House of Einherjar

Ucz się i praktykuj Hacking AWS:HackTricks Szkolenie AWS Red Team Expert (ARTE) Ucz się i praktykuj Hacking GCP: HackTricks Szkolenie GCP Red Team Expert (GRTE)

Wesprzyj HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

Podstawowe informacje

Kod

Sprawdź przykład z https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c
Lub z https://guyinatuxedo.github.io/42-house_of_einherjar/house_einherjar_exp/index.html#house-of-einherjar-explanation (może być konieczne uzupełnienie tcache)

Cel

Celem jest alokacja pamięci praktycznie w dowolnym określonym adresie.

Wymagania

Utwórz fałszywy kawałek, gdy chcemy zaalokować kawałek:
Ustaw wskaźniki tak, aby wskazywały na siebie same, aby ominąć kontrole spójności
Przepełnij jeden bajt z bajtem null z jednego kawałka do następnego, aby zmodyfikować flagę PREV_INUSE.
Wskaż w prev_size nadużywanego kawałka off-by-null różnicę między nim a fałszywym kawałkiem
Rozmiar fałszywego kawałka musi również być ustawiony na ten sam rozmiar, aby ominąć kontrole spójności
Do skonstruowania tych kawałków będziesz potrzebować wycieku sterty.

Atak

A fałszywy kawałek jest tworzony wewnątrz kawałka kontrolowanego przez atakującego, wskazując z fd i bk na oryginalny kawałek, aby ominąć zabezpieczenia
Allokowane są 2 inne kawałki (B i C)
Wykorzystując off by one w B, bit prev in use jest czyszczony, a dane prev_size są nadpisywane różnicą między miejscem, w którym jest allokowany kawałek C, a fałszywym kawałkiem A wygenerowanym wcześniej
Ten prev_size i rozmiar w fałszywym kawałku A muszą być takie same, aby ominąć kontrole.
Następnie wypełniany jest tcache
Następnie, C jest zwalniane, aby skonsolidować się z fałszywym kawałkiem A
Następnie tworzony jest nowy kawałek D, który będzie zaczynał się w fałszywym kawałku A i pokrywał kawałek B
Dom Einherjar kończy się tutaj
Można kontynuować to atakiem na fast bin lub zatruciem Tcache:
Zwolnij B, aby dodać go do fast bin / Tcache
Nadpisz fd B, aby wskazywał na docelowy adres nadużywając kawałka D (ponieważ zawiera w sobie B)
Następnie wykonuje się 2 alokacje pamięci i druga z nich będzie alokować docelowy adres

Odwołania i inne przykłady

https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c
CTF https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_einherjar/#2016-seccon-tinypad
Po zwolnieniu wskaźników nie są one zerowane, więc wciąż można uzyskać do nich dostęp. Dlatego kawałek jest umieszczany w nieuporządkowanym pojemniku i wyciekane są wskaźniki, które zawiera (wyciek libc), a następnie nowa sterta jest umieszczana w nieuporządkowanym pojemniku i wyciekany jest adres sterty z wskaźnika, który otrzymuje.
baby-talk. DiceCTF 2024
Błąd przepełnienia bajtem null w strtok.
Użyj Domu Einherjar, aby uzyskać sytuację nakładających się kawałków i zakończ zatruciem Tcache, aby uzyskać arbitralne pisanie.

PreviousHouse of Lore | Small bin Attack NextHouse of Force

Last updated 4 months ago

Podstawowe informacje

Kod

Cel

Celem jest alokacja pamięci praktycznie w dowolnym określonym adresie.

Wymagania

Utwórz fałszywy kawałek, gdy chcemy zaalokować kawałek:

Ustaw wskaźniki tak, aby wskazywały na siebie same, aby ominąć kontrole spójności

Przepełnij jeden bajt z bajtem null z jednego kawałka do następnego, aby zmodyfikować flagę PREV_INUSE.

Wskaż w prev_size nadużywanego kawałka off-by-null różnicę między nim a fałszywym kawałkiem

Rozmiar fałszywego kawałka musi również być ustawiony na ten sam rozmiar, aby ominąć kontrole spójności

Do skonstruowania tych kawałków będziesz potrzebować wycieku sterty.

Atak

A fałszywy kawałek jest tworzony wewnątrz kawałka kontrolowanego przez atakującego, wskazując z fd i bk na oryginalny kawałek, aby ominąć zabezpieczenia

Allokowane są 2 inne kawałki (B i C)

Wykorzystując off by one w B, bit prev in use jest czyszczony, a dane prev_size są nadpisywane różnicą między miejscem, w którym jest allokowany kawałek C, a fałszywym kawałkiem A wygenerowanym wcześniej

Ten prev_size i rozmiar w fałszywym kawałku A muszą być takie same, aby ominąć kontrole.

Następnie wypełniany jest tcache

Następnie, C jest zwalniane, aby skonsolidować się z fałszywym kawałkiem A

Następnie tworzony jest nowy kawałek D, który będzie zaczynał się w fałszywym kawałku A i pokrywał kawałek B

Dom Einherjar kończy się tutaj

Można kontynuować to atakiem na fast bin lub zatruciem Tcache:

Zwolnij B, aby dodać go do fast bin / Tcache

Nadpisz fd B, aby wskazywał na docelowy adres nadużywając kawałka D (ponieważ zawiera w sobie B)

Następnie wykonuje się 2 alokacje pamięci i druga z nich będzie alokować docelowy adres

Odwołania i inne przykłady

https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c

CTF https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_einherjar/#2016-seccon-tinypad

Po zwolnieniu wskaźników nie są one zerowane, więc wciąż można uzyskać do nich dostęp. Dlatego kawałek jest umieszczany w nieuporządkowanym pojemniku i wyciekane są wskaźniki, które zawiera (wyciek libc), a następnie nowa sterta jest umieszczana w nieuporządkowanym pojemniku i wyciekany jest adres sterty z wskaźnika, który otrzymuje.

baby-talk. DiceCTF 2024

Błąd przepełnienia bajtem null w strtok.

Użyj Domu Einherjar, aby uzyskać sytuację nakładających się kawałków i zakończ zatruciem Tcache, aby uzyskać arbitralne pisanie.