# 대형 Bin 공격

<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert)</strong>를 통해 **제로부터 영웅까지 AWS 해킹 배우기**!</summary>

HackTricks를 지원하는 다른 방법:

* **회사가 HackTricks에 광고되길 원하거나 HackTricks를 PDF로 다운로드**하고 싶다면 [**구독 요금제**](https://github.com/sponsors/carlospolop)를 확인하세요!
* [**공식 PEASS & HackTricks 스왜그**](https://peass.creator-spring.com)를 구매하세요
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)를 발견하세요, 당사의 독점 [**NFTs**](https://opensea.io/collection/the-peass-family) 컬렉션
* **💬 [Discord 그룹](https://discord.gg/hRep4RUj7f)** 또는 [텔레그램 그룹](https://t.me/peass)에 **가입**하거나 **트위터** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**를 팔로우**하세요.
* **해킹 요령을 공유하려면 PR을** [**HackTricks**](https://github.com/carlospolop/hacktricks) 및 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 저장소에 제출하세요.

</details>

## 기본 정보

대형 Bin이 무엇인지에 대한 자세한 정보는 다음 페이지를 확인하세요:

{% content-ref url="bins-and-memory-allocations.md" %}
[bins-and-memory-allocations.md](bins-and-memory-allocations.md)
{% endcontent-ref %}

[**how2heap - 대형 bin 공격**](https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/large\_bin\_attack.c)에서 좋은 예제를 찾을 수 있습니다.

기본적으로 최신 "현재" 버전의 glibc(2.35)에서는 **`P->bk_nextsize`**가 확인되지 않아 특정 조건이 충족되면 대형 bin 청크의 값을 사용하여 임의의 주소를 수정할 수 있습니다.

해당 예제에서 다음 조건을 찾을 수 있습니다:

* 대형 청크가 할당됨
* 첫 번째 청크보다 작지만 동일한 인덱스에 있는 다른 대형 청크가 할당됨
* 첫 번째 청크보다 작아야 하므로 bin 안에서 먼저 가야 함
* (상단 청크와 병합을 방지하기 위한 청크가 생성됨)
* 그런 다음, 첫 번째 대형 청크가 해제되고 그보다 큰 새로운 청크가 할당됨 -> 청크1이 대형 bin으로 이동
* 그런 다음, 두 번째 대형 청크가 해제됨
* 이제 취약점: 공격자는 `chunk1->bk_nextsize`를 `[target-0x20]`로 수정할 수 있음
* 그런 다음, 청크 2보다 큰 청크가 할당되어 청크2가 대형 bin에 삽입되며 `chunk1->bk_nextsize->fd_nextsize` 주소가 청크2의 주소로 덮어씌워짐

{% hint style="success" %}
다른 잠재적인 시나리오가 있지만, 중요한 것은 현재 X 청크보다 **작은** 청크를 대형 bin에 추가하는 것이며, 따라서 bin에서 X 청크 바로 앞에 삽입되어야 하며 X의 **`bk_nextsize`**를 수정할 수 있어야 합니다. 작은 청크의 주소가 기록될 위치입니다.
{% endhint %}

이것은 malloc에서의 관련 코드입니다. 주소가 덮어쓰여진 방식을 더 잘 이해하기 위해 주석이 추가되었습니다:

{% code overflow="wrap" %}
```c
/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}
```
{% endcode %}

이것은 libc의 `global_max_fast` 전역 변수를 덮어쓰기하여 더 큰 청크로 빠른 bin 공격을 수행하는 데 사용될 수 있습니다.

이 공격에 대한 또 다른 훌륭한 설명을 [**guyinatuxedo**](https://guyinatuxedo.github.io/32-largebin\_attack/largebin\_explanation0/index.html)에서 찾을 수 있습니다.

### 다른 예시

* [**La casa de papel. HackOn CTF 2024**](https://7rocky.github.io/en/ctf/other/hackon-ctf/la-casa-de-papel/)
* [**how2heap**](https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/large\_bin\_attack.c)에서 나타나는 상황과 동일한 상황에서의 large bin 공격.
* 여기서 `global_max_fast`가 쓸모 없기 때문에 쓰기 원시가 더 복잡합니다.
* exploit을 완료하기 위해 FSOP가 필요합니다.