House of Einherjar

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する: HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

基本情報

コード

https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.cの例を確認してください。
またはhttps://guyinatuxedo.github.io/42-house_of_einherjar/house_einherjar_exp/index.html#house-of-einherjar-explanationのもの（tcacheを埋める必要があるかもしれません）

目標

ほぼ任意の特定のアドレスにメモリを割り当てることが目標です。

要件

チャンクを割り当てたいときにフェイクチャンクを作成すること：
サニティチェックを回避するためにポインタを自分自身を指すように設定する
1バイトのオーバーフローを使用して、1つのチャンクから次のチャンクにヌルバイトを渡し、PREV_INUSEフラグを変更する。
ヌルオフバイの悪用されたチャンクのprev_sizeに、フェイクチャンクとの違いを示す
フェイクチャンクのサイズもサニティチェックを回避するために同じサイズに設定されている必要があります
これらのチャンクを構築するには、ヒープリークが必要です。

攻撃

攻撃者が制御するチャンク内にAフェイクチャンクが作成され、fdとbkが元のチャンクを指すように設定されて保護を回避します
2つの他のチャンク（BとC）が割り当てられます
Bのオフバイワンを悪用してprev in useビットがクリアされ、prev_sizeデータがCチャンクが割り当てられる場所と、前に生成されたフェイクAチャンクとの違いで上書きされます
このprev_sizeとフェイクチャンクAのサイズは、チェックを回避するために同じでなければなりません。
次に、tcacheが埋められます
次に、Cが解放され、フェイクチャンクAと統合されます
次に、新しいチャンクDが作成され、フェイクAチャンクから始まり、Bチャンクを覆います
エインヘルヤルの家はここで終了します
これは、ファストビン攻撃またはTcacheポイズニングで続けることができます：
Bを解放してファストビン/Tcacheに追加します
Bのfdが上書きされ、ターゲットアドレスを指すようにし、Dチャンクを悪用します（Bが内部に含まれているため）
次に、2つのmallocが行われ、2つ目はターゲットアドレスを割り当てることになります

参考文献と他の例

https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c
CTF https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_einherjar/#2016-seccon-tinypad
ポインタを解放した後、それらはヌル化されないため、データにアクセスすることがまだ可能です。したがって、チャンクが未ソートビンに配置され、その中に含まれるポインタをリークし（libc leak）、次に新しいヒープが未ソートビンに配置され、取得したポインタからヒープアドレスをリークします。
baby-talk. DiceCTF 2024
strtokのヌルバイトオーバーフローバグ。
エインヘルヤルの家を使用してオーバーラッピングチャンクの状況を取得し、Tcacheポイズニングで任意の書き込みプリミティブを取得します。

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

PreviousHouse of Lore | Small bin Attack NextHouse of Force

Last updated 1 day ago

基本情報

コード

目標

ほぼ任意の特定のアドレスにメモリを割り当てることが目標です。

要件

チャンクを割り当てたいときにフェイクチャンクを作成すること：

サニティチェックを回避するためにポインタを自分自身を指すように設定する

1バイトのオーバーフローを使用して、1つのチャンクから次のチャンクにヌルバイトを渡し、PREV_INUSEフラグを変更する。

ヌルオフバイの悪用されたチャンクのprev_sizeに、フェイクチャンクとの違いを示す

フェイクチャンクのサイズもサニティチェックを回避するために同じサイズに設定されている必要があります

これらのチャンクを構築するには、ヒープリークが必要です。

攻撃

攻撃者が制御するチャンク内にAフェイクチャンクが作成され、fdとbkが元のチャンクを指すように設定されて保護を回避します

2つの他のチャンク（BとC）が割り当てられます

Bのオフバイワンを悪用してprev in useビットがクリアされ、prev_sizeデータがCチャンクが割り当てられる場所と、前に生成されたフェイクAチャンクとの違いで上書きされます

このprev_sizeとフェイクチャンクAのサイズは、チェックを回避するために同じでなければなりません。

次に、tcacheが埋められます

次に、Cが解放され、フェイクチャンクAと統合されます

次に、新しいチャンクDが作成され、フェイクAチャンクから始まり、Bチャンクを覆います

エインヘルヤルの家はここで終了します

これは、ファストビン攻撃またはTcacheポイズニングで続けることができます：

Bを解放してファストビン/Tcacheに追加します

Bのfdが上書きされ、ターゲットアドレスを指すようにし、Dチャンクを悪用します（Bが内部に含まれているため）

次に、2つのmallocが行われ、2つ目はターゲットアドレスを割り当てることになります

参考文献と他の例

https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c

CTF https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_einherjar/#2016-seccon-tinypad

ポインタを解放した後、それらはヌル化されないため、データにアクセスすることがまだ可能です。したがって、チャンクが未ソートビンに配置され、その中に含まれるポインタをリークし（libc leak）、次に新しいヒープが未ソートビンに配置され、取得したポインタからヒープアドレスをリークします。

baby-talk. DiceCTF 2024

strtokのヌルバイトオーバーフローバグ。

エインヘルヤルの家を使用してオーバーラッピングチャンクの状況を取得し、Tcacheポイズニングで任意の書き込みプリミティブを取得します。