House of Lore | Small bin Attack

基本情報

コード

• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/のものを確認してください

• これは動作しません

• または：https://github.com/shellphish/how2heap/blob/master/glibc_2.39/house_of_lore.c

• これは動作しませんが、いくつかのチェックをバイパスしようとすると、エラーが発生します：malloc(): unaligned tcache chunk detected

• この例はまだ動作しています：https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html

目標

• 小さなビンに偽の小さなチャンクを挿入して、それを割り当て可能にする。 追加された小さなチャンクは、攻撃者が作成した偽のものであり、任意の位置にある偽のものではないことに注意してください。

要件

• 2つの偽のチャンクを作成し、それらを互いにリンクし、小さなビンの正当なチャンクとリンクします：

• fake0.bk -> fake1

• fake1.fd -> fake0

• fake0.fd -> legit（他の脆弱性を介して解放された小さなビンチャンクのポインタを修正する必要があります）

• legit.bk -> fake0

これにより、fake0を割り当てることができるようになります。

攻撃

• 小さなチャンク（legit）が割り当てられ、その後、トップチャンクとの統合を防ぐために別のチャンクが割り当てられます。次に、legitが解放され（未整理ビンリストに移動）、より大きなチャンクが割り当てられ、legitが小さなビンに移動します。

• 攻撃者は、いくつかの偽の小さなチャンクを生成し、整合性チェックをバイパスするために必要なリンクを作成します：

• fake0.bk -> fake1

• fake1.fd -> fake0

• fake0.fd -> legit（他の脆弱性を介して解放された小さなビンチャンクのポインタを修正する必要があります）

• legit.bk -> fake0

• 小さなチャンクが割り当てられ、legitを取得し、**fake0**を小さなビンのトップリストにします

• 別の小さなチャンクが割り当てられ、fake0がチャンクとして取得され、内部のポインタを読み書きする可能性があります。

参考文献

• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/

• https://heap-exploitation.dhavalkapil.com/attacks/house_of_lore

• https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html