Large Bin Attack
기본 정보
대형 Bin이 무엇인지에 대한 자세한 정보는 다음 페이지를 확인하세요:
Bins & Memory Allocationshow2heap - large bin attack에서 좋은 예제를 찾을 수 있습니다.
기본적으로 최신 "현재" 버전의 glibc(2.35)에서는 **P->bk_nextsize
**가 확인되지 않아 특정 조건이 충족되면 대형 Bin 청크의 값을 사용하여 임의의 주소를 수정할 수 있습니다.
해당 예제에서 다음 조건을 찾을 수 있습니다:
대형 청크가 할당됨
첫 번째 청크보다 작지만 동일한 인덱스에 있는 또 다른 대형 청크가 할당됨
첫 번째 청크보다 작아야 하므로 청크가 먼저 들어가야 함
(상단 청크와 병합을 방지하기 위한 청크가 생성됨)
그런 다음, 첫 번째 대형 청크가 해제되고 그보다 큰 새로운 청크가 할당됨 -> 청크1이 대형 Bin으로 이동
그런 다음, 두 번째 대형 청크가 해제됨
이제 취약점: 공격자는
chunk1->bk_nextsize
를[target-0x20]
로 수정할 수 있음그런 다음, 청크 2보다 큰 청크가 할당되어 청크2가 대형 Bin에 삽입되며
chunk1->bk_nextsize->fd_nextsize
주소가 청크2의 주소로 덮어씌워짐
다른 잠재적인 시나리오도 있지만, 중요한 것은 현재 X 청크보다 작은 청크를 대형 Bin에 추가해야 하므로 해당 청크가 바로 전에 삽입되어야 하며 X의 **bk_nextsize
**를 수정할 수 있어야 합니다. 작은 청크의 주소가 기록될 위치입니다.
다음은 malloc에서 관련 코드입니다. 주소가 덮어씌워진 방법을 이해하기 위해 주석이 추가되었습니다:
이것은 libc의 global_max_fast
전역 변수를 덮어쓰는 데 사용될 수 있으며, 그 후에 더 큰 청크로 빠른 bin 공격을 수행할 수 있습니다.
이 공격에 대한 또 다른 훌륭한 설명을 guyinatuxedo에서 찾을 수 있습니다.
다른 예시
how2heap에서 나타나는 상황과 동일한 상황에서의 large bin 공격.
여기서
global_max_fast
가 쓸모 없기 때문에 쓰기 원시가 더 복잡합니다.exploit을 완료하기 위해 FSOP가 필요합니다.
Last updated