CVE-2016-6187: 堆溢出漏洞利用技巧：Linux内核内存安全剖析

本文主要讨论的是针对Linux内核的一种堆大小差一错误（heap off-by-one）的漏洞利用技术，涉及CVE-2016-6187。该漏洞发生在内存分配器SLUB（Simple Low Overhead Buffering）的使用过程中，SLUB通过预分配相同尺寸的对象来提高内存管理效率。当一个对象A被设置在邻近一个已分配但未使用的对象B的附近时，关键在于利用对象大小控制和内存布局。 首先，攻击者利用堆大小差一的错误，通过精心设计的步骤来操纵内存分配。步骤1中，攻击者会在相同的slab（内存池）中将脆弱的对象A放置在对象B旁边，目的是为了利用B对象的内存空间。接着，在步骤2中，通过修改对象B的“nextfree”指针的最低有效位（least-significant byte），使得分配顺序变得不确定。 步骤3是关键环节，攻击者请求分配两个新的对象，其中第一个会覆盖对象B，而第二个原本应该替代的目标对象C会被挤出，其位置取决于“nextfree”指针的值和对象大小。这一步骤的目的是为了控制目标对象C的内存位置，以便进行后续的恶意操作。 如果对象A和B的内容被控制，攻击者可以利用对象C的位置将其放置在用户空间，从而可能触发一个从外部可访问区域指向的函数指针，形成一个可能的用户空间RISC指令集扩展（ROP）链，从而绕过安全措施，如System Management Extensions Protection (SMEP)。 需要注意的是，这种攻击策略只对小于128字节的对象有效，因为仅能修改一个字节。攻击者需要选择合适的目标对象大小，如256、512或1024字节，以确保溢出覆盖的范围足够实现目标。 这篇教程详细介绍了利用堆大小差一漏洞在Linux内核中执行漏洞利用的技术，包括利用对象大小控制和精心设计的内存操作，以达到权限提升或其他恶意目的。由于涉及系统安全敏感内容，实施此类攻击必须谨慎，并遵循严格的道德准则。