House of Force

Reading time: 4 minutes

Basic Information

Code

• 이 기술은 패치되었습니다 (여기) 그리고 이 오류를 발생시킵니다: malloc(): corrupted top size
• 원하신다면 여기서 코드를 시도해 보실 수 있습니다.

Goal

• 이 공격의 목표는 특정 주소에 청크를 할당할 수 있는 것입니다.

Requirements

• 상단 청크 헤더의 크기를 덮어쓸 수 있는 오버플로우 (예: -1).
• 힙 할당의 크기를 제어할 수 있어야 합니다.

Attack

공격자가 주소 P에 청크를 할당하여 여기의 값을 덮어쓰고자 한다면, 그는 상단 청크 크기를 -1로 덮어쓰는 것으로 시작합니다 (아마도 오버플로우를 통해). 이는 malloc이 어떤 할당을 위해 mmap을 사용하지 않도록 보장합니다. 상단 청크는 항상 충분한 공간을 가질 것입니다.

그런 다음, 상단 청크의 주소와 할당할 대상 공간 사이의 거리를 계산합니다. 이는 해당 크기로 malloc이 수행되어 상단 청크를 그 위치로 이동시키기 때문입니다. 이렇게 하면 차이/크기를 쉽게 계산할 수 있습니다:

// From https://github.com/shellphish/how2heap/blob/master/glibc_2.27/house_of_force.c#L59C2-L67C5
/*
* The evil_size is calulcated as (nb is the number of bytes requested + space for metadata):
* new_top = old_top + nb
* nb = new_top - old_top
* req + 2sizeof(long) = new_top - old_top
* req = new_top - old_top - 2sizeof(long)
* req = target - 2sizeof(long) - old_top - 2sizeof(long)
* req = target - old_top - 4*sizeof(long)
*/

따라서 target - old_top - 4*sizeof(long)의 크기를 할당하면(4개의 long은 상단 청크의 메타데이터와 할당된 새 청크의 메타데이터 때문입니다) 상단 청크가 우리가 덮어쓰고자 하는 주소로 이동합니다.
그런 다음, 대상 주소에서 청크를 얻기 위해 또 다른 malloc을 수행합니다.

References & Other Examples

• https://github.com/shellphish/how2heap/tree/master
• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_force/
• https://heap-exploitation.dhavalkapil.com/attacks/house_of_force
• https://github.com/shellphish/how2heap/blob/master/glibc_2.27/house_of_force.c
• https://guyinatuxedo.github.io/41-house_of_force/house_force_exp/index.html
• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_force/#hitcon-training-lab-11
• 이 시나리오의 목표는 ret2win으로, ret2win 함수의 주소에 의해 호출될 함수의 주소를 수정해야 합니다.
• 이 바이너리는 상단 청크 크기를 수정할 수 있는 오버플로우가 있으며, 이는 -1 또는 p64(0xffffffffffffffff)로 수정됩니다.
• 그런 다음, 덮어쓸 포인터가 존재하는 위치의 주소를 계산하고, 현재 상단 청크의 위치에서 그곳까지의 차이를 malloc으로 할당합니다.
• 마지막으로, 이 원하는 대상을 포함할 새 청크가 할당되며, 이는 ret2win 함수에 의해 덮어씌워집니다.
• https://shift--crops-hatenablog-com.translate.goog/entry/2016/03/21/171249?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp
• Input your name:에는 힙에서 주소를 누출할 수 있는 초기 취약점이 있습니다.
• 그런 다음 Org: 및 Host: 기능에서 org name을 요청할 때 s 포인터의 64B를 채울 수 있으며, 스택에서 이는 v2의 주소 뒤에 위치하고, 그 뒤에는 지정된 host name이 옵니다. 그런 다음, strcpy가 s의 내용을 64B 크기의 청크에 복사하므로, host name에 넣은 데이터로 상단 청크의 크기를 덮어쓸 수 있습니다.
• 이제 임의의 쓰기가 가능해지면, atoi의 GOT가 printf의 주소로 덮어씌워졌습니다. 그 후 %24$p로 IO_2_1_stderr의 주소를 누출할 수 있었습니다. 이 libc 누출로 인해 다시 atoi의 GOT를 system의 주소로 덮어쓰고 /bin/sh를 매개변수로 전달하여 호출할 수 있었습니다.
• 이 다른 글에서 제안된 대안 방법은 free를 puts로 덮어쓰고, 나중에 해제될 포인터에 atoi@got의 주소를 추가하여 누출되도록 한 다음, 이 누출로 다시 atoi@got를 system으로 덮어쓰고 /bin/sh로 호출하는 것입니다.
• https://guyinatuxedo.github.io/41-house_of_force/bkp16_cookbook/index.html
• 포인터를 지우지 않고 해제된 청크를 재사용할 수 있는 UAF가 있습니다. 일부 읽기 메서드가 있기 때문에, 여기에서 GOT에 free 함수에 대한 포인터를 작성하여 libc 주소를 누출할 수 있습니다. 그런 다음 읽기 함수를 호출합니다.
• 그런 다음, House of force가 사용되어(UAF를 악용하여) 남은 공간의 크기를 -1로 덮어쓰고, free hook에 도달할 수 있을 만큼 큰 청크를 할당한 다음, free hook을 포함할 또 다른 청크를 할당합니다. 그런 다음, hook에 system의 주소를 작성하고, 청크에 "/bin/sh"를 작성한 후, 해당 문자열 내용을 가진 청크를 해제합니다.