造堆块技术详解<\/h1>

技术背景<\/h2>
本技术主要应用于Linux平台下的堆漏洞利用场景，特别是针对未开启PIE保护的可执行程序。通过利用BSS段中的全局变量区域伪造堆块结构，可以绕过堆管理器的安全检查，实现信息泄露和最终控制程序执行流。<\/p>

环境要求<\/h2>

目标程序未开启PIE保护（BSS段地址固定）<\/li>
GOT表可写（用于最终劫持控制流）<\/li>
存在UAF（Use-After-Free）漏洞<\/li>

程序提供对BSS段全局变量的读写能力<\/li> <\/ol>

技术原理<\/h2>

1. BSS段伪造堆块<\/h3>
在未开启PIE的程序中，BSS段的地址是固定的。通过在BSS段中伪造堆块结构（包括size字段和必要的指针），可以欺骗堆管理器将其视为合法的堆块。<\/p>

2. Fastbin Double Free<\/h3>
利用UAF漏洞构造Double Free，将伪造的BSS段堆块地址链入fastbin链表中，然后通过malloc申请出来。<\/p>

3. Unsorted Bin泄露libc<\/h3>
将伪造的堆块放入unsorted bin中，利用unsorted bin的特性（包含main_arena的指针）来泄露libc基址。<\/p>

详细步骤<\/h2>

第一阶段：泄露libc基址<\/h3>

初始化BSS段伪造堆块<\/strong><\/p>

在BSS段全局变量区域构造伪造堆块<\/li>
设置size字段为0x60（fastbin大小）<\/li>
示例地址：0x6020c0<\/li> <\/ul> <\/li>

