House Of Kiwi

适用于 glibc2.23-glibc2.35 (漏洞所需要的malloc_assert函数在2.36中被修改,而在2.37中则完全被删除)

House of Kiwi

在 glibc 2.29 之后,当题目开启了沙箱,利用思路一般有两种,一种是劫持 __free_hook,然后利用 gadgets 进行栈迁移,另一种是劫持 __malloc_hook 为 setcontext + 61 利用 SetContext 攻击并劫持 IO_list_all 链,之后调用 exit 函数,让 _IO_cleanup 函数进行缓冲区的刷新去读取 flag。

但并非程序中都存在 exit 或是通过 syscall 调用的 exit,那么我们也就没有机会去调用 _IO_cleanup 刷新缓冲区。在 glibc2.34 之后又禁用了大部分的 hook 以保证安全性,那么我们就没办法利用上述方法。那么接下来就需要运用 House of Kiwi 了。

利用原理:

由于题目限制,我们无法返回 main 函数,也无法调用 exit 函数,那么我们就只能触发 malloc_assert 刷新 IO 流

触发 malloc_assert

在常规的 FSOP 链中有一个 _int_malloc 函数, 当所有的 Bins 都没有合适的空闲内存,且 Top Chunk 的大小不足以满足当前用户请求分配的内存大小时,_int_malloc 就会放弃内部搜索,调用 sysmalloc(nb, av) 向操作系统申请扩容堆空间。 当进入 sysmalloc 后,glibc 并不直接去扩容,而是会先对旧的Top Chunk 进行安全校验:

1
2
3
4
assert ((old_top == initial_top (av) && old_size == 0) ||
        ((unsigned long) (old_size) >= MINSIZE &&
         prev_inuse (old_top) &&
         ((unsigned long) old_end & (pagesize - 1)) == 0));

此时会对该 Top Chunk 进行合法判断,满足下列条件之一:通过该判断就可以成功触发 malloc_assert 函数,进行之后的攻击

  1. 它是刚初始化的堆(old_size == 0)。
  2. 它是一个正常使用中的 Top Chunk,且必须同时满足:
    • old_size >= MINSIZE (通常是 0x20 字节)
    • prev_inuse(old_top) 标志位必须为 1 (Top chunk 之前的块总是被视为已使用的)
    • old_end 必须是页对齐的(4KB 对齐)。

malloc_assert

1
2
3
4
5
6
7
8
9
10
11
12
static void
__malloc_assert (const char *assertion, const char *file, unsigned int line,
       const char *function)
{
(void) __fxprintf (NULL, "%s%s%s:%u: %s%sAssertion `%s' failed.\n",
           __progname, __progname[0] ? ": " : "",
           file, line,
           function ? function : "", function ? ": " : "",
           assertion);
fflush (stderr);
abort ();
}
  • __fxprintf 打印错误信息:一般来说其输出格式相当严谨 [程序名]: [文件名]:[行号]: [函数名]: Assertion [断言内容] failed \n
  • fflush(stderr) 刷新标准错误流:它强制清空 stderr(标准错误流)的缓冲区,确保刚刚生成的错误信息能够立刻显示在终端或写入日志文件,避免因为程序突然死亡而导致报错信息丢失。
  • about()异常终止程序:调用 abort() 触发 SIGABRT 信号,程序被操作系统被终止。

从源码当中我们可以看到函数调用了 fflush(stderr)函数,该函数调用后会调用 _IO_file_jumps 中的 sync 指针

这个指针在_IO_file_jumps偏移为0x60的位置,那么将这个指针进行劫持,就能达到我们想要的目的,如果题目禁用了execve的话,可以考虑通过 setcontext 来实现栈迁移

