Libc Heap

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

• Vérifiez les plans d’abonnement !
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.

Bases du Heap

Le heap est essentiellement l’endroit où un programme peut stocker des données lorsqu’il en fait la demande via des fonctions comme malloc, calloc… De plus, quand cette mémoire n’est plus nécessaire elle est rendue disponible en appelant la fonction free.

Comme montré, il se trouve juste après le chargement du binaire en mémoire (vérifiez la section [heap]) :

Allocation basique de chunks

Lorsqu’on demande à stocker des données dans le heap, un espace du heap lui est alloué. Cet espace appartiendra à un bin et seule la donnée demandée + l’espace pour les en-têtes du bin + le minimum de taille du bin seront réservés pour le chunk. L’objectif est de réserver le moins de mémoire possible sans compliquer la localisation de chaque chunk. Pour cela, les informations de métadonnées du chunk sont utilisées pour savoir où sont les chunks utilisés/libres.

Il existe différentes manières de réserver l’espace selon le bin utilisé, mais une méthodologie générale est la suivante :

• Le programme commence par demander une certaine quantité de mémoire.
• Si dans la liste des chunks il y en a un de disponible assez grand pour satisfaire la demande, il sera utilisé.
• Cela peut même signifier qu’une partie du chunk disponible sera utilisée pour cette requête et que le reste sera ajouté à la liste des chunks.
• S’il n’y a aucun chunk disponible dans la liste mais qu’il reste de l’espace dans la mémoire heap allouée, le gestionnaire de heap crée un nouveau chunk.
• S’il n’y a pas assez d’espace heap pour allouer le nouveau chunk, le gestionnaire de heap demande au kernel d’étendre la mémoire allouée au heap puis utilise cette mémoire pour générer le nouveau chunk.
• Si tout échoue, malloc returns null.

Notez que si la mémoire demandée passe un seuil, mmap sera utilisé pour mapper la mémoire demandée.

Arenas

Dans les applications multithreaded, le gestionnaire de heap doit prévenir les race conditions qui pourraient provoquer des crashes. Initialement, cela se faisait à l’aide d’un global mutex pour garantir qu’un seul thread pouvait accéder au heap à la fois, mais cela causait des problèmes de performance à cause du goulot d’étranglement induit par le mutex.

Pour résoudre ce problème, l’allocateur ptmalloc2 a introduit les “arenas”, où chaque arena agit comme un heap séparé avec ses propres structures de données et son propre mutex, permettant à plusieurs threads d’effectuer des opérations sur le heap sans interférer entre eux, tant qu’ils utilisent des arenas différentes.

L’“main” arena par défaut gère les opérations du heap pour les applications single-threaded. Lorsque de nouveaux threads sont ajoutés, le gestionnaire de heap leur assigne des secondary arenas pour réduire la contention. Il tente d’abord d’attacher chaque nouveau thread à une arena inutilisée, en créant de nouvelles arenas si nécessaire, jusqu’à une limite de 2 fois le nombre de cœurs CPU pour les systèmes 32-bit et 8 fois pour les systèmes 64-bit. Une fois la limite atteinte, les threads doivent partager des arenas, entraînant une contention potentielle.

Contrairement à la main arena, qui s’étend en utilisant l’appel système brk, les secondary arenas créent des “subheaps” en utilisant mmap et mprotect pour simuler le comportement du heap, permettant une plus grande flexibilité dans la gestion de la mémoire pour les opérations multithreaded.

Subheaps

Les subheaps servent de réserve de mémoire pour les secondary arenas dans les applications multithreaded, leur permettant de croître et de gérer leurs propres régions de heap séparément du heap initial. Voici en quoi les subheaps diffèrent du heap initial et comment ils fonctionnent :

1. Initial Heap vs. Subheaps :

• L’initial heap est situé directement après le binaire du programme en mémoire, et il s’étend en utilisant l’appel système sbrk.
• Les subheaps, utilisés par les secondary arenas, sont créés via mmap, un appel système qui mappe une région de mémoire spécifiée.

