Large Bin Attack

基本情報

大きなビンとは何かについての詳細情報は、次のページを参照してください：

最新の"glibc"（2.35）の「現在の」バージョンでは、P->bk_nextsize がチェックされていないため、特定の条件が満たされると大きなビンチャンクの値で任意のアドレスを変更できます。

その例では、次の条件が見つかります：

• 大きなチャンクが割り当てられている

• 最初のチャンクよりも小さい大きなチャンクが同じインデックスに割り当てられている

• ビン内で最初に行く必要があるため、それよりも小さくなければならない

• （トップチャンクとのマージを防ぐチャンクが作成される）

• 次に、最初の大きなチャンクが解放され、それよりも大きな新しいチャンクが割り当てられる -> チャンク1は大きなビンに移動

• 次に、2番目の大きなチャンクが解放される

• ここで、脆弱性：攻撃者は chunk1->bk_nextsize を [target-0x20] に変更できる

• 次に、チャンク2よりも大きなチャンクが割り当てられるため、チャンク2が大きなビンに挿入され、アドレス chunk1->bk_nextsize->fd_nextsize がチャンク2のアドレスで上書きされます

これはmallocからの関連するコードです。アドレスがどのように上書きされたかをよりよく理解するためにコメントが追加されています：

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

これは、global_max_fastのグローバル変数を上書きして、より大きなチャンクで高速ビンアタックを悪用するために使用できます。

この攻撃の別の素晴らしい説明をguyinatuxedoで見つけることができます。

他の例

• La casa de papel. HackOn CTF 2024

• 同じ状況での大きなビンアタックは、how2heapに表示されています。

• 書き込みプリミティブはより複雑です、なぜならglobal_max_fastはここでは役に立たないからです。

• エクスプロイトを完了するにはFSOPが必要です。