# Large Bin Attack

<details>

<summary><strong>htARTE (HackTricks AWS Red Team 전문가)로부터 AWS 해킹을 처음부터 전문가까지 배우세요</strong></summary>

HackTricks를 지원하는 다른 방법:

* **회사가 HackTricks에 광고되길 원하거나 HackTricks를 PDF로 다운로드하고 싶다면** [**구독 요금제**](https://github.com/sponsors/carlospolop)를 확인하세요!
* [**공식 PEASS & HackTricks 굿즈**](https://peass.creator-spring.com)를 구매하세요
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)를 발견하세요, 당사의 독점 [**NFTs**](https://opensea.io/collection/the-peass-family) 컬렉션
* **💬 [Discord 그룹](https://discord.gg/hRep4RUj7f)** 또는 [텔레그램 그룹](https://t.me/peass)에 **가입**하거나 **트위터** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**를 팔로우**하세요.
* **해킹 요령을 공유하려면 PR을 제출하여** [**HackTricks**](https://github.com/carlospolop/hacktricks) 및 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 저장소에 기여하세요.

</details>

## 기본 정보

대형 bin이 무엇인지에 대한 자세한 정보는 다음 페이지를 확인하세요:

{% content-ref url="bins-and-memory-allocations.md" %}
[bins-and-memory-allocations.md](bins-and-memory-allocations.md)
{% endcontent-ref %}

[**how2heap - large bin attack**](https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/large\_bin\_attack.c)에서 좋은 예제를 찾을 수 있습니다.

기본적으로 최신 "현재" 버전의 glibc(2.35)에서는 **`P->bk_nextsize`**가 확인되지 않아 특정 조건이 충족되면 대형 bin 청크의 값을 사용하여 임의의 주소를 수정할 수 있습니다.

해당 예제에서 다음 조건을 찾을 수 있습니다:

* 대형 청크가 할당됨
* 첫 번째 청크보다 작지만 동일한 인덱스에 있는 다른 대형 청크가 할당됨
* 첫 번째로 가야하므로 더 작아야 함
* (상단 청크와 병합을 방지하는 청크가 생성됨)
* 그런 다음, 첫 번째 대형 청크가 해제되고 그보다 큰 새로운 청크가 할당됨 -> 청크1이 대형 bin으로 이동
* 그런 다음, 두 번째 대형 청크가 해제됨
* 이제 취약점: 공격자는 `chunk1->bk_nextsize`를 `[target-0x20]`로 수정할 수 있음
* 그런 다음, 청크 2보다 큰 청크가 할당되어 청크2가 대형 bin에 삽입되어 `chunk1->bk_nextsize->fd_nextsize` 주소가 청크2의 주소로 덮어씌워짐

{% hint style="success" %}
다른 잠재적인 시나리오가 있지만, 중요한 것은 대형 bin에 현재 X 청크보다 **작은** 청크를 추가하는 것입니다. 따라서 해당 청크는 bin에서 X 앞에 삽입되어야 하며 X의 **`bk_nextsize`**를 수정할 수 있어야 합니다. 작은 청크의 주소가 기록될 위치입니다.
{% endhint %}

malloc에서 해당 코드는 주소가 덮어쓰여진 방식을 더 잘 이해하기 위해 주석이 추가되었습니다:

{% code overflow="wrap" %}
```c
/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}
```
{% endcode %}

이것은 libc의 `global_max_fast` 글로벌 변수를 덮어쓰는 데 사용될 수 있으며, 그 후에 더 큰 청크로 빠른 bin 공격을 수행할 수 있습니다.

이 공격에 대한 또 다른 훌륭한 설명을 [**guyinatuxedo**](https://guyinatuxedo.github.io/32-largebin\_attack/largebin\_explanation0/index.html)에서 찾을 수 있습니다.

<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert)로부터 제로에서 영웅까지 AWS 해킹 배우기</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

HackTricks를 지원하는 다른 방법:

* **회사가 HackTricks에 광고되길 원한다면** 또는 **PDF 형식으로 HackTricks를 다운로드하고 싶다면** [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)를 확인하세요!
* [**공식 PEASS & HackTricks 스왜그**](https://peass.creator-spring.com)를 구매하세요
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)를 발견하세요, 저희의 독점 [**NFTs**](https://opensea.io/collection/the-peass-family) 컬렉션
* **💬 [**Discord 그룹**](https://discord.gg/hRep4RUj7f)에 가입하거나 [**텔레그램 그룹**](https://t.me/peass)에 가입하거나 **트위터** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**를 팔로우하세요.**
* **HackTricks** 및 **HackTricks Cloud** github 저장소에 PR을 제출하여 **당신의 해킹 트릭을 공유하세요**.

</details>