House of Einherjar

Impara e pratica l'Hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'Hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)

Sostieni HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud repos di Github.

Informazioni di Base

Codice

Controlla l'esempio da https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c
Oppure quello da https://guyinatuxedo.github.io/42-house_of_einherjar/house_einherjar_exp/index.html#house-of-einherjar-explanation (potresti dover riempire la tcache)

Obiettivo

L'obiettivo è allocare memoria in quasi ogni indirizzo specifico.

Requisiti

Creare un chunk falso quando vogliamo allocare un chunk:
Impostare i puntatori per puntare a se stessi per aggirare i controlli di integrità
Overflow di un byte con un byte nullo da un chunk al successivo per modificare il flag PREV_INUSE.
Indicare nel prev_size del chunk abusato off-by-null la differenza tra se stesso e il chunk falso
Anche la dimensione del chunk falso deve essere impostata alla stessa dimensione per aggirare i controlli di integrità
Per costruire questi chunk, avrai bisogno di una fuga di memoria dell'heap.

Attacco

Viene creato un chunk falso all'interno di un chunk controllato dall'attaccante puntando con fd e bk al chunk originale per aggirare le protezioni
Vengono allocati altri 2 chunk (B e C)
Sfruttando l'off-by-one nel chunk B, il bit prev in use viene pulito e i dati prev_size vengono sovrascritti con la differenza tra il luogo in cui è allocato il chunk C e il chunk falso A generato prima
Questo prev_size e la dimensione nel chunk falso A devono essere uguali per aggirare i controlli.
Quindi, la tcache viene riempita
Poi, C viene liberato in modo che si consolidi con il chunk falso A
Poi, viene creato un nuovo chunk D che inizierà nel chunk falso A e coprirà il chunk B
La casa di Einherjar finisce qui
Questo può essere continuato con un attacco al fast bin o con l'avvelenamento della Tcache:
Liberare B per aggiungerlo al fast bin / Tcache
Il fd di B viene sovrascritto facendolo puntare all'indirizzo di destinazione sfruttando il chunk D (poiché contiene B all'interno)
Poi, vengono fatti 2 malloc e il secondo sarà l'allocazione dell'indirizzo di destinazione

Riferimenti e altri esempi

https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c
CTF https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_einherjar/#2016-seccon-tinypad
Dopo aver liberato i puntatori, non vengono annullati, quindi è ancora possibile accedere ai loro dati. Pertanto, un chunk viene posizionato nel bin non ordinato e vengono rivelati i puntatori che contiene (fuga di libc) e quindi viene posizionato un nuovo heap nel bin non ordinato e viene rivelato un indirizzo di heap dal puntatore che ottiene.
baby-talk. DiceCTF 2024
Bug di overflow di byte nullo in strtok.
Usa House of Einherjar per ottenere una situazione di sovrapposizione di chunk e finisci con l'avvelenamento della Tcache per ottenere un primitivo di scrittura arbitraria.

Sostieni HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud repos di Github.

PreviousHouse of Lore | Small bin Attack NextHouse of Force

Last updated 4 months ago

Informazioni di Base

Codice

Obiettivo

L'obiettivo è allocare memoria in quasi ogni indirizzo specifico.

Requisiti

Creare un chunk falso quando vogliamo allocare un chunk:

Impostare i puntatori per puntare a se stessi per aggirare i controlli di integrità

Overflow di un byte con un byte nullo da un chunk al successivo per modificare il flag PREV_INUSE.

Indicare nel prev_size del chunk abusato off-by-null la differenza tra se stesso e il chunk falso

Anche la dimensione del chunk falso deve essere impostata alla stessa dimensione per aggirare i controlli di integrità

Per costruire questi chunk, avrai bisogno di una fuga di memoria dell'heap.

Attacco

Viene creato un chunk falso all'interno di un chunk controllato dall'attaccante puntando con fd e bk al chunk originale per aggirare le protezioni

Vengono allocati altri 2 chunk (B e C)

Sfruttando l'off-by-one nel chunk B, il bit prev in use viene pulito e i dati prev_size vengono sovrascritti con la differenza tra il luogo in cui è allocato il chunk C e il chunk falso A generato prima

Questo prev_size e la dimensione nel chunk falso A devono essere uguali per aggirare i controlli.

Quindi, la tcache viene riempita

Poi, C viene liberato in modo che si consolidi con il chunk falso A

Poi, viene creato un nuovo chunk D che inizierà nel chunk falso A e coprirà il chunk B

La casa di Einherjar finisce qui

Questo può essere continuato con un attacco al fast bin o con l'avvelenamento della Tcache:

Liberare B per aggiungerlo al fast bin / Tcache

Il fd di B viene sovrascritto facendolo puntare all'indirizzo di destinazione sfruttando il chunk D (poiché contiene B all'interno)

Poi, vengono fatti 2 malloc e il secondo sarà l'allocazione dell'indirizzo di destinazione

Riferimenti e altri esempi

https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c

CTF https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_einherjar/#2016-seccon-tinypad

Dopo aver liberato i puntatori, non vengono annullati, quindi è ancora possibile accedere ai loro dati. Pertanto, un chunk viene posizionato nel bin non ordinato e vengono rivelati i puntatori che contiene (fuga di libc) e quindi viene posizionato un nuovo heap nel bin non ordinato e viene rivelato un indirizzo di heap dal puntatore che ottiene.

baby-talk. DiceCTF 2024

Bug di overflow di byte nullo in strtok.

Usa House of Einherjar per ottenere una situazione di sovrapposizione di chunk e finisci con l'avvelenamento della Tcache per ottenere un primitivo di scrittura arbitraria.