House of Einherjar

Reading time: 6 minutes

基本情報

コード

• https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c の例を確認してください
• または https://guyinatuxedo.github.io/42-house_of_einherjar/house_einherjar_exp/index.html#house-of-einherjar-explanation の例（tcacheを埋める必要があるかもしれません）

目標

• ほぼ任意の特定のアドレスにメモリを割り当てることが目標です。

要件

• チャンクを割り当てたいときにフェイクチャンクを作成すること：
• サニティチェックを回避するためにポインタを自分自身を指すように設定する
• 一つのチャンクから次のチャンクへのヌルバイトを使った1バイトのオーバーフローでPREV_INUSEフラグを変更する。
• ヌルオフバイの悪用されたチャンクのprev_sizeに自分自身とフェイクチャンクの違いを示す
• フェイクチャンクのサイズもサニティチェックを回避するために同じサイズに設定されている必要があります
• これらのチャンクを構築するためには、ヒープリークが必要です。

攻撃

• 攻撃者が制御するチャンク内にAフェイクチャンクが作成され、fdとbkが元のチャンクを指すように設定されて保護を回避します
• 2つの他のチャンク（BとC）が割り当てられます
• Bのオフバイワンを悪用してprev in useビットがクリアされ、prev_sizeデータがCチャンクが割り当てられる場所と以前に生成されたフェイクAチャンクの違いで上書きされます
• このprev_sizeとフェイクチャンクAのサイズはチェックを回避するために同じでなければなりません。
• 次に、tcacheが埋められます
• その後、Cが解放され、フェイクチャンクAと統合されます
• 次に、新しいチャンクDが作成され、フェイクAチャンクから始まりBチャンクを覆います
• エインヘリヤルの家はここで終了します
• これはファストビン攻撃またはTcacheポイズニングで続けることができます：
• Bを解放してファストビン/Tcacheに追加します
• Bのfdが上書きされ、ターゲットアドレスを指すようにし、Dチャンクを悪用します（Bが内部に含まれているため）
• 次に、2つのmallocが行われ、2つ目はターゲットアドレスを割り当てることになります

参考文献と他の例

• https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c
• CTF https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_einherjar/#2016-seccon-tinypad
• ポインタを解放した後、それらはヌル化されないため、データにアクセスすることがまだ可能です。したがって、チャンクが未整理ビンに配置され、その中に含まれるポインタが漏洩します（libc leak）そして、新しいヒープが未整理ビンに配置され、取得したポインタからヒープアドレスが漏洩します。
• baby-talk. DiceCTF 2024
• strtokのヌルバイトオーバーフローバグ。
• エインヘリヤルの家を使用してオーバーラッピングチャンクの状況を取得し、Tcacheポイズニングで任意の書き込みプリミティブを取得します。