基本情報

コード

• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/から確認してください

• これは機能しません

• または：https://github.com/shellphish/how2heap/blob/master/glibc_2.39/house_of_lore.c

• これは機能しません。エラーが発生します：malloc(): unaligned tcache chunk detected

• この例はまだ機能しています**：https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html

ゴール

• 小さなビンに偽の小さなチャンクを挿入して、それを割り当てることができるようにする。 追加された小さなチャンクは、攻撃者が任意の位置に作成する偽のチャンクです。

必要条件

• 2つの偽のチャンクを作成し、それらと正当なチャンクをリンクしてください：

• fake0.bk -> fake1

• fake1.fd -> fake0

• fake0.fd -> legit（他の脆弱性を介して解放された小さなビンのチャンク内のポインタを変更する必要があります）

• legit.bk -> fake0

その後、fake0を割り当てることができます。

攻撃

• 小さなチャンク（legit）が割り当てられ、次にトップチャンクと統合されるのを防ぐために別のチャンクが割り当てられます。その後、legitが解放され（未整列リストに移動）、より大きなチャンクが割り当てられ、legitが小さなビンに移動します。

• 攻撃者はいくつかの偽の小さなチャンクを生成し、サニティチェックをバイパスするために必要なリンクを作成します：

• fake0.bk -> fake1

• fake1.fd -> fake0

• fake0.fd -> legit（他の脆弱性を介して解放された小さなビンのチャンク内のポインタを変更する必要があります）

• legit.bk -> fake0

• 小さなチャンクが割り当てられ、legitを取得し、**fake0**を小さなビンのトップリストにします

• 別の小さなチャンクが割り当てられ、チャンクとしてfake0を取得し、その内部のポインタを読み取り/書き込みする可能性があります。

参考文献

• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/

• https://heap-exploitation.dhavalkapil.com/attacks/house_of_lore

• https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html