porn_master (pwnable)

vulnerability

It is the porn_master on BoB9 CTF. let’s check protection.

It is full protection. then we should know pie-base and libc-base when we exploit it.
let’s see the binary on IDA!

• glibc-2.23 free 분석

source : https://github.com/andigena/glibc-2.23-0ubuntu3/blob/master/malloc/malloc.c

• glibc-2.23 malloc 분석

source : https://github.com/andigena/glibc-2.23-0ubuntu3/blob/master/malloc/malloc.c

다양한 memory allocator

heap exploit을 구현하기 위해서는 메모리 관리를 위해 사용되는 Allocator에 대한 이해가 필요하다.

• dllmalloc - 일반적인 목적의 할당자
• ptmalloc2 - glibc
• jemalloc - FreeBSD와 Firefox
• tcmalloc - Google(Chrome)
• libumem - Solaris

ptmalloc2

• ptmalloc2는 리눅스 GLIBC에서 사용하는 메모리 할당자이다.
• 운영체제마다 메모리 할당자가 동작하는 방식은 각각 다르며, ptmalloc2는 리눅스 유저 모드에서 주로 사용하는 할당자이다.
• ptmalloc2는 glibc 2.23 버전과 glibc 2.26 ( Tcache )이후 버전 동작 방식이 조금 달라졌다.
• ptmalloc2는 dlmalloc 코드를 기반으로 하며 멀티 스레드에서 사용되도록 확장되었다.
• ptmalloc2는 사용하면 한 번에 두 개 이상의 메모리 영역을 활성화하여 멀티 스레드 어플리케이션을 효율적으로 처리 할 수 있다.
• 복수의 스레드가 동시에 malloc을 호출하면 각 스레드는 별도의 힙 세그먼트가 생성되고, 해당 힙을 유지 보수하는 데이터 구조도 분리되어 메모리에 할당된다.
• 따라서 서로 다른 스레드가 서로 간섭하지 않고 서로 다른 메모리 영역에 접근 할 수 있다.
• 이렇게 각각의 스레드의 유지를 위해 분배된 힙과 freelist data structures의 행동을 per thread arena라고 부른다.