Off by one overflow

Grundinformationen

Der Zugriff auf einen 1B Overflow ermöglicht es einem Angreifer, das size-Feld des nächsten Chunks zu ändern. Dies ermöglicht es, zu manipulieren, welche Chunks tatsächlich freigegeben werden, was potenziell einen Chunk erzeugt, der einen anderen legitimen Chunk enthält. Die Ausnutzung ist ähnlich wie bei double free oder überlappenden Chunks.

Es gibt 2 Arten von Off-by-One-Sicherheitsanfälligkeiten:

• Arbitrary byte: Diese Art erlaubt es, dieses Byte mit einem beliebigen Wert zu überschreiben.

• Null byte (off-by-null): Diese Art erlaubt es, dieses Byte nur mit 0x00 zu überschreiben.

• Ein häufiges Beispiel für diese Sicherheitsanfälligkeit kann im folgenden Code gesehen werden, wo das Verhalten von strlen und strcpy inkonsistent ist, was es ermöglicht, ein 0x00-Byte am Anfang des nächsten Chunks zu setzen.

• Dies kann mit dem House of Einherjar ausgenutzt werden.

• Wenn Tcache verwendet wird, kann dies zu einer double free Situation ausgenutzt werden.

Unter anderen Überprüfungen wird jetzt, wann immer ein Chunk freigegeben wird, die vorherige Größe mit der in den Metadaten des Chunks konfigurierten Größe verglichen, was diesen Angriff ab Version 2.28 recht komplex macht.

Codebeispiel:

• https://github.com/DhavalKapil/heap-exploitation/blob/d778318b6a14edad18b20421f5a06fa1a6e6920e/assets/files/shrinking_free_chunks.c

• Dieser Angriff funktioniert nicht mehr aufgrund der Verwendung von Tcaches.

• Darüber hinaus, wenn Sie versuchen, es mit größeren Chunks auszunutzen (so dass Tcaches nicht beteiligt sind), erhalten Sie den Fehler: malloc(): invalid next size (unsorted)

Ziel

• Einen Chunk in einen anderen Chunk einzufügen, sodass der Schreibzugriff auf diesen zweiten Chunk es ermöglicht, den enthaltenen zu überschreiben.

Anforderungen

• Off-by-one-Overflow, um die Größenmetadateninformationen zu ändern.

Allgemeiner Off-by-One-Angriff

• Drei Chunks A, B und C (sagen wir Größen 0x20) zuweisen und einen weiteren, um die Konsolidierung mit dem Top-Chunk zu verhindern.

• C freigeben (in die 0x20 Tcache-Freiliste eingefügt).

• Chunk A verwenden, um auf B zu überlaufen. Off-by-one ausnutzen, um das size-Feld von B von 0x21 auf 0x41 zu ändern.

• Jetzt haben wir B, das den freien Chunk C enthält.

• B freigeben und einen 0x40 Chunk zuweisen (er wird hier wieder platziert).

• Wir können den fd-Zeiger von C ändern, der immer noch frei ist (Tcache-Poisoning).

Off-by-Null-Angriff

• 3 Chunks Speicher (a, b, c) werden nacheinander reserviert. Dann wird der mittlere freigegeben. Der erste enthält eine Off-by-One-Overflow-Schwachstelle, und der Angreifer nutzt dies mit einem 0x00 aus (wenn das vorherige Byte 0x10 war, würde es den mittleren Chunk anzeigen, dass er 0x10 kleiner ist, als er tatsächlich ist).

• Dann werden 2 weitere kleinere Chunks im freigegebenen Chunk (b) zugewiesen, jedoch wird b + b->size den Chunk c nie aktualisieren, da die angegebene Adresse kleiner ist, als sie sein sollte.

• Dann werden b1 und c freigegeben. Da c - c->prev_size immer noch auf b (jetzt b1) zeigt, werden beide in einem Chunk konsolidiert. b2 befindet sich jedoch immer noch zwischen b1 und c.

• Schließlich wird ein neues malloc durchgeführt, das diesen Speicherbereich zurückgewinnt, der tatsächlich b2 enthalten wird, wodurch der Besitzer des neuen malloc den Inhalt von b2 kontrollieren kann.

Dieses Bild erklärt den Angriff perfekt:

Weitere Beispiele & Referenzen

• https://heap-exploitation.dhavalkapil.com/attacks/shrinking_free_chunks

• Bon-nie-appetit. HTB Cyber Apocalypse CTF 2022

• Off-by-one aufgrund von strlen, das das size-Feld des nächsten Chunks berücksichtigt.