构造Double Free<\/strong><\/p>

通过UAF漏洞释放同一chunk两次<\/li>
将BSS段伪造堆块地址链入fastbin<\/li> <\/ul> <\/li>

申请伪造堆块<\/strong><\/p>

从fastbin中申请出伪造的BSS段堆块<\/li>
此时可以控制BSS段的部分区域<\/li> <\/ul> <\/li>

准备放入unsorted bin<\/strong><\/p>

修改伪造堆块的size为0x91（unsorted bin大小）<\/li>
在伪造堆块后构造两个额外的伪造堆块（size分别为0x10和0x10）<\/li>
这是为了绕过unsorted bin的检查：
if<\/span> (__builtin_expect (chunksize(P) !=<\/span> prev_size (next_chunk(P)), 0<\/span>)) <\/span><\/span> malloc_printerr ("corrupted size vs. prev_size"<\/span>); <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 释放到unsorted bin<\/strong><\/p> 释放伪造的堆块，使其进入unsorted bin<\/li> unsorted bin中的chunk会包含main_arena的指针<\/li> <\/ul> <\/li> 泄露libc地址<\/strong><\/p> 通过打印BSS段全局变量的内容泄露libc地址<\/li> 注意处理printf的截断问题（填充非零字节）<\/li> <\/ul> <\/li> <\/ol> 第二阶段：GetShell<\/h3> 再次构造Double Free<\/strong><\/p> 目标是劫持malloc_hook<\/li> <\/ul> <\/li> 申请到malloc_hook附近<\/strong><\/p> 不能直接申请malloc_hook，而是申请malloc_hook-0x23的位置<\/li> 原因：需要满足fastbin的size检查（对应fastbin大小）<\/li> <\/ul> <\/li> 覆盖malloc_hook<\/strong><\/p> 将malloc_hook覆盖为one_gadget地址<\/li> 注意one_gadget的约束条件<\/li> <\/ul> <\/li> 触发malloc<\/strong><\/p> 通过调用malloc触发one_gadget<\/li> 注意某些情况下需要在终端手动输入而非通过脚本<\/li> <\/ul> <\/li> <\/ol> GLIBC 2.23与2.27的区别<\/h2> tcache机制<\/strong><\/p> 2.27引入了tcache，减少了安全检查<\/li> 可以直接连续free相同的chunk而不触发double free检查<\/li> <\/ul> <\/li> unsorted bin的size要求<\/strong><\/p> 2.27中，smallbin范围的size会优先进入tcache<\/li> 需要设置更大的size（如0x501）确保进入unsorted bin<\/li> <\/ul> <\/li> 写入限制<\/strong><\/p> 2.27可能需要更多步骤来构造完整的伪造堆块链<\/li> 可能需要多次double free来写入所有必要的字段<\/li> <\/ul> <\/li> <\/ol> 防御措施<\/h2> 开启PIE保护<\/li> 使用最新的GLIBC版本（增加了更多安全检查）<\/li> 避免在BSS段存储用户可控的敏感数据<\/li> 正确实现堆管理，避免UAF漏洞<\/li> <\/ol> 实际案例<\/h2> tgctf--heap (GLIBC 2.23)<\/h3> 特点：没有show功能，但提供name全局变量的读写<\/li> 利用步骤：在BSS段伪造0x60大小的堆块<\/li> 通过double free将其链入fastbin<\/li> 申请出来后修改size为0x91<\/li> 构造三个伪造堆块后释放到unsorted bin<\/li> 通过name泄露libc地址<\/li> 再次double free劫持malloc_hook<\/li> <\/ol> <\/li> <\/ul> pwnable.tw--tcache_tear (GLIBC 2.27)<\/h3> 特点：存在tcache机制<\/li> 关键区别：需要设置更大的size（0x501）绕过tcache<\/li> double free更容易构造<\/li> 需要更多步骤来写入完整的伪造堆块链<\/li> <\/ul> <\/li> <\/ul> 总结<\/h2> 利用BSS段伪造堆块是一种有效的堆利用技术，特别适用于未开启PIE保护的程序。通过精心构造堆块结构和利用程序提供的全局变量读写能力，可以绕过堆管理器的安全检查，最终实现任意代码执行。理解不同GLIBC版本间的差异对于成功利用至关重要。<\/p>

利用BSS段伪造堆块技术详解<\/h1>

技术背景<\/h2> 本技术主要应用于Linux平台下的堆漏洞利用场景，特别是针对未开启PIE保护的可执行程序。通过利用BSS段中的全局变量区域伪造堆块结构，可以绕过堆管理器的安全检查，实现信息泄露和最终控制程序执行流。<\/p>

技术原理<\/h2>

1. BSS段伪造堆块<\/h3> 在未开启PIE的程序中，BSS段的地址是固定的。通过在BSS段中伪造堆块结构（包括size字段和必要的指针），可以欺骗堆管理器将其视为合法的堆块。<\/p>

2. Fastbin Double Free<\/h3> 利用UAF漏洞构造Double Free，将伪造的BSS段堆块地址链入fastbin链表中，然后通过malloc申请出来。<\/p>

3. Unsorted Bin泄露libc<\/h3> 将伪造的堆块放入unsorted bin中，利用unsorted bin的特性（包含main_arena的指针）来泄露libc基址。<\/p>

详细步骤<\/h2>

实际案例<\/h2>

技术背景<\/h2>
本技术主要应用于Linux平台下的堆漏洞利用场景，特别是针对未开启PIE保护的可执行程序。通过利用BSS段中的全局变量区域伪造堆块结构，可以绕过堆管理器的安全检查，实现信息泄露和最终控制程序执行流。<\/p>

1. BSS段伪造堆块<\/h3>
在未开启PIE的程序中，BSS段的地址是固定的。通过在BSS段中伪造堆块结构（包括size字段和必要的指针），可以欺骗堆管理器将其视为合法的堆块。<\/p>

2. Fastbin Double Free<\/h3>
利用UAF漏洞构造Double Free，将伪造的BSS段堆块地址链入fastbin链表中，然后通过malloc申请出来。<\/p>

3. Unsorted Bin泄露libc<\/h3>
将伪造的堆块放入unsorted bin中，利用unsorted bin的特性（包含main_arena的指针）来泄露libc基址。<\/p>