Chinese - Ht

English - HackTricks Afrikaans - Ht Chinese - Ht Español - Ht Français - Ht German - Ht Greek - Ht Hindi - Ht Italian - Ht Japanese - Ht Korean - Ht Polish - Ht Português - Ht Serbian - Ht Swahili - Ht Turkish - Ht Ukrainian - Ht

HackTricks Training Twitter Linkedin Sponsor

HackTricks Training Twitter Linkedin Sponsor

Chinese - Ht

English - HackTricks Afrikaans - Ht Chinese - Ht Español - Ht Français - Ht German - Ht Greek - Ht Hindi - Ht Italian - Ht Japanese - Ht Korean - Ht Polish - Ht Português - Ht Serbian - Ht Swahili - Ht Turkish - Ht Ukrainian - Ht

👾Welcome!
🤩Generic Methodologies & Resources
🐧Linux Hardening
🍏MacOS Hardening
🪟Windows Hardening
📱Mobile Pentesting
👽Network Services Pentesting
🕸️Pentesting Web
⛈️Cloud Security
😎Hardware/Physical Access
🎯Binary Exploitation
🔩Reversing
🔮Crypto & Stego
🦂C2
✍️TODO

Powered by GitBook

On this page

基本信息
代码
目标
要求
攻击
参考和其他示例

Was this helpful?

🎯Binary Exploitation

Libc Heap

House of Einherjar

PreviousHouse of Lore | Small bin Attack NextHouse of Force

Last updated 1 day ago

学习和实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 电报群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们。**
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

基本信息

代码

查看示例 https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c
或者查看 https://guyinatuxedo.github.io/42-house_of_einherjar/house_einherjar_exp/index.html#house-of-einherjar-explanation（你可能需要填充 tcache）

目标

目标是在几乎任何特定地址分配内存。

要求

当我们想要分配一个块时，创建一个假块：
设置指针指向自身以绕过完整性检查
使用一个字节溢出从一个块到下一个块，修改 PREV_INUSE 标志。
在被滥用的块的 prev_size 中指示它与假块之间的差异
假块的大小也必须设置为相同的大小以绕过完整性检查
构造这些块时，你需要一个堆泄漏。

攻击

在攻击者控制的块内创建一个假块 A，用 fd 和 bk 指向原始块以绕过保护
分配另外两个块（B 和 C）
利用 B 中的越界，清除 prev in use 位，并用 C 块分配位置与之前生成的假块 A 之间的差异覆盖 prev_size 数据
这个 prev_size 和假块 A 中的大小必须相同以绕过检查。
然后，填充 tcache
然后，释放 C，使其与假块 A 合并
然后，创建一个新的块 D，它将从假块 A 开始并覆盖 B 块
Einherjar 之屋在这里结束
这可以通过快速 bin 攻击或 Tcache 中毒继续：
释放 B 以将其添加到快速 bin / Tcache
B 的 fd 被覆盖，使其指向目标地址，利用 D 块（因为它包含 B）
然后，进行两次 malloc，第二次将 分配目标地址

参考和其他示例

https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c
CTF https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_einherjar/#2016-seccon-tinypad
释放指针后，它们不会被置为 null，因此仍然可以访问它们的数据。因此，一个块被放置在未排序的 bin 中并泄漏它包含的指针（libc leak），然后在未排序的 bin 中放置一个新的堆并泄漏从它获取的指针的堆地址。
baby-talk. DiceCTF 2024
strtok 中的空字节溢出漏洞。
使用 Einherjar 之屋来获得重叠块的情况，并通过 Tcache 中毒结束以获得任意写入原语。

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 电报群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们。**
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

学习和实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)