House of Force

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

基本情報

コード

この技術はパッチが当てられました (こちら) そしてこのエラーを生成します: malloc(): corrupted top size
テストしたい場合は、こちらのコードを試すことができます。

目標

この攻撃の目標は、特定のアドレスにチャンクを割り当てることができるようにすることです。

要件

トップチャンクヘッダーのサイズを上書きできるオーバーフロー (例: -1)。
ヒープ割り当てのサイズを制御できること。

攻撃

攻撃者がアドレスPにチャンクを割り当ててここに値を上書きしたい場合、彼はトップチャンクサイズを -1 で上書きすることから始めます (おそらくオーバーフローを使って)。これにより、トップチャンクは常に十分なスペースを持つため、mallocはどの割り当てもmmapを使用しないことが保証されます。

次に、トップチャンクのアドレスと割り当てるターゲットスペースの間の距離を計算します。これは、そのサイズのmallocが実行され、トップチャンクがその位置に移動されるためです。これが、差分/サイズを簡単に計算できる方法です:

// From https://github.com/shellphish/how2heap/blob/master/glibc_2.27/house_of_force.c#L59C2-L67C5
/*
* The evil_size is calulcated as (nb is the number of bytes requested + space for metadata):
* new_top = old_top + nb
* nb = new_top - old_top
* req + 2sizeof(long) = new_top - old_top
* req = new_top - old_top - 2sizeof(long)
* req = target - 2sizeof(long) - old_top - 2sizeof(long)
* req = target - old_top - 4*sizeof(long)
*/

したがって、target - old_top - 4*sizeof(long)のサイズを割り当てることで（4つのlongは、トップチャンクと新しく割り当てられたチャンクのメタデータのため）、トップチャンクを上書きしたいアドレスに移動させます。次に、ターゲットアドレスでチャンクを取得するためにもう一度mallocを行います。

参考文献と他の例

https://github.com/shellphish/how2heap/tree/master
https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_force/
https://heap-exploitation.dhavalkapil.com/attacks/house_of_force
https://github.com/shellphish/how2heap/blob/master/glibc_2.27/house_of_force.c
https://guyinatuxedo.github.io/41-house_of_force/house_force_exp/index.html
https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_force/#hitcon-training-lab-11
このシナリオの目的は、ret2winのために、ret2win関数のアドレスによって呼び出される関数のアドレスを変更することです。
バイナリには、トップチャンクのサイズを変更するために悪用できるオーバーフローがあります。これは-1またはp64(0xffffffffffffffff)に変更されます。
次に、上書きするポインタが存在する場所へのアドレスが計算され、そこへのトップチャンクの現在の位置からの差分がmallocで割り当てられます。
最後に、この望ましいターゲットを含む新しいチャンクが割り当てられ、これはret2win関数によって上書きされます。
https://shift--crops-hatenablog-com.translate.goog/entry/2016/03/21/171249?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp
Input your name:には、ヒープからアドレスを漏洩させる初期の脆弱性があります。
次に、Org:およびHost:機能では、org nameを求められたときにsポインタの64Bを埋めることが可能です。これはスタック内でv2のアドレスの後に続き、その後に指定されたhost nameが続きます。strcpyがsの内容を64Bのチャンクにコピーするため、host nameに入れたデータでトップチャンクのサイズを上書きすることが可能です。
任意の書き込みが可能になった今、atoiのGOTはprintfのアドレスに上書きされました。これにより、IO_2_1_stderrのアドレスを%24$pで漏洩させることができました。このlibcの漏洩により、再度atoiのGOTをsystemのアドレスで上書きし、/bin/shをパラメータとして渡して呼び出すことができました。
この別の書き込みで提案された代替方法は、freeをputsで上書きし、その後、後で解放されるポインタにatoi@gotのアドレスを追加することです。これにより漏洩し、この漏洩を使って再度atoi@gotをsystemで上書きし、/bin/shで呼び出します。
https://guyinatuxedo.github.io/41-house_of_force/bkp16_cookbook/index.html
ポインタをクリアせずに解放されたチャンクを再利用できるUAFがあります。いくつかの読み取りメソッドがあるため、ここでfree関数のポインタをGOTに書き込むことでlibcアドレスを漏洩させ、その後読み取り関数を呼び出すことが可能です。
次に、House of forceが使用され（UAFを悪用して）、左側のスペースのサイズを-1で上書きし、free hookに到達するのに十分な大きさのチャンクを割り当て、次にfree hookを含む別のチャンクを割り当てます。次に、フックにsystemのアドレスを書き込み、チャンクに"/bin/sh"を書き込み、最後にその文字列内容を持つチャンクを解放します。

