hacktricks/binary-exploitation/heap/large-bin-attack.md

# Napad na veliki bin

<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJATELJSTVO**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**Porodicu PEASS**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>

## Osnovne informacije

Za više informacija o tome šta je veliki bin pogledajte ovu stranicu:

{% content-ref url="bins-and-memory-allocations.md" %}
[bins-and-memory-allocations.md](bins-and-memory-allocations.md)
{% endcontent-ref %}

Moguće je pronaći odličan primer u [**how2heap - napadu na veliki bin**](https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/large\_bin\_attack.c).

U osnovi, ovde možete videti kako, u najnovijoj "trenutnoj" verziji glibc-a (2.35), nije provereno: **`P->bk_nextsize`** što omogućava modifikaciju proizvoljne adrese sa vrednošću velikog bin chunk-a ako su ispunjeni određeni uslovi.

U tom primeru možete pronaći sledeće uslove:

* Dodeljen je veliki chunk
* Dodeljen je veliki chunk manji od prvog ali na istom indeksu
* Mora biti manji tako da u binu mora ići prvo
* (Chunk za sprečavanje spajanja sa vršnim chunk-om je kreiran)
* Zatim, prvi veliki chunk je oslobođen i dodeljen je novi chunk veći od njega -> Chunk1 ide u veliki bin
* Zatim, drugi veliki chunk je oslobođen
* Sada, ranjivost: Napadač može modifikovati `chunk1->bk_nextsize` u `[cilj-0x20]`
* Zatim, dodeljen je veći chunk od chunk 2, tako da chunk2 bude ubačen u veliki bin i prepisuje adresu `chunk1->bk_nextsize->fd_nextsize` sa adresom chunk2

{% hint style="success" %}
Postoje i druge potencijalne scenarije, bitno je dodati u veliki bin chunk koji je **manji** od trenutnog X chunk-a u binu, tako da mora biti ubačen tačno pre njega u bin, i moramo biti u mogućnosti da modifikujemo X-ov **`bk_nextsize`** jer tu će biti upisana adresa manjeg chunk-a.
{% endhint %}

Ovo je relevantan kod iz malloc-a. Dodati su komentari radi boljeg razumevanja kako je adresa prepisana:

{% code overflow="wrap" %}
```c
/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}
```
{% endcode %}

Ovo se može koristiti za **prepisivanje globalne promenljive `global_max_fast`** libc-a kako bi se zatim iskoristio napad brzim binom sa većim blokovima.

Možete pronaći još jedno odlično objašnjenje ovog napada na [**guyinatuxedo**](https://guyinatuxedo.github.io/32-largebin\_attack/largebin\_explanation0/index.html).

<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** Proverite [**PLANOVE ZA PRETPLATU**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-12 15:27:48 +00:00			`# Napad na veliki bin`

			`<details>`

			`<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`

			`Drugi načini podrške HackTricks-u:`

			`* Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite [PLANOVE ZA PRIJATELJSTVO](https://github.com/sponsors/carlospolop)!`
			`* Nabavite [zvanični PEASS & HackTricks swag](https://peass.creator-spring.com)`
			`* Otkrijte [Porodicu PEASS](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [NFT-ova](https://opensea.io/collection/the-peass-family)`
			`* Pridružite se 💬 [Discord grupi](https://discord.gg/hRep4RUj7f) ili [telegram grupi](https://t.me/peass) ili nas pratite na Twitteru 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Podelite svoje hakovanje trikove slanjem PR-ova na [HackTricks](https://github.com/carlospolop/hacktricks) i [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.`

			`</details>`

			`## Osnovne informacije`

			`Za više informacija o tome šta je veliki bin pogledajte ovu stranicu:`

			`{% content-ref url="bins-and-memory-allocations.md" %}`
			`[bins-and-memory-allocations.md](bins-and-memory-allocations.md)`
			`{% endcontent-ref %}`

			`Moguće je pronaći odličan primer u [how2heap - napadu na veliki bin](https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/large\_bin\_attack.c).`

			U osnovi, ovde možete videti kako, u najnovijoj "trenutnoj" verziji glibc-a (2.35), nije provereno: `P->bk_nextsize` što omogućava modifikaciju proizvoljne adrese sa vrednošću velikog bin chunk-a ako su ispunjeni određeni uslovi.

			`U tom primeru možete pronaći sledeće uslove:`

			`* Dodeljen je veliki chunk`
			`* Dodeljen je veliki chunk manji od prvog ali na istom indeksu`
			`* Mora biti manji tako da u binu mora ići prvo`
			`* (Chunk za sprečavanje spajanja sa vršnim chunk-om je kreiran)`
			`* Zatim, prvi veliki chunk je oslobođen i dodeljen je novi chunk veći od njega -> Chunk1 ide u veliki bin`
			`* Zatim, drugi veliki chunk je oslobođen`
			* Sada, ranjivost: Napadač može modifikovati `chunk1->bk_nextsize` u `[cilj-0x20]`
			* Zatim, dodeljen je veći chunk od chunk 2, tako da chunk2 bude ubačen u veliki bin i prepisuje adresu `chunk1->bk_nextsize->fd_nextsize` sa adresom chunk2

			`{% hint style="success" %}`
			Postoje i druge potencijalne scenarije, bitno je dodati u veliki bin chunk koji je manji od trenutnog X chunk-a u binu, tako da mora biti ubačen tačno pre njega u bin, i moramo biti u mogućnosti da modifikujemo X-ov `bk_nextsize` jer tu će biti upisana adresa manjeg chunk-a.
			`{% endhint %}`

			`Ovo je relevantan kod iz malloc-a. Dodati su komentari radi boljeg razumevanja kako je adresa prepisana:`

			`{% code overflow="wrap" %}`
			```c
			`/* if smaller than smallest, bypass loop below */`
			`assert (chunk_main_arena (bck->bk));`
			`if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))`
			`{`
			`fwd = bck; // fwd = p1`
			`bck = bck->bk; // bck = p1->bk`

			`victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)`
			`victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize`
			`fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2`
			`}`
			```
			`{% endcode %}`

			Ovo se može koristiti za prepisivanje globalne promenljive `global_max_fast` libc-a kako bi se zatim iskoristio napad brzim binom sa većim blokovima.

			`Možete pronaći još jedno odlično objašnjenje ovog napada na [guyinatuxedo](https://guyinatuxedo.github.io/32-largebin\_attack/largebin\_explanation0/index.html).`

			`<details>`

			`<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`

			`Drugi načini podrške HackTricks-u:`

			`* Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu Proverite [PLANOVE ZA PRETPLATU](https://github.com/sponsors/carlospolop)!`
			`* Nabavite [zvanični PEASS & HackTricks swag](https://peass.creator-spring.com)`
			`* Otkrijte [The PEASS Family](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [NFT-ova](https://opensea.io/collection/the-peass-family)`
			`* Pridružite se 💬 [Discord grupi](https://discord.gg/hRep4RUj7f) ili [telegram grupi](https://t.me/peass) ili nas pratite na Twitteru 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Podelite svoje hakovanje trikove slanjem PR-ova na [HackTricks](https://github.com/carlospolop/hacktricks) i [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.`

			`</details>`