Large Bin Attack

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

基本情報

大きなビンとは何かについての詳細は、このページを確認してください：

Bins & Memory Allocations

how2heap - large bin attackに素晴らしい例があります。

基本的に、最新の「現在の」glibcバージョン（2.35）では、**P->bk_nextsize**がチェックされておらず、特定の条件が満たされると、大きなビンチャンクの値で任意のアドレスを変更できることがわかります。

その例では、次の条件が見つかります：

大きなチャンクが割り当てられる
最初のものより小さいが同じインデックスの大きなチャンクが割り当てられる
ビン内で最初に挿入される必要があるため、小さくなければならない
（トップチャンクとのマージを防ぐためのチャンクが作成される）
その後、最初の大きなチャンクが解放され、それより大きな新しいチャンクが割り当てられる -> Chunk1が大きなビンに移動
次に、2番目の大きなチャンクが解放される
ここで脆弱性：攻撃者はchunk1->bk_nextsizeを[target-0x20]に変更できる
その後、チャンク2よりも大きなチャンクが割り当てられるため、チャンク2が大きなビンに挿入され、アドレスchunk1->bk_nextsize->fd_nextsizeがチャンク2のアドレスで上書きされる

他にも潜在的なシナリオがありますが、重要なのは、ビン内の現在のXチャンクよりも小さいチャンクを大きなビンに追加することです。したがって、それはビン内のXの直前に挿入される必要があり、Xの**bk_nextsize**を変更できる必要があります。そこに小さいチャンクのアドレスが書き込まれるからです。

これはmallocからの関連コードです。アドレスがどのように上書きされたかを理解するためにコメントが追加されています：

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

これは、libcのglobal_max_fastグローバル変数を上書きするために使用される可能性があり、より大きなチャンクでのファストビン攻撃を悪用することができます。

この攻撃の別の優れた説明は、guyinatuxedoで見つけることができます。

その他の例

La casa de papel. HackOn CTF 2024
how2heapに表示されるのと同じ状況での大きなビン攻撃。
書き込みプリミティブはより複雑で、global_max_fastはここでは無意味です。
エクスプロイトを完了するにはFSOPが必要です。

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのgithubリポジトリにPRを提出してください。

PreviousUnsorted Bin Attack NextTcache Bin Attack

Last updated 1 day ago

基本情報

大きなビンとは何かについての詳細は、このページを確認してください：

Bins & Memory Allocations

その例では、次の条件が見つかります：

大きなチャンクが割り当てられる

最初のものより小さいが同じインデックスの大きなチャンクが割り当てられる

ビン内で最初に挿入される必要があるため、小さくなければならない

（トップチャンクとのマージを防ぐためのチャンクが作成される）

その後、最初の大きなチャンクが解放され、それより大きな新しいチャンクが割り当てられる -> Chunk1が大きなビンに移動

次に、2番目の大きなチャンクが解放される

ここで脆弱性：攻撃者はchunk1->bk_nextsizeを[target-0x20]に変更できる

その後、チャンク2よりも大きなチャンクが割り当てられるため、チャンク2が大きなビンに挿入され、アドレスchunk1->bk_nextsize->fd_nextsizeがチャンク2のアドレスで上書きされる

これはmallocからの関連コードです。アドレスがどのように上書きされたかを理解するためにコメントが追加されています：

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

この攻撃の別の優れた説明は、guyinatuxedoで見つけることができます。

その他の例

La casa de papel. HackOn CTF 2024

how2heapに表示されるのと同じ状況での大きなビン攻撃。

書き込みプリミティブはより複雑で、global_max_fastはここでは無意味です。

エクスプロイトを完了するにはFSOPが必要です。