Large Bin Attack

Reading time: 6 minutes

基本情報

大きなビンについての詳細はこのページを参照してください：

Bins & Memory Allocations

how2heap - large bin attack で素晴らしい例を見つけることができます。

基本的に、最新の "current" バージョンの glibc (2.35) では、P->bk_nextsize がチェックされていないため、特定の条件が満たされると、大きなビンチャンクの値で任意のアドレスを変更することができます。

その例では、以下の条件が見つかります：

• 大きなチャンクが割り当てられる
• 最初のものより小さいが同じインデックスにある大きなチャンクが割り当てられる
• ビン内で最初に入る必要があるため、より小さくなければならない
• （トップチャンクとのマージを防ぐためのチャンクが作成される）
• その後、最初の大きなチャンクが解放され、それより大きな新しいチャンクが割り当てられる -> Chunk1 が大きなビンに入る
• 次に、2番目の大きなチャンクが解放される
• ここで脆弱性：攻撃者は chunk1->bk_nextsize を [target-0x20] に変更できる
• その後、チャンク2よりも大きなチャンクが割り当てられるため、チャンク2が大きなビンに挿入され、アドレス chunk1->bk_nextsize->fd_nextsize がチャンク2のアドレスで上書きされる

これは malloc からの関連コードです。アドレスがどのように上書きされたかを理解するためにコメントが追加されています：

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

これは、libcの**global_max_fastグローバル変数を上書きするために使用される可能性があり**、その後、大きなチャンクを使用してファストビン攻撃を悪用します。

この攻撃の別の素晴らしい説明は、guyinatuxedoで見つけることができます。

その他の例

• La casa de papel. HackOn CTF 2024
• how2heapに表示されるのと同じ状況での大きなビン攻撃。
• 書き込みプリミティブはより複雑で、ここではglobal_max_fastは無意味です。
• エクスプロイトを完了するにはFSOPが必要です。