Large Bin Attack

AWSハッキングを学び、練習する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、練習する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランをチェック！
💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

基本情報

大きなビンとは何かについての詳細情報は、次のページを参照してください：

Bins & Memory Allocations

最新の"glibc"（2.35）の「現在の」バージョンでは、P->bk_nextsize がチェックされていないため、特定の条件が満たされると大きなビンチャンクの値で任意のアドレスを変更できます。

その例では、次の条件が見つかります：

大きなチャンクが割り当てられている
最初のチャンクよりも小さい大きなチャンクが同じインデックスに割り当てられている
ビン内で最初に行く必要があるため、それよりも小さくなければならない
（トップチャンクとのマージを防ぐチャンクが作成される）
次に、最初の大きなチャンクが解放され、それよりも大きな新しいチャンクが割り当てられる -> チャンク1は大きなビンに移動
次に、2番目の大きなチャンクが解放される
ここで、脆弱性：攻撃者は chunk1->bk_nextsize を [target-0x20] に変更できる
次に、チャンク2よりも大きなチャンクが割り当てられるため、チャンク2が大きなビンに挿入され、アドレス chunk1->bk_nextsize->fd_nextsize がチャンク2のアドレスで上書きされます

他の潜在的なシナリオがありますが、重要なのは、ビンに現在のXチャンクよりも小さいチャンクを追加することです。そのためには、ビン内でそれよりも前に挿入する必要があり、Xの**bk_nextsize**を変更できる必要があります。それが小さなチャンクのアドレスが書き込まれる場所です。

これはmallocからの関連するコードです。アドレスがどのように上書きされたかをよりよく理解するためにコメントが追加されています：

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

これは、global_max_fastのグローバル変数を上書きして、より大きなチャンクで高速ビンアタックを悪用するために使用できます。

この攻撃の別の素晴らしい説明をguyinatuxedoで見つけることができます。

他の例

La casa de papel. HackOn CTF 2024
同じ状況での大きなビンアタックは、how2heapに表示されています。
書き込みプリミティブはより複雑です、なぜならglobal_max_fastはここでは役に立たないからです。
エクスプロイトを完了するにはFSOPが必要です。

HackTricksのサポート

寄付プランをチェック！
💬 Discordグループに参加するか、telegramグループに参加するか、Twitter🐦 @hacktricks_liveをフォローしてください。
ハッキングトリックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

PreviousUnsorted Bin Attack NextTcache Bin Attack

Last updated 4 months ago

基本情報

大きなビンとは何かについての詳細情報は、次のページを参照してください：

Bins & Memory Allocations

その例では、次の条件が見つかります：

大きなチャンクが割り当てられている

最初のチャンクよりも小さい大きなチャンクが同じインデックスに割り当てられている

ビン内で最初に行く必要があるため、それよりも小さくなければならない

（トップチャンクとのマージを防ぐチャンクが作成される）

次に、最初の大きなチャンクが解放され、それよりも大きな新しいチャンクが割り当てられる -> チャンク1は大きなビンに移動

次に、2番目の大きなチャンクが解放される

ここで、脆弱性：攻撃者は chunk1->bk_nextsize を [target-0x20] に変更できる

次に、チャンク2よりも大きなチャンクが割り当てられるため、チャンク2が大きなビンに挿入され、アドレス chunk1->bk_nextsize->fd_nextsize がチャンク2のアドレスで上書きされます

これはmallocからの関連するコードです。アドレスがどのように上書きされたかをよりよく理解するためにコメントが追加されています：

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

これは、global_max_fastのグローバル変数を上書きして、より大きなチャンクで高速ビンアタックを悪用するために使用できます。

この攻撃の別の素晴らしい説明をguyinatuxedoで見つけることができます。

他の例

La casa de papel. HackOn CTF 2024

同じ状況での大きなビンアタックは、how2heapに表示されています。

書き込みプリミティブはより複雑です、なぜならglobal_max_fastはここでは役に立たないからです。

エクスプロイトを完了するにはFSOPが必要です。

AWSハッキングの学習と練習：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングの学習と練習：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksのサポート

寄付プランをチェック！
💬 Discordグループに参加するか、telegramグループに参加するか、Twitter🐦 @hacktricks_liveをフォローしてください。
ハッキングトリックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。