hacktricks/binary-exploitation/libc-heap/large-bin-attack.md

대형 Bin 공격

htARTE (HackTricks AWS Red Team Expert)를 통해 **제로부터 영웅까지 AWS 해킹 배우기**!

HackTricks를 지원하는 다른 방법:

• 회사가 HackTricks에 광고되길 원하거나 HackTricks를 PDF로 다운로드하고 싶다면 구독 요금제를 확인하세요!
• 공식 PEASS & HackTricks 스왜그를 구매하세요
• The PEASS Family를 발견하세요, 당사의 독점 NFTs 컬렉션
• 💬 Discord 그룹 또는 텔레그램 그룹에 가입하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• 해킹 요령을 공유하려면 PR을 HackTricks 및 HackTricks Cloud github 저장소에 제출하세요.

기본 정보

대형 Bin이 무엇인지에 대한 자세한 정보는 다음 페이지를 확인하세요:

{% content-ref url="bins-and-memory-allocations.md" %} bins-and-memory-allocations.md {% endcontent-ref %}

how2heap - 대형 bin 공격에서 좋은 예제를 찾을 수 있습니다.

기본적으로 최신 "현재" 버전의 glibc(2.35)에서는 **P->bk_nextsize**가 확인되지 않아 특정 조건이 충족되면 대형 bin 청크의 값을 사용하여 임의의 주소를 수정할 수 있습니다.

해당 예제에서 다음 조건을 찾을 수 있습니다:

• 대형 청크가 할당됨
• 첫 번째 청크보다 작지만 동일한 인덱스에 있는 다른 대형 청크가 할당됨
• 첫 번째 청크보다 작아야 하므로 bin 안에서 먼저 가야 함
• (상단 청크와 병합을 방지하기 위한 청크가 생성됨)
• 그런 다음, 첫 번째 대형 청크가 해제되고 그보다 큰 새로운 청크가 할당됨 -> 청크1이 대형 bin으로 이동
• 그런 다음, 두 번째 대형 청크가 해제됨
• 이제 취약점: 공격자는 chunk1->bk_nextsize를 [target-0x20]로 수정할 수 있음
• 그런 다음, 청크 2보다 큰 청크가 할당되어 청크2가 대형 bin에 삽입되며 chunk1->bk_nextsize->fd_nextsize 주소가 청크2의 주소로 덮어씌워짐

{% hint style="success" %} 다른 잠재적인 시나리오가 있지만, 중요한 것은 현재 X 청크보다 작은 청크를 대형 bin에 추가하는 것이며, 따라서 bin에서 X 청크 바로 앞에 삽입되어야 하며 X의 **bk_nextsize**를 수정할 수 있어야 합니다. 작은 청크의 주소가 기록될 위치입니다. {% endhint %}

이것은 malloc에서의 관련 코드입니다. 주소가 덮어쓰여진 방식을 더 잘 이해하기 위해 주석이 추가되었습니다:

{% code overflow="wrap" %}

/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk

victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}

{% endcode %}

이것은 libc의 global_max_fast 전역 변수를 덮어쓰기하여 더 큰 청크로 빠른 bin 공격을 수행하는 데 사용될 수 있습니다.

이 공격에 대한 또 다른 훌륭한 설명을 guyinatuxedo에서 찾을 수 있습니다.

다른 예시

• La casa de papel. HackOn CTF 2024
• how2heap에서 나타나는 상황과 동일한 상황에서의 large bin 공격.
• 여기서 global_max_fast가 쓸모 없기 때문에 쓰기 원시가 더 복잡합니다.
• exploit을 완료하기 위해 FSOP가 필요합니다.