Large Bin Attack

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Kwa maelezo zaidi kuhusu nini bin kubwa angalia ukurasa huu:

Bins & Memory Allocations

Inawezekana kupata mfano mzuri katika how2heap - large bin attack.

Kimsingi hapa unaweza kuona jinsi, katika toleo la hivi karibuni "current" la glibc (2.35), halijakaguliwa: P->bk_nextsize ikiruhusu kubadilisha anwani isiyo ya kawaida kwa thamani ya kipande kikubwa cha bin ikiwa masharti fulani yamekamilishwa.

Katika mfano huo unaweza kupata masharti yafuatayo:

Kipande kikubwa kinatengwa
Kipande kikubwa kidogo kuliko cha kwanza lakini katika index sawa kinatengwa
Lazima kiwe kidogo hivyo katika bin lazima kiwe cha kwanza
(Kipande cha kuzuia kuungana na kipande cha juu kinaundwa)
Kisha, kipande cha kwanza kikubwa kinachukuliwa na kipande kipya kikubwa zaidi kinatengwa -> Kipande1 kinaenda kwenye bin kubwa
Kisha, kipande cha pili kikubwa kinachukuliwa
Sasa, udhaifu: Mshambuliaji anaweza kubadilisha chunk1->bk_nextsize kuwa [target-0x20]
Kisha, kipande kikubwa zaidi kuliko kipande 2 kinatengwa, hivyo kipande2 kinatengwa katika bin kubwa ikifuta anwani chunk1->bk_nextsize->fd_nextsize kwa anwani ya kipande2

Kuna hali nyingine zinazoweza kutokea, jambo ni kuongeza kwenye bin kubwa kipande ambacho ni kidogo kuliko kipande cha sasa X katika bin, hivyo inahitaji kuingizwa kabla yake katika bin, na tunahitaji kuwa na uwezo wa kubadilisha bk_nextsize ya X kwani hapo ndipo anwani ya kipande kidogo itakapandikizwa.

Hii ndiyo code muhimu kutoka malloc. Maoni yameongezwa ili kuelewa vizuri jinsi anwani ilivyofutwa:

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

Hii inaweza kutumika kufuta global_max_fast variable ya global ya libc ili kisha kutumia shambulio la fast bin na vipande vikubwa.

Unaweza kupata maelezo mengine mazuri kuhusu shambulio hili katika guyinatuxedo.

Mifano mingine

La casa de papel. HackOn CTF 2024
Shambulio la large bin katika hali sawa na inavyoonekana katika how2heap.
Primitive ya kuandika ni ngumu zaidi, kwa sababu global_max_fast haina maana hapa.
FSOP inahitajika kumaliza exploit.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousUnsorted Bin Attack NextTcache Bin Attack

Last updated 4 days ago

Basic Information

Kwa maelezo zaidi kuhusu nini bin kubwa angalia ukurasa huu:

Bins & Memory Allocations

Katika mfano huo unaweza kupata masharti yafuatayo:

Kipande kikubwa kinatengwa

Kipande kikubwa kidogo kuliko cha kwanza lakini katika index sawa kinatengwa

Lazima kiwe kidogo hivyo katika bin lazima kiwe cha kwanza

(Kipande cha kuzuia kuungana na kipande cha juu kinaundwa)

Kisha, kipande cha kwanza kikubwa kinachukuliwa na kipande kipya kikubwa zaidi kinatengwa -> Kipande1 kinaenda kwenye bin kubwa

Kisha, kipande cha pili kikubwa kinachukuliwa

Sasa, udhaifu: Mshambuliaji anaweza kubadilisha chunk1->bk_nextsize kuwa [target-0x20]

Kisha, kipande kikubwa zaidi kuliko kipande 2 kinatengwa, hivyo kipande2 kinatengwa katika bin kubwa ikifuta anwani chunk1->bk_nextsize->fd_nextsize kwa anwani ya kipande2

Hii ndiyo code muhimu kutoka malloc. Maoni yameongezwa ili kuelewa vizuri jinsi anwani ilivyofutwa:

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

Hii inaweza kutumika kufuta global_max_fast variable ya global ya libc ili kisha kutumia shambulio la fast bin na vipande vikubwa.

Unaweza kupata maelezo mengine mazuri kuhusu shambulio hili katika guyinatuxedo.

Mifano mingine

La casa de papel. HackOn CTF 2024

Shambulio la large bin katika hali sawa na inavyoonekana katika how2heap.

Primitive ya kuandika ni ngumu zaidi, kwa sababu global_max_fast haina maana hapa.

FSOP inahitajika kumaliza exploit.