House of Lore | Small bin Attack

Osnovne informacije

Kod

• Proverite sa https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/

• Ovo ne radi

• Ili: https://github.com/shellphish/how2heap/blob/master/glibc_2.39/house_of_lore.c

• Ovo ne radi čak i ako pokušava da zaobiđe neke provere dobijajući grešku: malloc(): unaligned tcache chunk detected

• Ovaj primer i dalje radi: https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html

Cilj

• Ubaciti lažan mali chunk u mali bin kako bi bilo moguće alocirati ga. Imajte na umu da je dodati mali chunk lažan koji napadač kreira, a ne lažan na proizvoljnoj poziciji.

Zahtevi

• Napraviti 2 lažna chunka i povezati ih zajedno i sa legitimnim chunkom u malom binu:

• fake0.bk -> fake1

• fake1.fd -> fake0

• fake0.fd -> legit (treba da modifikujete pokazivač u oslobođenom malom bin chunku putem neke druge ranjivosti)

• legit.bk -> fake0

Tada ćete moći da alocirate fake0.

Napad

• Mali chunk (legit) je alociran, zatim je alociran još jedan da se spreči konsolidacija sa vršnim chunkom. Zatim, se legit oslobađa (pomerajući ga na listu nesortiranih binova) i alocira se veći chunk, pomerajući legit u mali bin.

• Napadač generiše par lažnih malih chunkova i vrši potrebno povezivanje kako bi zaobišao provere ispravnosti:

• fake0.bk -> fake1

• fake1.fd -> fake0

• fake0.fd -> legit (treba da modifikujete pokazivač u oslobođenom malom bin chunku putem neke druge ranjivosti)

• legit.bk -> fake0

• Alocira se mali chunk da bi se dobio legit, čineći fake0 vrhom liste malih binova

• Alocira se još jedan mali chunk, dobijajući fake0 kao chunk, omogućavajući potencijalno čitanje/pisanje pokazivača unutar njega.

Reference

• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/

• https://heap-exploitation.dhavalkapil.com/attacks/house_of_lore

• https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html