HackTricksLarge Bin Attack
Reading time: 3 minutes
tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Basic Information
Za više informacija o tome šta je veliki bin, proverite ovu stranicu:
Moguće je pronaći odličan primer u how2heap - large bin attack.
U suštini, ovde možete videti kako, u najnovijoj "trenutnoj" verziji glibc (2.35), nije provereno: P->bk_nextsize što omogućava modifikaciju proizvoljne adrese sa vrednošću velikog bin chunk-a ako su ispunjeni određeni uslovi.
U tom primeru možete pronaći sledeće uslove:
- Veliki chunk je alociran
- Veliki chunk manji od prvog, ali u istom indeksu, je alociran
- Mora biti manji tako da mora ići prvi u bin
- (Chunk za sprečavanje spajanja sa top chunk-om je kreiran)
- Zatim, prvi veliki chunk je oslobođen i novi chunk veći od njega je alociran -> Chunk1 ide u veliki bin
- Zatim, drugi veliki chunk je oslobođen
- Sada, ranjivost: Napadač može modifikovati
chunk1->bk_nextsizena[target-0x20] - Zatim, alocira se veći chunk od chunk 2, tako da se chunk2 ubacuje u veliki bin prepisujući adresu
chunk1->bk_nextsize->fd_nextsizesa adresom chunk2
tip
Postoje i drugi potencijalni scenariji, stvar je dodati u veliki bin chunk koji je manji od trenutnog X chunk-a u bin-u, tako da treba biti umetnut neposredno pre njega u bin, i moramo biti u mogućnosti da modifikujemo X-ov bk_nextsize jer će se tu zapisati adresa manjeg chunk-a.
Ovo je relevantan kod iz malloc. Komentari su dodati da bi se bolje razumelo kako je adresa prepisana:
/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk
victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}
Ovo se može koristiti za prepisivanje global_max_fast globalne promenljive libc kako bi se iskoristio fast bin napad sa većim delovima.
Možete pronaći još jedno odlično objašnjenje ovog napada u guyinatuxedo.
Ostali primeri
- La casa de papel. HackOn CTF 2024
- Large bin napad u istoj situaciji kao što se pojavljuje u how2heap.
- Write primitiv je složeniji, jer je
global_max_fastovde beskoristan. - FSOP je potreban da se završi eksploatacija.
tip
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.