2. Memory Reservation with mmap :

• Lorsque le gestionnaire de heap crée un subheap, il réserve un grand bloc de mémoire via mmap. Cette réservation n’alloue pas immédiatement la mémoire ; elle désigne simplement une région que les autres processus système ou allocations ne devraient pas utiliser.
• Par défaut, la taille réservée pour un subheap est de 1 MB pour les processus 32-bit et de 64 MB pour les processus 64-bit.

3. Gradual Expansion with mprotect :

• La région mémoire réservée est initialement marquée comme PROT_NONE, indiquant que le kernel n’a pas besoin d’allouer de mémoire physique pour cet espace pour l’instant.
• Pour “grandir” le subheap, le gestionnaire de heap utilise mprotect pour changer les permissions des pages de PROT_NONE à PROT_READ | PROT_WRITE, incitant le kernel à allouer de la mémoire physique aux adresses précédemment réservées. Cette approche progressive permet au subheap de croître au fur et à mesure des besoins.
• Une fois que le subheap entier est épuisé, le gestionnaire de heap crée un nouveau subheap pour poursuivre les allocations.

heap_info

This struct alloue les informations pertinentes du heap. De plus, la mémoire du heap peut ne pas être continue après plusieurs allocations ; cette struct stockera également cette information.

// From https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/malloc/arena.c#L837

typedef struct _heap_info
{
mstate ar_ptr; /* Arena for this heap. */
struct _heap_info *prev; /* Previous heap. */
size_t size;   /* Current size in bytes. */
size_t mprotect_size; /* Size in bytes that has been mprotected
PROT_READ|PROT_WRITE.  */
size_t pagesize; /* Page size used when allocating the arena.  */
/* Make sure the following data is properly aligned, particularly
that sizeof (heap_info) + 2 * SIZE_SZ is a multiple of
MALLOC_ALIGNMENT. */
char pad[-3 * SIZE_SZ & MALLOC_ALIGN_MASK];
} heap_info;

malloc_state

Chaque heap (main arena ou les arenas des autres threads) possède une structure malloc_state.
Il est important de noter que la structure main arena malloc_state est une variable globale dans la libc (donc située dans l’espace mémoire de la libc).
Dans le cas des structures malloc_state des heaps des threads, elles sont situées à l’intérieur du “heap” du thread lui‑même.

Il y a quelques éléments intéressants à noter dans cette structure (voir le code C ci‑dessous) :

• __libc_lock_define (, mutex); sert à s’assurer que cette structure du heap est accédée par un seul thread à la fois

• Flags :

#define NONCONTIGUOUS_BIT (2U)

#define contiguous(M) (((M)->flags & NONCONTIGUOUS_BIT) == 0) #define noncontiguous(M) (((M)->flags & NONCONTIGUOUS_BIT) != 0) #define set_noncontiguous(M) ((M)->flags |= NONCONTIGUOUS_BIT) #define set_contiguous(M) ((M)->flags &= ~NONCONTIGUOUS_BIT)

