Large Bin Attack

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
Bize katılın 💬 Discord grubuna veya telegram grubuna veya bizi Twitter'da 🐦 @hacktricks_live** takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Temel Bilgiler

Büyük bir binin ne olduğunu öğrenmek için bu sayfayı kontrol edin:

Bins & Memory Allocations

how2heap - large bin attack sayfasında harika bir örnek bulmak mümkündür.

Temelde burada, glibc'nin en son "güncel" sürümünde (2.35) kontrol edilmediğini görebilirsiniz: P->bk_nextsize belirli koşullar sağlandığında büyük bir bin parçasının değeri ile rastgele bir adresi değiştirmeye izin vermektedir.

Bu örnekte aşağıdaki koşulları bulabilirsiniz:

Büyük bir parça tahsis edilir
İlkinden daha küçük ama aynı indekste bir büyük parça tahsis edilir
Bin içinde öncelikli olarak yer alması gerektiğinden daha küçük olmalıdır
(Üst parçayla birleştirmeyi önlemek için bir parça oluşturulur)
Ardından, ilk büyük parça serbest bırakılır ve ondan daha büyük yeni bir parça tahsis edilir -> Chunk1 büyük bin'e gider
Sonra, ikinci büyük parça serbest bırakılır
Şimdi, zafiyet: Saldırgan chunk1->bk_nextsize'ı [target-0x20] olarak değiştirebilir
Ardından, chunk 2'den daha büyük bir parça tahsis edilir, böylece chunk2 büyük bin'e eklenir ve chunk1->bk_nextsize->fd_nextsize adresi chunk2'nin adresi ile üzerine yazılır

Diğer potansiyel senaryolar da vardır, mesele büyük bin'e mevcut bir X parçasından daha küçük bir parça eklemektir, böylece bin içinde X'in öncesine yerleştirilmesi gerekir ve X'in bk_nextsize'ını değiştirebilmemiz gerekir çünkü daha küçük parçanın adresi buraya yazılacaktır.

Bu malloc'tan ilgili kod. Adresin nasıl üzerine yazıldığını daha iyi anlamak için yorumlar eklenmiştir:

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

Bu, libc'nin global_max_fast global değişkenini geçersiz kılmak için kullanılabilir ve ardından daha büyük parçalarla hızlı bin saldırısını istismar edebilir.

Bu saldırının başka harika bir açıklamasını guyinatuxedo adresinde bulabilirsiniz.

Diğer örnekler

La casa de papel. HackOn CTF 2024
how2heap adresinde görüldüğü gibi aynı durumda büyük bin saldırısı.
Yazma primitive'i daha karmaşık, çünkü global_max_fast burada işe yaramaz.
İstismarı tamamlamak için FSOP gereklidir.

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousUnsorted Bin Attack NextTcache Bin Attack

Last updated 7 days ago

Temel Bilgiler

Büyük bir binin ne olduğunu öğrenmek için bu sayfayı kontrol edin:

Bins & Memory Allocations

how2heap - large bin attack sayfasında harika bir örnek bulmak mümkündür.

Bu örnekte aşağıdaki koşulları bulabilirsiniz:

Büyük bir parça tahsis edilir

İlkinden daha küçük ama aynı indekste bir büyük parça tahsis edilir

Bin içinde öncelikli olarak yer alması gerektiğinden daha küçük olmalıdır

(Üst parçayla birleştirmeyi önlemek için bir parça oluşturulur)

Ardından, ilk büyük parça serbest bırakılır ve ondan daha büyük yeni bir parça tahsis edilir -> Chunk1 büyük bin'e gider

Sonra, ikinci büyük parça serbest bırakılır

Şimdi, zafiyet: Saldırgan chunk1->bk_nextsize'ı [target-0x20] olarak değiştirebilir

Ardından, chunk 2'den daha büyük bir parça tahsis edilir, böylece chunk2 büyük bin'e eklenir ve chunk1->bk_nextsize->fd_nextsize adresi chunk2'nin adresi ile üzerine yazılır

Bu malloc'tan ilgili kod. Adresin nasıl üzerine yazıldığını daha iyi anlamak için yorumlar eklenmiştir:

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

Bu, libc'nin global_max_fast global değişkenini geçersiz kılmak için kullanılabilir ve ardından daha büyük parçalarla hızlı bin saldırısını istismar edebilir.

Bu saldırının başka harika bir açıklamasını guyinatuxedo adresinde bulabilirsiniz.

Diğer örnekler

La casa de papel. HackOn CTF 2024

how2heap adresinde görüldüğü gibi aynı durumda büyük bin saldırısı.

Yazma primitive'i daha karmaşık, çünkü global_max_fast burada işe yaramaz.

İstismarı tamamlamak için FSOP gereklidir.