House of Orange

Μάθε & εξάσκησε στο Hacking του AWS:Εκπαίδευση HackTricks AWS Red Team Expert (ARTE) Μάθε & εξάσκησε στο Hacking του GCP: Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)

Υποστήριξε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Συμμετέχετε 💬 στην ομάδα Discord ή στην ομάδα τηλεγράφου ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Κοινοποιήστε κόλπα χάκερ υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

Βασικές Πληροφορίες

Κώδικας

Βρείτε ένα παράδειγμα στο https://github.com/shellphish/how2heap/blob/master/glibc_2.23/house_of_orange.c
Η τεχνική εκμετάλλευσης διορθώθηκε σε αυτό το patch οπότε δεν λειτουργεί πλέον (λειτουργεί σε παλαιότερες εκδόσεις από 2.26)
Ίδιο παράδειγμα με περισσότερα σχόλια στο https://guyinatuxedo.github.io/43-house_of_orange/house_orange_exp/index.html

Στόχος

Κατάχρηση της λειτουργίας malloc_printerr

Απαιτήσεις

Αντικατάσταση του μεγέθους του κορυφαίου τμήματος (top chunk)
Διαρροή Libc και heap

Υπόβαθρο

Κάποιες απαραίτητες πληροφορίες από τα σχόλια από αυτό το παράδειγμα:

Το θέμα είναι ότι, σε παλαιότερες εκδόσεις της libc, όταν καλούνταν η λειτουργία malloc_printerr, θα επαναλάμβανε μια λίστα από δομές _IO_FILE που αποθηκεύονταν στο _IO_list_all, και πραγματικά εκτελούσε ένα δείκτη εντολών σε αυτή τη δομή. Αυτή η επίθεση θα δημιουργήσει μια ψεύτικη δομή _IO_FILE την οποία θα γράψουμε στο _IO_list_all, και θα προκαλέσει την εκτέλεση της malloc_printerr. Στη συνέχεια θα εκτελέσει οποιαδήποτε διεύθυνση έχουμε αποθηκευμένη στους δείκτες άλματος των δομών _IO_FILE, και θα λάβουμε εκτέλεση κώδικα

Επίθεση

Η επίθεση ξεκινά από τον χειρισμό για να πάρει το κορυφαίο τμήμα μέσα στο unsorted bin. Αυτό επιτυγχάνεται καλώντας την malloc με ένα μέγεθος μεγαλύτερο από το τρέχον μέγεθος του κορυφαίου τμήματος αλλά μικρότερο από το mmp_.mmap_threshold (προεπιλεγμένο είναι το 128ΚΒ), το οποίο αλλιώς θα ενεργοποιούσε την εκχώρηση mmap. Κάθε φορά που το μέγεθος του κορυφαίου τμήματος τροποποιείται, είναι σημαντικό να εξασφαλιστεί ότι το κορυφαίο τμήμα + το μέγεθός του είναι σε σελίδα-ευθυγραμμισμένο και ότι το bit prev_inuse του κορυφαίου τμήματος είναι πάντα ορισμένο.

Για να πάρετε το κορυφαίο τμήμα μέσα στο unsorted bin, εκχωρήστε ένα τμήμα για να δημιουργήσετε το κορυφαίο τμήμα, αλλάξτε το μέγεθος του κορυφαίου τμήματος (με ένα υπερχείλισμα στο εκχωρημένο τμήμα) έτσι ώστε το κορυφαίο τμήμα + μέγεθος να είναι σελίδα-ευθυγραμμισμένο με το bit prev_inuse να είναι ορισμένο. Στη συνέχεια εκχωρήστε ένα τμήμα μεγαλύτερο από το νέο μέγεθος του κορυφαίου τμήματος. Σημειώστε ότι το free δεν καλείται ποτέ για να πάρει το κορυφαίο τμήμα στο unsorted bin.

Το παλιό κορυφαίο τμήμα είναι τώρα στο unsorted bin. Υποθέτοντας ότι μπορούμε να διαβάσουμε δεδομένα μέσα σε αυτό (πιθανώς λόγω μιας ευπαθότητας που προκάλεσε επίσης το υπερχείλισμα), είναι δυνατό να διαρρεύσουμε διευθύνσεις Libc από αυτό και να πάρουμε τη διεύθυνση του _IO_list_all.

Μια επίθεση στο unsorted bin πραγματοποιείται καταχρώμενη το υπερχείλισμα για να γράψει topChunk->bk->fwd = _IO_list_all - 0x10. Όταν εκχωρηθεί ένα νέο τμήμα, το παλιό κορυφαίο τμήμα θα χωριστεί, και ένας δείκτης στο unsorted bin θα γραφτεί στο _IO_list_all.

Το επόμενο βήμα περιλαμβάνει τη συρρίκνωση του μεγέθους του παλιού κορυφαίου τμήματος για να χωρέσει σε ένα μικρό bin, συγκεκριμένα να ορίσει το μέγεθός του σε 0x61. Αυτό εξυπηρετεί δύο σκοπούς:

Εισαγωγή στο Small Bin 4: Όταν το malloc σαρώνει το unsorted bin και βλέπει αυτό το τμήμα, θα προσπαθήσει να το εισάγει στο small bin 4 λόγω του μικρού μεγέθους του. Αυτό κάνει το τμήμα να καταλήξει στην κορυφή της λίστας small bin 4 που είναι η τοποθεσία του δείκτη FD του τμήματος του _IO_list_all καθώς γράψαμε μια κοντινή διεύθυνση στο _IO_list_all μέσω της επίθεσης στο unsorted bin.
Ενεργοποίηση ελέγχου Malloc: Αυτή η διαμόρφωση μεγέθους τμήματος θα προκαλέσει το malloc να πραγματοποιήσει εσωτερικούς ελέγχους. Όταν ελέγχει το μέγεθος του Ϩεύθυνσης του ψευδο-εμπρός τμήματος, το οποίο θα είναι μηδέν, προκαλεί ένα σφάλμα και καλεί την malloc_printerr.

Η διαχείριση του μικρού bin θα σας επιτρέψει να ελέγξετε τον μπροστινό δείκτη του τμήματος. Η επικάλυψη με το _IO_list_all χρησιμοποιείται για να δημιουργήσετε μια ψεύτικη δομή _IO_FILE. Η δομή διαμορφώνεται προσεκτικά για να περιλαμβάνει βασικά πεδία όπως _IO_write_base και _IO_write_ptr που ορίζονται σε τιμές που περνούν εσωτερικούς ελέγχους στην libc. Επιπλέον, δημιουργείται ένας πίνακας άλματος μέσα στη ψεύτικη δομή, όπου ένας δείκτης εντολών ορίζεται στη διεύθυνση όπου μπορεί να εκτελεστεί αυθαίρετος κώδικας (π.χ., η λειτουργία system).

Για να περιληφθεί το υπόλοιπο μέρος της τεχνικής:

**Συρρίκνωση του Παλιού Κορυφαίου Τμή

Αναφορές

Υποστηρίξτε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε 💬 στην ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα αποθετήρια HackTricks και HackTricks Cloud.

PreviousHouse of Force NextHouse of Rabbit

Last updated 4 months ago