[heap exploit] ptmalloc2의 unsorted bin과 Top Chunk

Unsorted Bin이란?

ptmalloc2는 여러 종류의 빈(bin)을 사용하여 메모리를 효율적으로 관리합니다. 그 중에서 Unsorted Bin은 해제된 청크들이 초기 상태에서 들어가는 곳입니다. 이 곳에 들어간 청크는 크기가 정렬되지 않으며, 다시 할당될 때까지 대기하는 상태에 있습니다. malloc() 함수가 메모리를 할당할 때, 만약 요청된 크기에 맞는 청크가 Unsorted Bin에 있다면, 이 청크를 재사용하게 됩니다.

 

Unsorted Bin에 첫 연결되는 청크의 특성

Unsorted Bin에 처음 연결되는 청크는 몇 가지 중요한 특징을 가집니다.

1. 이중 원형 연결 리스트
   • ptmalloc2는 이중 원형 연결 리스트를 사용하여 해제된 청크들을 관리합니다. 첫 번째로 Unsorted Bin에 들어간 청크는 이 리스트의 첫 번째 원소가 되며, 이 청크의 fd(forward)와 bk(backward) 포인터 값은 libc 영역의 특정 주소를 가리킵니다.
2. fd와 bk 포인터를 이용한 공격
   • Unsorted Bin에 처음 연결된 청크의 fd와 bk 포인터는 libc 내부의 특정 주소를 가리킵니다. 이로 인해 공격자는 이 값을 이용하여 메모리 주소를 추측하거나 libc의 특정 함수 주소를 조작할 수 있습니다.

 

tcache와 Unsorted Bin의 관계

ptmalloc2는 tcache라는 메커니즘을 사용하여 작은 크기의 메모리 청크를 빠르게 할당하고 해제할 수 있습니다.

tcache는 크기가 0x410 이하인 작은 청크들을 관리하는 캐시입니다. 이 캐시 메커니즘을 통해, 작은 크기의 메모리는 Unsorted Bin에 들어가지 않고 tcache에 먼저 삽입됩니다.

• 0x410 이하 크기의 청크는 우선 tcache에 삽입됩니다.
• 0x410 이상의 크기를 가진 청크는 tcache를 거치지 않고 Unsorted Bin에 들어갑니다.

따라서, 공격자는 Unsorted Bin을 활용하기 위해서는 먼저 0x410 이상의 크기를 가진 청크를 해제해야 합니다. 그 후 Unsorted Bin에서 해당 청크를 관리하게 되며, 이후 공격자는 이 청크들의 메모리 구조를 악용할 수 있습니다.

 

Unsorted Bin을 이용한 UAF(Use-After-Free) 취약점

UAF 취약점은 메모리 해제 이후 해당 메모리를 다시 사용하는 상황을 의미합니다. ptmalloc2에서 Unsorted Bin에 처음으로 연결된 청크의 fd와 bk 포인터를 조작하여, UAF 취약점을 악용할 수 있습니다.

• fd와 bk 포인터를 통해 메모리 주소를 추적하고 libc 베이스 주소를 계산하는 등의 작업이 가능합니다. 이 과정을 통해 공격자는 공격 벡터를 만들고 시스템을 제어할 수 있게 됩니다.

 

탑 청크(Top Chunk)란?

탑 청크는 힙의 마지막 블록을 나타냅니다. malloc()이나 free()와 같은 메모리 관리 함수가 호출될 때, 새로운 메모리 할당 요청을 처리하기 위해 이 마지막 블록이 사용됩니다. 보통 프로그램에서 힙 메모리를 동적으로 할당할 때, 할당된 메모리 공간이 부족하면 이 탑 청크가 새로 할당됩니다. 탑 청크는 힙의 끝에 위치하며, 할당되지 않은 남은 메모리 공간을 나타냅니다.

• 탑 청크의 크기는 malloc()에서 요청된 메모리 크기보다 커야 하며, 새로운 메모리 할당을 위한 확장된 공간으로 사용됩니다.
• malloc()이 호출될 때, 탑 청크의 크기가 조정되며, 힙의 끝에 새로운 청크가 할당될 수 있습니다.

 

탑 청크의 생성 시점

1. 초기화: 프로그램이 시작될 때, 운영 체제는 힙 영역을 할당합니다. 이때 힙의 끝은 탑 청크로 간주되며, 이때는 할당되지 않은 메모리 블록으로 설정됩니다.
2. 메모리 할당과 해제: malloc()이 호출되거나 free()가 호출되어 메모리가 할당되거나 해제되면서, 탑 청크가 동적으로 바뀝니다. 예를 들어, malloc()이 호출될 때, 메모리를 할당한 후 남은 부분은 탑 청크로 남아 있습니다.

 

청크 병합과 관련

탑 청크와 다른 청크가 병합되는 경우가 있습니다. free()를 호출하여 메모리를 해제할 때, 해당 메모리가 탑 청크와 인접하면, 그 메모리 블록과 탑 청크가 병합되어 새로운 큰 청크가 됩니다. 이 경우, 탑 청크와 맞닿는 청크를 해제하면 병합되기 때문에, 해제하려는 메모리가 탑 청크와 합쳐지지 않도록 주의해야 합니다. 이를 방지하려면, 연속된 두 개의 청크를 할당하고 처음 할당된 청크를 해제하여 병합을 피할 수 있습니다.

 

탑 청크와 Unsorted Bin의 병합

1. 청크의 병합(Merging):
   • free() 함수가 호출되면 해제된 청크는 Unsorted Bin에 들어갑니다. 만약 이 청크가 탑 청크와 인접하게 된다면, 두 청크는 병합되어 하나의 큰 청크가 될 수 있습니다. 이 과정에서 탑 청크가 조정되어 힙 끝 부분에 다시 위치하게 됩니다.
   • 예를 들어, 해제된 청크가 탑 청크와 인접하게 된다면, 이 두 청크가 합쳐져 하나의 커다란 청크로 병합됩니다. 병합된 청크는 탑 청크가 되며, 이 새로운 청크는 더 큰 메모리 할당 요청을 처리하는 데 사용됩니다.
2. 병합 방지 기법:
   • Unsorted Bin에 포함된 청크가 탑 청크와 병합되는 상황을 방지하기 위해 연속된 두 개의 청크를 해제하는 방식으로 병합을 피할 수 있습니다. 이 방법을 통해 공격자는 특정 청크들이 병합되지 않도록 제어하고, 그 사이의 공간을 조작할 수 있습니다.