hacktricks/binary-exploitation/libc-heap/large-bin-attack.md

Napad na veliku binu

{% hint style="success" %} Naučite i vežbajte hakovanje AWS-a:HackTricks Obuka AWS Crveni Tim Stručnjak (ARTE)
Naučite i vežbajte hakovanje GCP-a: HackTricks Obuka GCP Crveni Tim Stručnjak (GRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
• Podelite hakovanje trikova slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

{% endhint %}

Osnovne informacije

Za više informacija o tome šta je velika bina, pogledajte ovu stranicu:

{% content-ref url="bins-and-memory-allocations.md" %} bins-and-memory-allocations.md {% endcontent-ref %}

Moguće je pronaći odličan primer u how2heap - napadu na veliku binu.

U osnovi, ovde možete videti kako, u najnovijoj "trenutnoj" verziji glibc-a (2.35), nije provereno: P->bk_nextsize omogućavajući da se modifikuje proizvoljna adresa sa vrednošću velike binarne čestice ako su ispunjeni određeni uslovi.

U tom primeru možete pronaći sledeće uslove:

• Dodeljen je veliki blok
• Dodeljen je veliki blok manji od prvog ali na istom indeksu
• Mora biti manji tako da u bini mora ići prvo
• (Stvoren je blok kako bi se sprečilo spajanje sa vršnim blokom)
• Zatim, prvi veliki blok se oslobađa i dodeljuje se novi blok veći od njega -> Blok1 ide u veliku binu
• Zatim, drugi veliki blok se oslobađa
• Sada, ranjivost: Napadač može da modifikuje chunk1->bk_nextsize u [cilj-0x20]
• Zatim, dodeljen je veći blok od bloka 2, tako da blok2 bude ubačen u veliku binu prepisivanjem adrese chunk1->bk_nextsize->fd_nextsize sa adresom bloka2

{% hint style="success" %} Postoje i druge potencijalne scenarije, bitno je dodati u veliku binu blok koji je manji od trenutnog X bloka u bini, tako da treba da bude ubačen odmah pre njega u bini, i moramo biti u mogućnosti da modifikujemo X-ov bk_nextsize jer je to gde će adresa manjeg bloka biti upisana. {% endhint %}

Ovo je relevantan kod iz malloc-a. Dodati su komentari kako bi se bolje razumelo kako je adresa prepisana:

{% code overflow="wrap" %}

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

{% endcode %}

Ovo se može koristiti za prepisivanje globalne promenljive global_max_fast libc-a kako bi se zatim iskoristio napad brzim binom sa većim blokovima.

Možete pronaći još jedno odlično objašnjenje ovog napada na guyinatuxedo.

Ostali primeri

• La casa de papel. HackOn CTF 2024
• Napad velikim binom u istoj situaciji kako se pojavljuje u how2heap.
• Pisanje primitiva je složenije, jer je global_max_fast beskoristan ovde.
• Potreban je FSOP da bi se završio eksploatacija.

{% hint style="success" %} Naučite i vežbajte hakovanje AWS-a:HackTricks Training AWS Red Team Expert (ARTE)
Naučite i vežbajte hakovanje GCP-a: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakovanje trikova slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

{% endhint %}