HackTricksをサポートする

サブスクリプションプランを確認してください！
💬 DiscordグループまたはTelegramグループに参加するか、Twitterでフォローしてください 🐦 @hacktricks_live.**
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを送信してください。

PreviousHouse of Einherjar NextHouse of Orange

Last updated 1 day ago

基本情報

コード

この技術はパッチが当てられました (こちら) そしてこのエラーを生成します: malloc(): corrupted top size

テストしたい場合は、こちらのコードを試すことができます。

目標

この攻撃の目標は、特定のアドレスにチャンクを割り当てることができるようにすることです。

要件

トップチャンクヘッダーのサイズを上書きできるオーバーフロー (例: -1)。

ヒープ割り当てのサイズを制御できること。

攻撃

// From https://github.com/shellphish/how2heap/blob/master/glibc_2.27/house_of_force.c#L59C2-L67C5
/*
* The evil_size is calulcated as (nb is the number of bytes requested + space for metadata):
* new_top = old_top + nb
* nb = new_top - old_top
* req + 2sizeof(long) = new_top - old_top
* req = new_top - old_top - 2sizeof(long)
* req = target - 2sizeof(long) - old_top - 2sizeof(long)
* req = target - old_top - 4*sizeof(long)
*/

参考文献と他の例

https://github.com/shellphish/how2heap/tree/master

https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_force/

https://heap-exploitation.dhavalkapil.com/attacks/house_of_force

https://github.com/shellphish/how2heap/blob/master/glibc_2.27/house_of_force.c

https://guyinatuxedo.github.io/41-house_of_force/house_force_exp/index.html

https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_force/#hitcon-training-lab-11

このシナリオの目的は、ret2winのために、ret2win関数のアドレスによって呼び出される関数のアドレスを変更することです。

バイナリには、トップチャンクのサイズを変更するために悪用できるオーバーフローがあります。これは-1またはp64(0xffffffffffffffff)に変更されます。

次に、上書きするポインタが存在する場所へのアドレスが計算され、そこへのトップチャンクの現在の位置からの差分がmallocで割り当てられます。

最後に、この望ましいターゲットを含む新しいチャンクが割り当てられ、これはret2win関数によって上書きされます。

https://shift--crops-hatenablog-com.translate.goog/entry/2016/03/21/171249?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

Input your name:には、ヒープからアドレスを漏洩させる初期の脆弱性があります。

次に、Org:およびHost:機能では、org nameを求められたときにsポインタの64Bを埋めることが可能です。これはスタック内でv2のアドレスの後に続き、その後に指定されたhost nameが続きます。strcpyがsの内容を64Bのチャンクにコピーするため、host nameに入れたデータでトップチャンクのサイズを上書きすることが可能です。

任意の書き込みが可能になった今、atoiのGOTはprintfのアドレスに上書きされました。これにより、IO_2_1_stderrのアドレスを%24$pで漏洩させることができました。このlibcの漏洩により、再度atoiのGOTをsystemのアドレスで上書きし、/bin/shをパラメータとして渡して呼び出すことができました。

この別の書き込みで提案された代替方法は、freeをputsで上書きし、その後、後で解放されるポインタにatoi@gotのアドレスを追加することです。これにより漏洩し、この漏洩を使って再度atoi@gotをsystemで上書きし、/bin/shで呼び出します。

https://guyinatuxedo.github.io/41-house_of_force/bkp16_cookbook/index.html

ポインタをクリアせずに解放されたチャンクを再利用できるUAFがあります。いくつかの読み取りメソッドがあるため、ここでfree関数のポインタをGOTに書き込むことでlibcアドレスを漏洩させ、その後読み取り関数を呼び出すことが可能です。

次に、House of forceが使用され（UAFを悪用して）、左側のスペースのサイズを-1で上書きし、free hookに到達するのに十分な大きさのチャンクを割り当て、次にfree hookを含む別のチャンクを割り当てます。次に、フックにsystemのアドレスを書き込み、チャンクに"/bin/sh"を書き込み、最後にその文字列内容を持つチャンクを解放します。