4.9 KiB
Napad na veliki bin
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJATELJSTVO!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Osnovne informacije
Za više informacija o tome šta je veliki bin pogledajte ovu stranicu:
{% content-ref url="bins-and-memory-allocations.md" %} bins-and-memory-allocations.md {% endcontent-ref %}
Moguće je pronaći odličan primer u how2heap - napadu na veliki bin.
U osnovi, ovde možete videti kako, u najnovijoj "trenutnoj" verziji glibc-a (2.35), nije provereno: P->bk_nextsize što omogućava modifikaciju proizvoljne adrese sa vrednošću velikog bin chunk-a ako su ispunjeni određeni uslovi.
U tom primeru možete pronaći sledeće uslove:
- Dodeljen je veliki chunk
- Dodeljen je veliki chunk manji od prvog ali na istom indeksu
- Mora biti manji tako da u binu mora ići prvo
- (Chunk za sprečavanje spajanja sa vršnim chunk-om je kreiran)
- Zatim, prvi veliki chunk je oslobođen i dodeljen je novi chunk veći od njega -> Chunk1 ide u veliki bin
- Zatim, drugi veliki chunk je oslobođen
- Sada, ranjivost: Napadač može modifikovati
chunk1->bk_nextsizeu[cilj-0x20] - Zatim, dodeljen je veći chunk od chunk 2, tako da chunk2 bude ubačen u veliki bin i prepisuje adresu
chunk1->bk_nextsize->fd_nextsizesa adresom chunk2
{% hint style="success" %}
Postoje i druge potencijalne scenarije, bitno je dodati u veliki bin chunk koji je manji od trenutnog X chunk-a u binu, tako da mora biti ubačen tačno pre njega u bin, i moramo biti u mogućnosti da modifikujemo X-ov bk_nextsize jer tu će biti upisana adresa manjeg chunk-a.
{% endhint %}
Ovo je relevantan kod iz malloc-a. Dodati su komentari radi boljeg razumevanja kako je adresa prepisana:
{% code overflow="wrap" %}
/* if smaller than smallest, bypass loop below */
assert (chunk_main_arena (bck->bk));
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))
{
fwd = bck; // fwd = p1
bck = bck->bk; // bck = p1->bk
victim->fd_nextsize = fwd->fd; // p2->fd_nextsize = p1->fd (Note that p1->fd is p1 as it's the only chunk)
victim->bk_nextsize = fwd->fd->bk_nextsize; // p2->bk_nextsize = p1->fd->bk_nextsize
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; // p1->fd->bk_nextsize->fd_nextsize = p2
}
{% endcode %}
Ovo se može koristiti za prepisivanje globalne promenljive global_max_fast libc-a kako bi se zatim iskoristio napad brzim binom sa većim blokovima.
Možete pronaći još jedno odlično objašnjenje ovog napada na guyinatuxedo.
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu Proverite PLANOVE ZA PRETPLATU!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.