HackTricksHouse of Einherjar
Reading time: 4 minutes
tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
Grundinformationen
Code
- Überprüfen Sie das Beispiel von https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c
- Oder das von https://guyinatuxedo.github.io/42-house_of_einherjar/house_einherjar_exp/index.html#house-of-einherjar-explanation (Sie müssen möglicherweise den tcache füllen)
Ziel
- Das Ziel ist es, Speicher an fast jeder spezifischen Adresse zuzuweisen.
Anforderungen
- Erstellen Sie einen gefälschten Chunk, wenn wir einen Chunk zuweisen möchten:
- Setzen Sie Zeiger, um auf sich selbst zu zeigen, um Sanity-Checks zu umgehen
- Ein-Byte-Überlauf mit einem Null-Byte von einem Chunk zum nächsten, um das
PREV_INUSE-Flag zu ändern. - Geben Sie im
prev_sizedes durch Null missbrauchten Chunks den Unterschied zwischen sich selbst und dem gefälschten Chunk an - Die Größe des gefälschten Chunks muss ebenfalls auf die gleiche Größe gesetzt werden, um Sanity-Checks zu umgehen
- Zum Konstruieren dieser Chunks benötigen Sie einen Heap-Leak.
Angriff
- Ein gefälschter Chunk
Awird innerhalb eines vom Angreifer kontrollierten Chunks erstellt, der mitfdundbkauf den ursprünglichen Chunk zeigt, um Schutzmaßnahmen zu umgehen - 2 weitere Chunks (
BundC) werden zugewiesen - Durch den Missbrauch des Off-by-One im
Bwird dasprev in use-Bit gelöscht und dieprev_size-Daten werden mit dem Unterschied zwischen dem Ort, an dem der ChunkCzugewiesen wird, und dem zuvor generierten gefälschten ChunkAüberschrieben - Diese
prev_sizeund die Größe im gefälschten ChunkAmüssen gleich sein, um Überprüfungen zu umgehen. - Dann wird der tcache gefüllt
- Dann wird
Cfreigegeben, damit es sich mit dem gefälschten ChunkAkonsolidiert - Dann wird ein neuer Chunk
Derstellt, der im gefälschten ChunkAbeginnt und den ChunkBabdeckt - Das Haus von Einherjar endet hier
- Dies kann mit einem Fast-Bin-Angriff oder Tcache-Vergiftung fortgesetzt werden:
Bfreigeben, um es zum Fast-Bin / Tcache hinzuzufügenB'sfdwird überschrieben, sodass es auf die Zieladresse zeigt, indem der ChunkDmissbraucht wird (da erBenthält)- Dann werden 2 Mallocs durchgeführt, und der zweite wird die Zieladresse zuweisen
Referenzen und andere Beispiele
- https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c
- CTF https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_einherjar/#2016-seccon-tinypad
- Nach dem Freigeben von Zeigern werden diese nicht auf Null gesetzt, sodass es weiterhin möglich ist, auf ihre Daten zuzugreifen. Daher wird ein Chunk in den unsortierten Bin platziert und die Zeiger, die er enthält, geleakt (libc leak) und dann wird ein neuer Heap im unsortierten Bin platziert und eine Heap-Adresse von dem Zeiger geleakt, den er erhält.
- baby-talk. DiceCTF 2024
- Null-Byte-Überlauf-Fehler in
strtok. - Verwenden Sie House of Einherjar, um eine Überlappung von Chunks zu erreichen und mit Tcache-Vergiftung zu enden, um eine willkürliche Schreibprimitive zu erhalten.
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.