- Le `mchunkptr bins[NBINS * 2 - 2];` contient des **pointers** vers les **first and last chunks** des **bins** small, large et unsorted (le -2 est parce que l'index 0 n'est pas utilisé)
- Par conséquent, le **first chunk** de ces bins aura un **backwards pointer vers cette structure** et le **last chunk** de ces bins aura un **forward pointer** vers cette structure. Ce qui signifie essentiellement que si vous pouvez leak ces adresses dans le main arena vous aurez un pointeur vers la structure dans la **libc**.
- Les structs `struct malloc_state *next;` et `struct malloc_state *next_free;` sont des linked lists d'arenas
- Le `top` chunk est le dernier "chunk", qui correspond essentiellement à **tout l'espace restant du heap**. Une fois que le top chunk est vide, le heap est complètement utilisé et il doit demander plus d'espace.
- Le `last reminder` chunk provient de cas où un chunk d'une taille exacte n'est pas disponible et donc un chunk plus grand est scindé ; la partie restante est placée ici.
```c
// From https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/malloc/malloc.c#L1812

struct malloc_state
{
/* Serialize access.  */
__libc_lock_define (, mutex);

/* Flags (formerly in max_fast).  */
int flags;

/* Set if the fastbin chunks contain recently inserted free blocks.  */
/* Note this is a bool but not all targets support atomics on booleans.  */
int have_fastchunks;

/* Fastbins */
mfastbinptr fastbinsY[NFASTBINS];

/* Base of the topmost chunk -- not otherwise kept in a bin */
mchunkptr top;

/* The remainder from the most recent split of a small request */
mchunkptr last_remainder;

/* Normal bins packed as described above */
mchunkptr bins[NBINS * 2 - 2];

/* Bitmap of bins */
unsigned int binmap[BINMAPSIZE];

/* Linked list */
struct malloc_state *next;

/* Linked list for free arenas.  Access to this field is serialized
by free_list_lock in arena.c.  */
struct malloc_state *next_free;

/* Number of threads attached to this arena.  0 if the arena is on
the free list.  Access to this field is serialized by
free_list_lock in arena.c.  */
INTERNAL_SIZE_T attached_threads;

/* Memory allocated from the system in this arena.  */
INTERNAL_SIZE_T system_mem;
INTERNAL_SIZE_T max_system_mem;
};

malloc_chunk

Cette structure représente un chunk de mémoire particulier. Les différents champs ont des significations différentes pour les chunks alloués et non alloués.

// https://github.com/bminor/glibc/blob/master/malloc/malloc.c
struct malloc_chunk {
INTERNAL_SIZE_T      mchunk_prev_size;  /* Size of previous chunk, if it is free. */
INTERNAL_SIZE_T      mchunk_size;       /* Size in bytes, including overhead. */
struct malloc_chunk* fd;                /* double links -- used only if this chunk is free. */
struct malloc_chunk* bk;
/* Only used for large blocks: pointer to next larger size.  */
struct malloc_chunk* fd_nextsize; /* double links -- used only if this chunk is free. */
struct malloc_chunk* bk_nextsize;
};

typedef struct malloc_chunk* mchunkptr;

Comme indiqué précédemment, ces chunks ont aussi des métadonnées, très bien représentées dans cette image :

Les métadonnées sont généralement 0x08B indiquant la taille du chunk courant en utilisant les 3 derniers bits pour indiquer :

• A: Si 1 il provient d’un subheap, si 0 il est dans la main arena
• M: Si 1, ce chunk fait partie d’un espace alloué avec mmap et ne fait pas partie d’un heap
• P: Si 1, le chunk précédent est en cours d’utilisation

Ensuite, l’espace pour les données utilisateur, et enfin 0x08B pour indiquer la taille du chunk précédent lorsque le chunk est disponible (ou pour stocker des données utilisateur lorsqu’il est alloué).

De plus, lorsque disponible, les données utilisateur contiennent aussi certaines informations :

• fd: Pointeur vers le chunk suivant
• bk: Pointeur vers le chunk précédent
• fd_nextsize: Pointeur vers le premier chunk dans la liste qui est plus petit que lui
