Μάθετε & εξασκηθείτε στο Hacking του AWS:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**Εκπαίδευση HackTricks AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
Μάθετε & εξασκηθείτε στο Hacking του GCP: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)**<imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">](https://training.hacktricks.xyz/courses/grte)
* Ελέγξτε τα [**σχέδια συνδρομής**](https://github.com/sponsors/carlospolop)!
* **Εγγραφείτε** στην 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στην [**ομάδα telegram**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Κοινοποιήστε κόλπα χάκερ υποβάλλοντας PRs στα** [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) αποθετήρια στο GitHub.
Έχοντας μόνο πρόσβαση σε μια υπερχείλιση 1 byte επιτρέπει σε έναν εισβολέα να τροποποιήσει το πεδίο `size` από το επόμενο κομμάτι. Αυτό επιτρέπει να παραβιαστούν τα κομμάτια που πραγματικά ελευθερώνονται, πιθανώς δημιουργώντας ένα κομμάτι που περιέχει ένα άλλο νόμιμο κομμάτι. Η εκμετάλλευση είναι παρόμοια με το [διπλό free](double-free.md) ή την επικάλυψη κομματιών.
* Μηδενικό byte (off-by-null): Αυτός ο τύπος επιτρέπει την αντικατάσταση αυτού του byte μόνο με 0x00
* Ένα κοινό παράδειγμα αυτής της ευπάθειας μπορεί να δει κανείς στον παρακάτω κώδικα όπου η συμπεριφορά των `strlen` και `strcpy` είναι ασυνεπής, η οποία επιτρέπει την τοποθέτηση ενός byte 0x00 στην αρχή του επόμενου κομματιού.
* Αυτό μπορεί να εκμεταλλευτεί με το [House of Einherjar](house-of-einherjar.md).
Μεταξύ άλλων ελέγχων, τώρα κάθε φορά που ένα κομμάτι είναι ελεύθερο, συγκρίνεται το προηγούμενο μέγεθος με το μέγεθος που έχει ρυθμιστεί στα μεταδεδομένα του κομματιού, κάνοντας αυτήν την επίθεση αρκετά πολύπλοκη από την έκδοση 2.28.
* Επιπλέον, αν προσπαθήσετε να το καταχραστείτε χρησιμοποιώντας μεγαλύτερα κομμάτια (έτσι ώστε να μην εμπλέκονται οι tcaches), θα λάβετε το σφάλμα: `malloc(): invalid next size (unsorted)`
* Κάντε ένα κομμάτι να περιέχεται μέσα σε ένα άλλο κομμάτι, έτσι ώστε η εγγραφή πρόσβασης σε αυτό το δεύτερο κομμάτι να επιτρέπει τον αντικατάσταση του περιεχόμενου του πρώτου
* Τώρα έχουμε το `B` που περιέχει το ελεύθερο κομμάτι `C`
* Απελευθερώστε το `B` και εκχωρήστε ένα κομμάτι 0x40 (θα τοποθετηθεί εδώ ξανά)
* Μπορούμε να τροποποιήσουμε το δείκτη `fd` από το `C`, το οποίο είναι ακόμα ελεύθερο (δηλητηρίαση Tcache)
### Επίθεση off-by-null
* Κρατούνται 3 κομμάτια μνήμης (a, b, c) το ένα μετά το άλλο. Στη συνέχεια το μεσαίο απελευθερώνεται. Το πρώτο περιέχει μια ευπάθεια υπερχείλισης ενός byte και ο επιτιθέμενος την καταχρηστεύεται με ένα 0x00 (αν το προηγούμενο byte ήταν 0x10 θα κάνει το μεσαίο κομμάτι να υποδεικνύει ότι είναι 0x10 μικρότερο από ό,τι πραγματικά είναι).
* Στη συνέχεια, δεσμεύονται 2 μικρότερα κομμάτια στο μεσαίο ελεύθερο κομμάτι (b), ωστόσο, καθώς το `b + b->size` δεν ενημερώνει ποτέ το κομμάτι c επειδή η διευθυνση που δείχνεται είναι μικρότερη από ό,τι θα έπρεπε.
* Στη συνέχεια, απελευθερώνονται τα b1 και c. Καθώς το `c - c->prev_size` εξακολουθεί να δείχνει στο b (τώρα b1), και τα δύο συγχωνεύονται σε ένα κομμάτι. Ωστόσο, το b2 βρίσκεται ακόμα μέσα ανάμεσα στο b1 και το c.
* Τέλος, γίνεται μια νέα κλήση malloc ανακτώντας αυτήν την περιοχή μνήμης που πρόκειται να περιέχει το b2, επιτρέποντας στον κάτοχο της νέας κλήσης malloc να ελέγχει το περιεχόμενο του b2.
* Είναι δυνατόν να καταχραστείτε ένα off by one γιανα διαρρεύσετε μια διεύθυνση από τη στοίβα επειδή το byte 0x00 στο τέλος ενός string αντικαθίσταται από το επόμενο πεδίο.
*Το αυθαίρετο γραπτό λαμβάνεται καταχρώμενοντας το off by one γράφοντας το δείκτη prev_size σε `0x4e0`.
* Σημειώστε πώς τα μεγέθη των αρχικά δεσμευμένων κομματιών1, 2, 5 και 3 συν τις κεφαλίδες των 4 αυτών των κομματιών ισούνται με `0x4e0`: `hex(0x1f8 + 0x10 + 0x68 + 0x10 + 0x50 + 0x10 + 0x200) = 0x4e0`
* Στη συνέχεια, απελευθερώνεται το κομμάτι 4, δημιουργώντας ένα κομμάτι που καταναλώνει όλα τα κομμάτια μέχρι την αρχή:
* Στη συνέχεια, δεσμεύονται `0x200` bytes γεμίζοντας το αρχικό κομμάτι 1
*Και δεσμεύονται άλλα 0x200 bytes και καταστρέφεται το κομμάτι2 και επομένως δεν υπάρχει διαρροή και αυτό δεν λειτουργεί; Ίσως αυτό δεν θα έπρεπε να γίνει
* Στη συνέχεια, δεσμεύεται ένα κομμάτι με 0x58 "a"s (αντικαθιστώντας το κομμάτι2 και φτάνοντας το κομμάτι5) και τροποποιείται ο δείκτης `fd` του γρήγορου κομματιού του κομματιού5 δείχνοντας στο `__malloc_hook`
* Στη συνέχεια, δεσμεύεται ένα κομμάτι 0x68 έτσι το ψεύτικο γρήγορο κομμάτι στο `__malloc_hook` είναι το επόμενο γρήγορο κομμάτι
* Τέλος, δεσμεύεται ένα νέο γρήγορο κομμάτι 0x68 και το `__malloc_hook` αντικαθίσταται με μια διεύθυνση `one_gadget`
{% hint style="success" %}
Μάθετε & εξασκηθείτε στο AWS Hacking:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
Μάθετε & εξασκηθείτε στο GCP Hacking: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Υποστηρίξτε το HackTricks</summary>
* Ελέγξτε τα [**σχέδια συνδρομής**](https://github.com/sponsors/carlospolop)!
* **Εγγραφείτε** στην 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στην [**ομά
* **Κοινοποιήστε κόλπα χάκερ κάνοντας υποβολή PRs στα** [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) αποθετήρια στο GitHub.