• Tcache wird verwendet, sodass ein allgemeiner Off-by-One-Angriff funktioniert, um eine willkürliche Schreibprimitive mit Tcache-Poisoning zu erhalten.

• Asis CTF 2016 b00ks

• Es ist möglich, einen Off-by-One auszunutzen, um eine Adresse aus dem Heap zu leaken, da das Byte 0x00 am Ende eines Strings vom nächsten Feld überschrieben wird.

• Willkürliches Schreiben wird durch den Missbrauch des Off-by-One-Schreibens erreicht, um den Zeiger auf einen anderen Ort zu lenken, an dem eine gefälschte Struktur mit gefälschten Zeigern erstellt wird. Dann ist es möglich, dem Zeiger dieser Struktur zu folgen, um willkürlich zu schreiben.

• Die libc-Adresse wird geleakt, weil, wenn der Heap mit mmap erweitert wird, der von mmap zugewiesene Speicher einen festen Offset von libc hat.

• Schließlich wird das willkürliche Schreiben ausgenutzt, um in die Adresse von __free_hook mit einem One-Gadget zu schreiben.

• plaidctf 2015 plaiddb

• Es gibt eine NULL Off-by-One-Schwachstelle in der Funktion getline, die Benutzereingabezeilen liest. Diese Funktion wird verwendet, um den "Schlüssel" des Inhalts und nicht den Inhalt selbst zu lesen.

• Im Writeup werden 5 anfängliche Chunks erstellt:

• chunk1 (0x200)

• chunk2 (0x50)

• chunk5 (0x68)

• chunk3 (0x1f8)

• chunk4 (0xf0)

• chunk defense (0x400), um die Konsolidierung mit dem Top-Chunk zu vermeiden.

• Dann werden Chunk 1, 5 und 3 freigegeben, sodass:

• Copy

[ 0x200 Chunk 1 (free) ] [ 0x50 Chunk 2 ] [ 0x68 Chunk 5 (free) ] [ 0x1f8 Chunk 3 (free) ] [ 0xf0 Chunk 4 ] [ 0x400 Chunk defense ]

* Dann wird Chunk3 (0x1f8) ausgenutzt, um den null Off-by-One auszunutzen, indem `prev_size` auf `0x4e0` geschrieben wird.
* Beachten Sie, wie die Größen der ursprünglich zugewiesenen Chunks 1, 2, 5 und 3 sowie die Header von 4 dieser Chunks gleich `0x4e0` sind:  `hex(0x1f8 + 0x10 + 0x68 + 0x10 + 0x50 + 0x10 + 0x200) = 0x4e0`
* Dann wird Chunk 4 freigegeben, wodurch ein Chunk entsteht, der alle Chunks bis zum Anfang verbraucht:
* ```python
[ 0x4e0 Chunk 1-2-5-3 (free) ] [ 0xf0 Chunk 4 (corrupted) ] [ 0x400 Chunk defense ]

• Copy

[ 0x200 Chunk 1 (free) ] [ 0x50 Chunk 2 ] [ 0x68 Chunk 5 (free) ] [ 0x1f8 Chunk 3 (free) ] [ 0xf0 Chunk 4 ] [ 0x400 Chunk defense ]

* Dann werden `0x200` Bytes zugewiesen, die den ursprünglichen Chunk 1 füllen.
* Und weitere 0x200 Bytes werden zugewiesen, und Chunk2 wird zerstört, und daher gibt es keinen fucking leak und das funktioniert nicht? Vielleicht sollte das nicht gemacht werden.
* Dann wird ein weiterer Chunk mit 0x58 "a"s zugewiesen (der Chunk2 überschreibt und Chunk5 erreicht) und ändert den `fd` des Fast-Bin-Chunks von Chunk5, sodass er auf `__malloc_hook` zeigt.
* Dann wird ein Chunk von 0x68 zugewiesen, sodass der gefälschte Fast-Bin-Chunk in `__malloc_hook` der folgende Fast-Bin-Chunk ist.
* Schließlich wird ein neuer Fast-Bin-Chunk von 0x68 zugewiesen und `__malloc_hook` wird mit einer `one_gadget`-Adresse überschrieben.

<div data-gb-custom-block data-tag="hint" data-style='success'>

Lernen & üben Sie AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Lernen & üben Sie GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Überprüfen Sie die [**Abonnementpläne**](https://github.com/sponsors/carlospolop)!
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repos senden.

</details>

</div>