• bk_nextsize: Pointeur vers le premier chunk dans la liste qui est plus grand que lui

Tip

Remarquez comment le fait de lier la liste de cette manière évite d’avoir besoin d’un tableau où chaque chunk serait enregistré.

Pointeurs de chunk

Lorsque malloc est utilisé, un pointeur vers le contenu modifiable est retourné (juste après les en-têtes), cependant, pour gérer les chunks, il est nécessaire d’avoir un pointeur vers le début des en-têtes (métadonnées).
Pour ces conversions, les fonctions suivantes sont utilisées:

// https://github.com/bminor/glibc/blob/master/malloc/malloc.c

/* Convert a chunk address to a user mem pointer without correcting the tag.  */
#define chunk2mem(p) ((void*)((char*)(p) + CHUNK_HDR_SZ))

/* Convert a user mem pointer to a chunk address and extract the right tag.  */
#define mem2chunk(mem) ((mchunkptr)tag_at (((char*)(mem) - CHUNK_HDR_SZ)))

/* The smallest possible chunk */
#define MIN_CHUNK_SIZE        (offsetof(struct malloc_chunk, fd_nextsize))

/* The smallest size we can malloc is an aligned minimal chunk */

#define MINSIZE  \
(unsigned long)(((MIN_CHUNK_SIZE+MALLOC_ALIGN_MASK) & ~MALLOC_ALIGN_MASK))

Alignement & taille min

Le pointer vers le chunk et 0x0f doivent être 0.

// From https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/sysdeps/generic/malloc-size.h#L61
#define MALLOC_ALIGN_MASK (MALLOC_ALIGNMENT - 1)

// https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/sysdeps/i386/malloc-alignment.h
#define MALLOC_ALIGNMENT 16


// https://github.com/bminor/glibc/blob/master/malloc/malloc.c
/* Check if m has acceptable alignment */
#define aligned_OK(m)  (((unsigned long)(m) & MALLOC_ALIGN_MASK) == 0)

#define misaligned_chunk(p) \
((uintptr_t)(MALLOC_ALIGNMENT == CHUNK_HDR_SZ ? (p) : chunk2mem (p)) \
& MALLOC_ALIGN_MASK)


/* pad request bytes into a usable size -- internal version */
/* Note: This must be a macro that evaluates to a compile time constant
if passed a literal constant.  */
#define request2size(req)                                         \
(((req) + SIZE_SZ + MALLOC_ALIGN_MASK < MINSIZE)  ?             \
MINSIZE :                                                      \
((req) + SIZE_SZ + MALLOC_ALIGN_MASK) & ~MALLOC_ALIGN_MASK)

/* Check if REQ overflows when padded and aligned and if the resulting
value is less than PTRDIFF_T.  Returns the requested size or
MINSIZE in case the value is less than MINSIZE, or 0 if any of the
previous checks fail.  */
static inline size_t
checked_request2size (size_t req) __nonnull (1)
{
if (__glibc_unlikely (req > PTRDIFF_MAX))
return 0;

/* When using tagged memory, we cannot share the end of the user
block with the header for the next chunk, so ensure that we
allocate blocks that are rounded up to the granule size.  Take
care not to overflow from close to MAX_SIZE_T to a small
number.  Ideally, this would be part of request2size(), but that
must be a macro that produces a compile time constant if passed
a constant literal.  */
if (__glibc_unlikely (mtag_enabled))
{
/* Ensure this is not evaluated if !mtag_enabled, see gcc PR 99551.  */
asm ("");

req = (req + (__MTAG_GRANULE_SIZE - 1)) &
~(size_t)(__MTAG_GRANULE_SIZE - 1);
}

return request2size (req);
}

Notez que pour calculer l’espace total nécessaire, SIZE_SZ n’est ajouté qu’une seule fois car le champ prev_size peut être utilisé pour stocker des données ; par conséquent, seul l’en-tête initial est nécessaire.

Obtenir les données d’un Chunk et modifier les métadonnées

Ces fonctions fonctionnent en recevant un pointeur vers un chunk et sont utiles pour vérifier/définir les métadonnées :

• Vérifier les flags du chunk

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c


/* size field is or'ed with PREV_INUSE when previous adjacent chunk in use */
#define PREV_INUSE 0x1

/* extract inuse bit of previous chunk */
#define prev_inuse(p)       ((p)->mchunk_size & PREV_INUSE)


/* size field is or'ed with IS_MMAPPED if the chunk was obtained with mmap() */
#define IS_MMAPPED 0x2

