Large Bin Attack

HackTricks 지원하기

기본 정보

대형 Bin이 무엇인지에 대한 자세한 정보는 다음 페이지를 확인하세요:

Bins & Memory Allocations

how2heap - large bin attack에서 좋은 예제를 찾을 수 있습니다.

기본적으로 최신 "현재" 버전의 glibc(2.35)에서는 **P->bk_nextsize**가 확인되지 않아 특정 조건이 충족되면 대형 Bin 청크의 값을 사용하여 임의의 주소를 수정할 수 있습니다.

해당 예제에서 다음 조건을 찾을 수 있습니다:

  • 대형 청크가 할당됨

  • 첫 번째 청크보다 작지만 동일한 인덱스에 있는 또 다른 대형 청크가 할당됨

  • 첫 번째 청크보다 작아야 하므로 청크가 먼저 들어가야 함

  • (상단 청크와 병합을 방지하기 위한 청크가 생성됨)

  • 그런 다음, 첫 번째 대형 청크가 해제되고 그보다 큰 새로운 청크가 할당됨 -> 청크1이 대형 Bin으로 이동

  • 그런 다음, 두 번째 대형 청크가 해제됨

  • 이제 취약점: 공격자는 chunk1->bk_nextsize[target-0x20]로 수정할 수 있음

  • 그런 다음, 청크 2보다 큰 청크가 할당되어 청크2가 대형 Bin에 삽입되며 chunk1->bk_nextsize->fd_nextsize 주소가 청크2의 주소로 덮어씌워짐

다른 잠재적인 시나리오도 있지만, 중요한 것은 현재 X 청크보다 작은 청크를 대형 Bin에 추가해야 하므로 해당 청크가 바로 전에 삽입되어야 하며 X의 **bk_nextsize**를 수정할 수 있어야 합니다. 작은 청크의 주소가 기록될 위치입니다.

다음은 malloc에서 관련 코드입니다. 주소가 덮어씌워진 방법을 이해하기 위해 주석이 추가되었습니다:

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

이것은 libc의 global_max_fast 전역 변수를 덮어쓰는 데 사용될 수 있으며, 그 후에 더 큰 청크로 빠른 bin 공격을 수행할 수 있습니다.

이 공격에 대한 또 다른 훌륭한 설명을 guyinatuxedo에서 찾을 수 있습니다.

다른 예시

  • how2heap에서 나타나는 상황과 동일한 상황에서의 large bin 공격.

  • 여기서 global_max_fast가 쓸모 없기 때문에 쓰기 원시가 더 복잡합니다.

  • exploit을 완료하기 위해 FSOP가 필요합니다.

HackTricks 지원하기

Last updated