House of Lore | Small bin Attack

Reading time: 3 minutes

Osnovne informacije

Kod

• Proverite onaj sa https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/
• Ovo ne radi
• Ili: https://github.com/shellphish/how2heap/blob/master/glibc_2.39/house_of_lore.c
• Ovo ne radi čak i ako pokušava da zaobiđe neke provere dobijajući grešku: malloc(): unaligned tcache chunk detected
• Ovaj primer još uvek radi: https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html

Cilj

• Umetnite lažni mali deo u mali kontejner kako bi ga bilo moguće alocirati.
  Napomena: mali deo koji se dodaje je lažni koji napadač kreira, a ne lažni deo na proizvoljnom mestu.

Zahtevi

• Kreirajte 2 lažna dela i povežite ih zajedno i sa legitimnim delom u malom kontejneru:
• fake0.bk -> fake1
• fake1.fd -> fake0
• fake0.fd -> legit (morate modifikovati pokazivač u oslobođenom malom delu kontejnera putem neke druge ranjivosti)
• legit.bk -> fake0

Tada ćete moći da alocirate fake0.

Napad

• Mali deo (legit) se alocira, zatim se alocira još jedan kako bi se sprečilo konsolidovanje sa vrhunskim delom. Zatim, legit se oslobađa (premestajući ga u listu nesortiranih kontejnera) i alocira se veći deo, premestajući legit u mali kontejner.
• Napadač generiše nekoliko lažnih malih delova i pravi potrebna povezivanja da bi zaobišao provere:
• fake0.bk -> fake1
• fake1.fd -> fake0
• fake0.fd -> legit (morate modifikovati pokazivač u oslobođenom malom delu kontejnera putem neke druge ranjivosti)
• legit.bk -> fake0
• Mali deo se alocira da bi se dobio legitiman, čineći fake0 vrhunskim delom malih kontejnera
• Alocira se još jedan mali deo, dobijajući fake0 kao deo, što potencijalno omogućava čitanje/pisanje pokazivača unutar njega.

Reference

• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/
• https://heap-exploitation.dhavalkapil.com/attacks/house_of_lore
• https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html