/* check for mmap()'ed chunk */
#define chunk_is_mmapped(p) ((p)->mchunk_size & IS_MMAPPED)


/* size field is or'ed with NON_MAIN_ARENA if the chunk was obtained
from a non-main arena.  This is only set immediately before handing
the chunk to the user, if necessary.  */
#define NON_MAIN_ARENA 0x4

/* Check for chunk from main arena.  */
#define chunk_main_arena(p) (((p)->mchunk_size & NON_MAIN_ARENA) == 0)

/* Mark a chunk as not being on the main arena.  */
#define set_non_main_arena(p) ((p)->mchunk_size |= NON_MAIN_ARENA)

• Tailles et pointeurs vers d’autres chunks

/*
Bits to mask off when extracting size

Note: IS_MMAPPED is intentionally not masked off from size field in
macros for which mmapped chunks should never be seen. This should
cause helpful core dumps to occur if it is tried by accident by
people extending or adapting this malloc.
*/
#define SIZE_BITS (PREV_INUSE | IS_MMAPPED | NON_MAIN_ARENA)

/* Get size, ignoring use bits */
#define chunksize(p) (chunksize_nomask (p) & ~(SIZE_BITS))

/* Like chunksize, but do not mask SIZE_BITS.  */
#define chunksize_nomask(p)         ((p)->mchunk_size)

/* Ptr to next physical malloc_chunk. */
#define next_chunk(p) ((mchunkptr) (((char *) (p)) + chunksize (p)))

/* Size of the chunk below P.  Only valid if !prev_inuse (P).  */
#define prev_size(p) ((p)->mchunk_prev_size)

/* Set the size of the chunk below P.  Only valid if !prev_inuse (P).  */
#define set_prev_size(p, sz) ((p)->mchunk_prev_size = (sz))

/* Ptr to previous physical malloc_chunk.  Only valid if !prev_inuse (P).  */
#define prev_chunk(p) ((mchunkptr) (((char *) (p)) - prev_size (p)))

/* Treat space at ptr + offset as a chunk */
#define chunk_at_offset(p, s)  ((mchunkptr) (((char *) (p)) + (s)))

• Insue bit

/* extract p's inuse bit */
#define inuse(p)							      \
((((mchunkptr) (((char *) (p)) + chunksize (p)))->mchunk_size) & PREV_INUSE)

/* set/clear chunk as being inuse without otherwise disturbing */
#define set_inuse(p)							      \
((mchunkptr) (((char *) (p)) + chunksize (p)))->mchunk_size |= PREV_INUSE

#define clear_inuse(p)							      \
((mchunkptr) (((char *) (p)) + chunksize (p)))->mchunk_size &= ~(PREV_INUSE)


/* check/set/clear inuse bits in known places */
#define inuse_bit_at_offset(p, s)					      \
(((mchunkptr) (((char *) (p)) + (s)))->mchunk_size & PREV_INUSE)

#define set_inuse_bit_at_offset(p, s)					      \
(((mchunkptr) (((char *) (p)) + (s)))->mchunk_size |= PREV_INUSE)

#define clear_inuse_bit_at_offset(p, s)					      \
(((mchunkptr) (((char *) (p)) + (s)))->mchunk_size &= ~(PREV_INUSE))

• Définir head et footer (lorsque les numéros de chunk sont utilisés)

/* Set size at head, without disturbing its use bit */
#define set_head_size(p, s)  ((p)->mchunk_size = (((p)->mchunk_size & SIZE_BITS) | (s)))

/* Set size/use field */
#define set_head(p, s)       ((p)->mchunk_size = (s))

/* Set size at footer (only when chunk is not in use) */
#define set_foot(p, s)       (((mchunkptr) ((char *) (p) + (s)))->mchunk_prev_size = (s))

• Obtenir la taille des données réellement utilisables à l’intérieur du chunk

#pragma GCC poison mchunk_size
#pragma GCC poison mchunk_prev_size

/* This is the size of the real usable data in the chunk.  Not valid for
dumped heap chunks.  */
#define memsize(p)                                                    \
(__MTAG_GRANULE_SIZE > SIZE_SZ && __glibc_unlikely (mtag_enabled) ? \
chunksize (p) - CHUNK_HDR_SZ :                                    \
chunksize (p) - CHUNK_HDR_SZ + (chunk_is_mmapped (p) ? 0 : SIZE_SZ))

/* If memory tagging is enabled the layout changes to accommodate the granule
size, this is wasteful for small allocations so not done by default.
Both the chunk header and user data has to be granule aligned.  */
_Static_assert (__MTAG_GRANULE_SIZE <= CHUNK_HDR_SZ,
"memory tagging is not supported with large granule.");

static __always_inline void *
tag_new_usable (void *ptr)
{
if (__glibc_unlikely (mtag_enabled) && ptr)
