Large Bin Attack
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
더 많은 정보는 대형 빈에 대한 내용을 확인하세요:
Bins & Memory Allocationshow2heap - large bin attack에서 훌륭한 예제를 찾을 수 있습니다.
기본적으로 여기에서 glibc의 최신 "현재" 버전(2.35)에서 **P->bk_nextsize
**가 확인되지 않아 특정 조건이 충족되면 대형 빈 청크의 값으로 임의의 주소를 수정할 수 있는 방법을 볼 수 있습니다.
그 예제에서 다음 조건을 찾을 수 있습니다:
대형 청크가 할당됨
첫 번째 청크보다 작지만 같은 인덱스에 있는 대형 청크가 할당됨
빈에서 먼저 가야 하므로 더 작아야 함
(상단 청크와 병합을 방지하기 위한 청크가 생성됨)
그런 다음 첫 번째 대형 청크가 해제되고 그보다 큰 새 청크가 할당됨 -> Chunk1이 대형 빈으로 이동
그런 다음 두 번째 대형 청크가 해제됨
이제 취약점: 공격자는 chunk1->bk_nextsize
를 [target-0x20]
로 수정할 수 있음
그런 다음 청크 2보다 큰 청크가 할당되므로 chunk2가 대형 빈에 삽입되어 chunk1->bk_nextsize->fd_nextsize
주소를 chunk2의 주소로 덮어씀
다른 잠재적인 시나리오가 있으며, 중요한 것은 대형 빈에 현재 빈의 X 청크보다 작은 청크를 추가하는 것입니다. 따라서 빈에서 X의 **bk_nextsize
**를 수정할 수 있어야 하며, 이는 더 작은 청크의 주소가 기록될 위치입니다.
이것은 malloc의 관련 코드입니다. 주소가 어떻게 덮어씌워졌는지 더 잘 이해할 수 있도록 주석이 추가되었습니다:
이것은 libc의 global_max_fast
전역 변수를 덮어쓰는 데 사용될 수 있으며, 이후 더 큰 청크로 빠른 빈 공격을 악용할 수 있습니다.
이 공격에 대한 또 다른 훌륭한 설명은 guyinatuxedo에서 찾을 수 있습니다.
how2heap에서 나타나는 것과 같은 상황에서의 대형 빈 공격.
쓰기 원시 함수는 더 복잡합니다. 왜냐하면 global_max_fast
는 여기서 쓸모가 없기 때문입니다.
익스플로잇을 완료하려면 FSOP가 필요합니다.
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)