Large Bin Attack

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Za više informacija o tome šta je velika kesa, proverite ovu stranicu:

Bins & Memory Allocations

Moguće je pronaći odličan primer u how2heap - large bin attack.

U suštini, ovde možete videti kako, u najnovijoj "aktuelnoj" verziji glibc (2.35), nije provereno: P->bk_nextsize što omogućava modifikaciju proizvoljne adrese sa vrednošću velike kese ako su ispunjeni određeni uslovi.

U tom primeru možete pronaći sledeće uslove:

Velika kesa je alocirana
Velika kesa manja od prve, ali na istom indeksu, je alocirana
Mora biti manja tako da mora ići prva u kesa
(Kesa za sprečavanje spajanja sa gornjom kesom je kreirana)
Zatim, prva velika kesa se oslobađa i nova kesa veća od nje se alocira -> Chunk1 ide u veliku kesu
Zatim, druga velika kesa se oslobađa
Sada, ranjivost: Napadač može modifikovati chunk1->bk_nextsize na [target-0x20]
Zatim, alocira se veća kesa od chunk 2, tako da se chunk2 ubacuje u veliku kesu prepisujući adresu chunk1->bk_nextsize->fd_nextsize sa adresom chunk2

Postoje i drugi potencijalni scenariji, stvar je dodati u veliku kesu kesu koja je manja od trenutne X kese u kesa, tako da treba biti ubačena neposredno pre nje u kesa, i moramo biti u mogućnosti da modifikujemo X-ov bk_nextsize jer će se tu zapisati adresa manje kese.

Ovo je relevantan kod iz malloc. Komentari su dodati da bi se bolje razumelo kako je adresa prepisana:

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

Ovo se može koristiti za prepisivanje global_max_fast globalne promenljive libc kako bi se iskoristio napad na brzi bin sa većim delovima.

Možete pronaći još jedno odlično objašnjenje ovog napada u guyinatuxedo.

Ostali primeri

La casa de papel. HackOn CTF 2024
Napad na veliki bin u istoj situaciji kao što se pojavljuje u how2heap.
Write primitiv je složeniji, jer je global_max_fast ovde beskoristan.
FSOP je potreban da se završi eksploatacija.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousUnsorted Bin Attack NextTcache Bin Attack

Last updated 1 day ago

Basic Information

Za više informacija o tome šta je velika kesa, proverite ovu stranicu:

Bins & Memory Allocations

U tom primeru možete pronaći sledeće uslove:

Velika kesa je alocirana

Velika kesa manja od prve, ali na istom indeksu, je alocirana

Mora biti manja tako da mora ići prva u kesa

(Kesa za sprečavanje spajanja sa gornjom kesom je kreirana)

Zatim, prva velika kesa se oslobađa i nova kesa veća od nje se alocira -> Chunk1 ide u veliku kesu

Zatim, druga velika kesa se oslobađa

Sada, ranjivost: Napadač može modifikovati chunk1->bk_nextsize na [target-0x20]

Zatim, alocira se veća kesa od chunk 2, tako da se chunk2 ubacuje u veliku kesu prepisujući adresu chunk1->bk_nextsize->fd_nextsize sa adresom chunk2

Ovo je relevantan kod iz malloc. Komentari su dodati da bi se bolje razumelo kako je adresa prepisana:

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

Ovo se može koristiti za prepisivanje global_max_fast globalne promenljive libc kako bi se iskoristio napad na brzi bin sa većim delovima.

Možete pronaći još jedno odlično objašnjenje ovog napada u guyinatuxedo.

Ostali primeri

La casa de papel. HackOn CTF 2024

Napad na veliki bin u istoj situaciji kao što se pojavljuje u how2heap.

Write primitiv je složeniji, jer je global_max_fast ovde beskoristan.

FSOP je potreban da se završi eksploatacija.