House of Lore | Small bin Attack

HackTricksのサポート

サブスクリプションプランをチェック！
💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してハッキングテクニックを共有してください。

基本情報

https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/から確認してください。
これは機能しません
または: https://github.com/shellphish/how2heap/blob/master/glibc_2.39/house_of_lore.c
これは、いくつかのチェックをバイパスしようとしても、malloc(): unaligned tcache chunk detectedというエラーが発生します。
この例はまだ機能しています: https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html

小さなビンに偽の小さなチャンクを挿入し、それを割り当てることが可能になるようにする。小さなチャンクは攻撃者が作成した偽のものであり、任意の位置に偽のものではありません。

その後、fake0を割り当てることができます。

小さなチャンク（legit）が割り当てられ、次にトップチャンクと統合されるのを防ぐために別のチャンクが割り当てられます。その後、legitが解放され（未整列ビンリストに移動）、より大きなチャンクが割り当てられ、legitが小さなビンに移動します。
攻撃者はいくつかの偽の小さなチャンクを生成し、必要なリンクを作成して整合性チェックをバイパスします:
fake0.bk -> fake1
fake1.fd -> fake0
fake0.fd -> legit（他の脆弱性を介して解放された小さなビンチャンク内のポインタを変更する必要があります）
legit.bk -> fake0
小さなチャンクが割り当てられ、legitを取得し、**fake0**を小さなビンのトップリストにします
別の小さなチャンクが割り当てられ、fake0をチャンクとして取得し、その内部のポインタを読み取り/書き込みする可能性があります。

HackTricksのサポート

サブスクリプションプランをチェック！
💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してハッキングテクニックを共有してください。

Last updated 4 months ago

基本情報

コード

ゴール

小さなビンに偽の小さなチャンクを挿入し、それを割り当てることが可能になるようにする。小さなチャンクは攻撃者が作成した偽のものであり、任意の位置に偽のものではありません。

必要条件

2つの偽のチャンクを作成し、それらをリンクし、小さなビン内の正規チャンクとリンクする必要があります:

fake0.bk -> fake1

fake1.fd -> fake0

fake0.fd -> legit（他の脆弱性を介して解放された小さなビンチャンク内のポインタを変更する必要があります）

legit.bk -> fake0

その後、fake0を割り当てることができます。

攻撃

小さなチャンク（legit）が割り当てられ、次にトップチャンクと統合されるのを防ぐために別のチャンクが割り当てられます。その後、legitが解放され（未整列ビンリストに移動）、より大きなチャンクが割り当てられ、legitが小さなビンに移動します。

攻撃者はいくつかの偽の小さなチャンクを生成し、必要なリンクを作成して整合性チェックをバイパスします:

fake0.bk -> fake1

fake1.fd -> fake0

fake0.fd -> legit（他の脆弱性を介して解放された小さなビンチャンク内のポインタを変更する必要があります）

legit.bk -> fake0

小さなチャンクが割り当てられ、legitを取得し、**fake0**を小さなビンのトップリストにします

別の小さなチャンクが割り当てられ、fake0をチャンクとして取得し、その内部のポインタを読み取り/書き込みする可能性があります。