House of Lore | Small bin Attack

Μάθετε & εξασκηθείτε στο Hacking του AWS:Εκπαίδευση HackTricks AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο Hacking του GCP: Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)

Υποστηρίξτε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε 💬 στην ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τεχνικές χάκινγκ υποβάλλοντας PRs στα αποθετήρια HackTricks και HackTricks Cloud.

Βασικές Πληροφορίες

Κώδικας

Ελέγξτε αυτόν από https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/
Αυτό δεν λειτουργεί
Ή: https://github.com/shellphish/how2heap/blob/master/glibc_2.39/house_of_lore.c
Αυτό δεν λειτουργεί ακόμα κι αν προσπαθεί να παρακάμψει μερικούς ελέγχους παίρνοντας το σφάλμα: malloc(): unaligned tcache chunk detected
Αυτό το παράδειγμα εξακολουθεί να λειτουργεί: https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html

Στόχος

Εισαγωγή ενός ψεύτικου μικρού κομματιού στον μικρό bin ώστε να είναι δυνατή η εκχώρησή του. Σημειώστε ότι το μικρό κομμάτι που προστέθηκε είναι αυτό που δημιουργεί ο επιτιθέμενος και όχι ένα ψεύτικο σε μια αυθαίρετη θέση.

Απαιτήσεις

Δημιουργήστε 2 ψεύτικα κομμάτια και συνδέστε τα μεταξύ τους και με το νόμιμο κομμάτι στον μικρό bin:
fake0.bk -> fake1
fake1.fd -> fake0
fake0.fd -> legit (χρειάζεται να τροποποιήσετε ένα δείκτη στο απελευθερωμένο μικρό κομμάτι bin μέσω κάποιας άλλης ευπάθειας)
legit.bk -> fake0

Τότε θα μπορείτε να εκχωρήσετε το fake0.

Επίθεση

Ένα μικρό κομμάτι (legit) εκχωρείται, στη συνέχεια εκχωρείται ένα άλλο για να αποτρέψει τη συγχώνευση με το κομμάτι κορυφής. Στη συνέχεια, το legit απελευθερώνεται (μετακινώντας το στη λίστα αταξινόμητων κομματιών) και εκχωρείται ένα μεγαλύτερο κομμάτι, μετακινώντας το legit στον μικρό bin.
Ένας επιτιθέμενος δημιουργεί μερικά ψεύτικα μικρά κομμάτια και κάνει την απαραίτητη σύνδεση για να παρακάμψει τους έλεγχους ακεραιότητας:
fake0.bk -> fake1
fake1.fd -> fake0
fake0.fd -> legit (χρειάζεται να τροποποιήσετε ένα δείκτη στο απελευθερωμένο μικρό κομμάτι bin μέσω κάποιας άλλης ευπάθειας)
legit.bk -> fake0
Εκχωρείται ένα μικρό κομμάτι για να πάρει το legit, κάνοντας το fake0 στην κορυφή της λίστας των μικρών κομματιών
Εκχωρείται άλλο ένα μικρό κομμάτι, παίρνοντας το fake0 ως ένα κομμάτι, επιτρέποντας ενδεχομένως την ανάγνωση/εγγραφή δεικτών μέσα σε αυτό.

Αναφορές

Υποστηρίξτε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε 💬 στην ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τεχνικές χάκινγκ υποβάλλοντας PRs στα αποθετήρια HackTricks και HackTricks Cloud.

PreviousHouse of Spirit NextHouse of Einherjar

Last updated 4 months ago

Βασικές Πληροφορίες

Κώδικας

Ελέγξτε αυτόν από https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/

Αυτό δεν λειτουργεί

Ή: https://github.com/shellphish/how2heap/blob/master/glibc_2.39/house_of_lore.c

Αυτό δεν λειτουργεί ακόμα κι αν προσπαθεί να παρακάμψει μερικούς ελέγχους παίρνοντας το σφάλμα: malloc(): unaligned tcache chunk detected

Αυτό το παράδειγμα εξακολουθεί να λειτουργεί: https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html

Στόχος

Εισαγωγή ενός ψεύτικου μικρού κομματιού στον μικρό bin ώστε να είναι δυνατή η εκχώρησή του. Σημειώστε ότι το μικρό κομμάτι που προστέθηκε είναι αυτό που δημιουργεί ο επιτιθέμενος και όχι ένα ψεύτικο σε μια αυθαίρετη θέση.

Απαιτήσεις

Δημιουργήστε 2 ψεύτικα κομμάτια και συνδέστε τα μεταξύ τους και με το νόμιμο κομμάτι στον μικρό bin:

fake0.bk -> fake1

fake1.fd -> fake0

fake0.fd -> legit (χρειάζεται να τροποποιήσετε ένα δείκτη στο απελευθερωμένο μικρό κομμάτι bin μέσω κάποιας άλλης ευπάθειας)

legit.bk -> fake0

Τότε θα μπορείτε να εκχωρήσετε το fake0.

Επίθεση

Ένα μικρό κομμάτι (legit) εκχωρείται, στη συνέχεια εκχωρείται ένα άλλο για να αποτρέψει τη συγχώνευση με το κομμάτι κορυφής. Στη συνέχεια, το legit απελευθερώνεται (μετακινώντας το στη λίστα αταξινόμητων κομματιών) και εκχωρείται ένα μεγαλύτερο κομμάτι, μετακινώντας το legit στον μικρό bin.

Ένας επιτιθέμενος δημιουργεί μερικά ψεύτικα μικρά κομμάτια και κάνει την απαραίτητη σύνδεση για να παρακάμψει τους έλεγχους ακεραιότητας:

fake0.bk -> fake1

fake1.fd -> fake0

legit.bk -> fake0

Εκχωρείται ένα μικρό κομμάτι για να πάρει το legit, κάνοντας το fake0 στην κορυφή της λίστας των μικρών κομματιών

Εκχωρείται άλλο ένα μικρό κομμάτι, παίρνοντας το fake0 ως ένα κομμάτι, επιτρέποντας ενδεχομένως την ανάγνωση/εγγραφή δεικτών μέσα σε αυτό.