First Fit

First Fit

Kada oslobodite memoriju u programu koristeći glibc, različiti "bins" se koriste za upravljanje delovima memorije. Evo pojednostavljenog objašnjenja dva uobičajena scenarija: nesortirani bins i fastbins.

Nesortirani Bins

Kada oslobodite deo memorije koji nije fast chunk, on ide u nesortirani bin. Ovaj bin deluje kao lista gde se novi oslobođeni delovi dodaju na početak (na "glavu"). Kada zatražite novi deo memorije, alokator gleda u nesortirani bin od pozadi (na "rep") da pronađe deo koji je dovoljno velik. Ako je deo iz nesortiranog bina veći od onoga što vam treba, on se deli, pri čemu se prednji deo vraća, a preostali deo ostaje u binu.

Primer:

• Alocirate 300 bajtova (a), zatim 250 bajtova (b), oslobodite a i ponovo zatražite 250 bajtova (c).

• Kada oslobodite a, on ide u nesortirani bin.

• Ako zatim ponovo zatražite 250 bajtova, alokator pronalazi a na repu i deli ga, vraćajući deo koji odgovara vašem zahtevu i zadržavajući ostatak u binu.

• c će pokazivati na prethodni a i biti ispunjen a's.

char *a = malloc(300);
char *b = malloc(250);
free(a);
char *c = malloc(250);

Fastbins

Fastbins se koriste za male delove memorije. Za razliku od nesortiranih binova, fastbins dodaju nove delove na početak, stvarajući ponašanje poslednji unutra - prvi napolju (LIFO). Ako zatražite mali deo memorije, alokator će uzeti iz vrha fastbina.

Primer:

• Alocirate četiri dela od po 20 bajtova (a, b, c, d).

• Kada ih oslobodite u bilo kom redosledu, oslobođeni delovi se dodaju na vrh fastbina.

• Ako zatim zatražite deo od 20 bajtova, alokator će vratiti najnovije oslobođeni deo iz vrha fastbina.

char *a = malloc(20);
char *b = malloc(20);
char *c = malloc(20);
char *d = malloc(20);
free(a);
free(b);
free(c);
free(d);
a = malloc(20);   // d
b = malloc(20);   // c
c = malloc(20);   // b
d = malloc(20);   // a

Ostale reference i primeri

• https://heap-exploitation.dhavalkapil.com/attacks/first_fit

• https://8ksec.io/arm64-reversing-and-exploitation-part-2-use-after-free/

• ARM64. Korisnička upotreba nakon oslobađanja: Generišite korisnički objekat, oslobodite ga, generišite objekat koji dobija oslobođeni deo i omogućite pisanje u njega, prepisujući poziciju user->password iz prethodnog. Ponovno koristite korisnika da obiđete proveru lozinke

• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/use_after_free/#example

• Program omogućava kreiranje beleški. Beleška će imati informacije o belešci u malloc(8) (sa pokazivačem na funkciju koja može biti pozvana) i pokazivač na drugi malloc(<size>) sa sadržajem beleške.

• Napad bi bio da se kreiraju 2 beleške (note0 i note1) sa većim malloc sadržajem od veličine informacija o belešci i zatim ih osloboditi kako bi ušle u brzi bin (ili tcache).

• Zatim, kreirajte još jednu belešku (note2) sa veličinom sadržaja 8. Sadržaj će biti u note1 jer će se deo ponovo koristiti, gde bismo mogli da modifikujemo pokazivač funkcije da pokazuje na win funkciju i zatim Use-After-Free note1 da pozovemo novi pokazivač funkcije.

• https://guyinatuxedo.github.io/26-heap_grooming/pico_areyouroot/index.html

• Moguće je alocirati neku memoriju, napisati željenu vrednost, osloboditi je, ponovo alocirati i pošto su prethodni podaci još uvek tu, biće tretirani prema novoj očekivanoj strukturi u delu, što omogućava postavljanje vrednosti za dobijanje zastavice.

• https://guyinatuxedo.github.io/26-heap_grooming/swamp19_heapgolf/index.html

• U ovom slučaju potrebno je napisati 4 unutar specifičnog dela koji je prvi koji se alocira (čak i nakon prisilnog oslobađanja svih njih). Na svakom novom alociranom delu, njegov broj u indeksu niza se čuva. Zatim, alocirajte 4 dela (+ inicijalno alocirani), poslednji će imati 4 unutar njega, oslobodite ih i prisilite ponovnu alokaciju prvog, koji će koristiti poslednji oslobođeni deo koji je onaj sa 4 unutar njega.