{
mchunkptr cp = mem2chunk(ptr);
ptr = __libc_mtag_tag_region (__libc_mtag_new_tag (ptr), memsize (cp));
}
return ptr;
}

Exemples

Exemple rapide de heap

Exemple rapide de heap provenant de https://guyinatuxedo.github.io/25-heap/index.html mais en arm64:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void main(void)
{
char *ptr;
ptr = malloc(0x10);
strcpy(ptr, "panda");
}

Placez un breakpoint à la fin de la fonction main et voyons où l’information a été stockée :

On peut voir que la chaîne panda a été stockée à 0xaaaaaaac12a0 (qui est l’adresse renvoyée par malloc dans x0). En regardant 0x10 octets en arrière, on voit que 0x0 indique que le chunk précédent n’est pas utilisé (longueur 0) et que la longueur de ce chunk est 0x21.

L’espace supplémentaire réservé (0x21-0x10=0x11) provient des en-têtes ajoutés (0x10) et 0x1 ne signifie pas qu’il a été réservé 0x21B mais que les 3 derniers bits de la longueur du chunk courant ont des significations particulières. Comme la longueur est toujours alignée sur 16 octets (sur les machines 64 bits), ces bits ne sont en pratique jamais utilisés dans la valeur de longueur.

0x1:     Previous in Use     - Specifies that the chunk before it in memory is in use
0x2:     Is MMAPPED          - Specifies that the chunk was obtained with mmap()
0x4:     Non Main Arena      - Specifies that the chunk was obtained from outside of the main arena

Exemple de multithreading

</details>

En déboguant l'exemple précédent, on peut voir qu'au début il n'y a qu'une seule arena :

<figure><img src="../../images/image (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

Puis, après l'appel du premier thread — celui qui appelle malloc — une nouvelle arena est créée :

<figure><img src="../../images/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

et à l'intérieur on peut trouver des chunks :

<figure><img src="../../images/image (2) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

## Bins & Memory Allocations/Frees

Vérifiez quels sont les bins, comment ils sont organisés et comment la mémoire est allouée et libérée dans :


<a class="content_ref" href="bins-and-memory-allocations.md"><span class="content_ref_label">Bins & Memory Allocations</span></a>

## Heap Functions Security Checks

Les fonctions liées au heap effectuent certains contrôles avant d'agir afin de s'assurer que le heap n'a pas été corrompu :


<a class="content_ref" href="heap-memory-functions/heap-functions-security-checks.md"><span class="content_ref_label">Heap Functions Security Checks</span></a>

## Case Studies

Étudiez des primitives spécifiques à l'allocator dérivées de bugs réels :

<a class="content_ref" href="virtualbox-slirp-nat-packet-heap-exploitation.md"><span class="content_ref_label">Virtualbox Slirp Nat Packet Heap Exploitation</span></a>

## Références

- [https://azeria-labs.com/heap-exploitation-part-1-understanding-the-glibc-heap-implementation/](https://azeria-labs.com/heap-exploitation-part-1-understanding-the-glibc-heap-implementation/)
- [https://azeria-labs.com/heap-exploitation-part-2-glibc-heap-free-bins/](https://azeria-labs.com/heap-exploitation-part-2-glibc-heap-free-bins/)


> [!TIP]
> Apprenez et pratiquez le hacking AWS :<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> Apprenez et pratiquez le hacking GCP : <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
> Apprenez et pratiquez le hacking Azure : <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://training.hacktricks.xyz/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
>
> <details>
>
> <summary>Soutenir HackTricks</summary>
>
> - Vérifiez les [**plans d'abonnement**](https://github.com/sponsors/carlospolop) !
> - **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez-nous sur** **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
> - **Partagez des astuces de hacking en soumettant des PR au** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts github.
>
> </details>