我们看一下 SetContext 函数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
text:0000000000053030 ; __unwind {
.text:0000000000053030                 endbr64
.text:0000000000053034                 push    rdi
.text:0000000000053035                 lea     rsi, [rdi+128h] ; nset
.text:000000000005303C                 xor     edx, edx        ; oset
.text:000000000005303E                 mov     edi, 2          ; how
.text:0000000000053043                 mov     r10d, 8         ; sigsetsize
.text:0000000000053049                 mov     eax, 0Eh
.text:000000000005304E                 syscall                 ; LINUX - sys_rt_sigprocmask
.text:0000000000053050                 pop     rdx
.text:0000000000053051                 cmp     rax, 0FFFFFFFFFFFFF001h
.text:0000000000053057                 jnb     loc_5317F
.text:000000000005305D                 mov     rcx, [rdx+0E0h]
.text:0000000000053064                 fldenv  byte ptr [rcx]
.text:0000000000053066                 ldmxcsr dword ptr [rdx+1C0h]
.text:000000000005306D                 mov     rsp, [rdx+0A0h]          //这里将rdx+0xa0的值赋值给了rsp,也就是我们控制了rdx就控制了rsp
.text:0000000000053074                 mov     rbx, [rdx+80h]
.text:000000000005307B                 mov     rbp, [rdx+78h]
.text:000000000005307F                 mov     r12, [rdx+48h]
.text:0000000000053083                 mov     r13, [rdx+50h]
.text:0000000000053087                 mov     r14, [rdx+58h]
.text:000000000005308B                 mov     r15, [rdx+60h]
.text:000000000005308F                 test    dword ptr fs:48h, 2
.text:000000000005309B                 jz      loc_53156
.text:00000000000530A1                 mov     rsi, [rdx+3A8h]
.text:00000000000530A8                 mov     rdi, rsi
.text:00000000000530AB                 mov     rcx, [rdx+3B0h]
.text:00000000000530B2                 cmp     rcx, fs:78h
.text:00000000000530BB                 jz      short loc_530F5
.text:00000000000530BD
.text:00000000000530BD loc_530BD:                              ; CODE XREF: setcontext+9E↓j
.text:00000000000530BD                 mov     rax, [rsi-8]
.text:00000000000530C1                 and     rax, 0FFFFFFFFFFFFFFF8h
.text:00000000000530C5                 cmp     rax, rsi
.text:00000000000530C8                 jz      short loc_530D0
.text:00000000000530CA                 sub     rsi, 8
.text:00000000000530CE                 jmp     short loc_530BD
.text:00000000000530D0 ; ---------------------------------------------------------------------------
.text:00000000000530D0
.text:00000000000530D0 loc_530D0:                              ; CODE XREF: setcontext+98↑j
.text:00000000000530D0                 mov     rax, 1
.text:00000000000530D7                 incsspq rax
.text:00000000000530DC                 rstorssp qword ptr [rsi-8]
.text:00000000000530E1                 saveprevssp
.text:00000000000530E5                 mov     rax, [rdx+3B0h]
.text:00000000000530EC                 mov     fs:78h, rax
.text:00000000000530F5
.text:00000000000530F5 loc_530F5:                              ; CODE XREF: setcontext+8B↑j
.text:00000000000530F5                 rdsspq  rcx
.text:00000000000530FA                 sub     rcx, rdi
.text:00000000000530FD                 jz      short loc_5311C
.text:00000000000530FF                 neg     rcx
.text:0000000000053102                 shr     rcx, 3
.text:0000000000053106                 mov     esi, 0FFh
.text:000000000005310B
.text:000000000005310B loc_5310B:                              ; CODE XREF: setcontext+EA↓j
.text:000000000005310B                 cmp     rcx, rsi
.text:000000000005310E                 cmovb   rsi, rcx
.text:0000000000053112                 incsspq rsi
.text:0000000000053117                 sub     rcx, rsi
.text:000000000005311A                 ja      short loc_5310B
.text:000000000005311C
.text:000000000005311C loc_5311C:                              ; CODE XREF: setcontext+CD↑j
.text:000000000005311C                 mov     rsi, [rdx+70h]
.text:0000000000053120                 mov     rdi, [rdx+68h]
.text:0000000000053124                 mov     rcx, [rdx+98h]
.text:000000000005312B                 mov     r8, [rdx+28h]
.text:000000000005312F                 mov     r9, [rdx+30h]
.text:0000000000053133                 mov     r10, [rdx+0A8h]
.text:000000000005313A                 mov     rdx, [rdx+88h]
.text:0000000000053141                 rdsspq  rax
.text:0000000000053146                 cmp     r10, [rax]
.text:0000000000053149                 mov     eax, 0
.text:000000000005314E                 jnz     short loc_53153
.text:0000000000053150                 push    r10
.text:0000000000053152                 retn
.text:0000000000053153 ; ---------------------------------------------------------------------------
.text:0000000000053153
.text:0000000000053153 loc_53153:                              ; CODE XREF: setcontext+11E↑j
.text:0000000000053153                 jmp     r10
.text:0000000000053156 ; ---------------------------------------------------------------------------
.text:0000000000053156
.text:0000000000053156 loc_53156:                              ; CODE XREF: setcontext+6B↑j
.text:0000000000053156                 mov     rcx, [rdx+0A8h]  //也可以控制到rcx
.text:000000000005315D                 push    rcx               //控制到rip
.text:000000000005315E                 mov     rsi, [rdx+70h]
.text:0000000000053162                 mov     rdi, [rdx+68h]
.text:0000000000053166                 mov     rcx, [rdx+98h]
.text:000000000005316D                 mov     r8, [rdx+28h]
.text:0000000000053171                 mov     r9, [rdx+30h]
.text:0000000000053175                 mov     rdx, [rdx+88h]
.text:0000000000053175 ; } // starts at 53030
.text:000000000005317C ; __unwind {
.text:000000000005317C                 xor     eax, eax
.text:000000000005317E                 retn

kiwi利用方法总结

1.拿shell

1
2
3
4
5
能够达成任意已知地址写,想办法控制_IO_file_jumps中的__sync指针,修改__sync指针为one_gadget

控制top_chunk的size位的大小并将prev_inuse置为0

申请一个比我们修改后的top_chunk的size大的chunk块,就可以触发__malloc_assert

2.打ORW

1
2
3
4
5
6
7
8
9
能够达成任意已知地址写,来想办法控制_IO_file_jumps中的__sync指针为setcontext+61

在可控空间中布置ROP(一般是堆块中布置)

控制_IO_helper_jumps+0xa0和_IO_helper_jumps+0xa8分别为ROP地址和ret地址

控制top_chunk的size位的大小并将prev_inuse置为0

申请一个比我们修改后的top_chunk的size大的chunk块,就可以触发__malloc_assert

参考资料:https://xz.aliyun.com/news/12380

更新: 2026-04-29 09:40:36
原文: https://www.yuque.com/idcm/wnemg9/fpphb84no4i9uyzs