hacktricks/binary-exploitation/libc-heap/house-of-orange.md

# House of Orange

{% hint style="success" %}
AWS 해킹 학습 및 실습:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCP 해킹 학습 및 실습: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* [**구독 요금제**](https://github.com/sponsors/carlospolop)를 확인하세요!
* 💬 [**Discord 그룹**](https://discord.gg/hRep4RUj7f) 또는 [**텔레그램 그룹**](https://t.me/peass)에 **참여**하거나 **트위터** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**를 팔로우**하세요.
* **HackTricks** 및 **HackTricks Cloud** 깃허브 저장소에 PR을 제출하여 해킹 트릭을 공유하세요.

</details>
{% endhint %}

## 기본 정보

### 코드

* [https://github.com/shellphish/how2heap/blob/master/glibc\_2.23/house\_of\_orange.c](https://github.com/shellphish/how2heap/blob/master/glibc\_2.23/house\_of\_orange.c)에서 예제 찾기
* 이 [패치](https://sourceware.org/git/?p=glibc.git;a=blobdiff;f=stdlib/abort.c;h=117a507ff88d862445551f2c07abb6e45a716b75;hp=19882f3e3dc1ab830431506329c94dcf1d7cc252;hb=91e7cf982d0104f0e71770f5ae8e3faf352dea9f;hpb=0c25125780083cbba22ed627756548efe282d1a0)에서 취약점이 수정되었으므로 이제 작동하지 않음 (2.26 이전 버전에서 작동)
* 더 많은 주석이 달린 동일한 예제는 [https://guyinatuxedo.github.io/43-house\_of\_orange/house\_orange\_exp/index.html](https://guyinatuxedo.github.io/43-house\_of\_orange/house\_orange\_exp/index.html)에 있음

### 목표

* `malloc_printerr` 함수 남용

### 요구 사항

* 최상위 청크 크기 덮어쓰기
* Libc 및 힙 누출

### 배경

[**이 예제**](https://guyinatuxedo.github.io/43-house\_of\_orange/house\_orange\_exp/index.html)의 주석에서 필요한 일부 배경:

과거의 libc 버전에서 `malloc_printerr` 함수가 호출될 때 `_IO_list_all`에 저장된 `_IO_FILE` 구조체 목록을 반복하고 실제로 그 구조체 내의 명령 포인터를 실행했습니다.\
이 공격은 우리가 `_IO_list_all`에 쓸 가짜 `_IO_FILE` 구조체를 조작하고 `malloc_printerr`가 실행되도록 만들 것입니다.\
그런 다음 우리는 `_IO_FILE` 구조체의 점프 테이블에 저장된 주소를 실행하고 코드 실행을 얻을 것입니다.

### 공격

공격은 **unsorted bin** 내부에 **top chunk**을 가져오는 것으로 시작합니다. 현재의 최상위 청크 크기보다 크지만 **`mmp_.mmap_threshold`** (기본값은 128K)보다 작은 크기로 `malloc`을 호출하여 이루어집니다. 최상위 청크 크기가 수정될 때마다 **top chunk + 해당 크기**가 페이지에 맞추어지고 **prev\_inuse** 비트가 항상 설정되어 있는지 확인하는 것이 중요합니다.

unsorted bin 내부에 top chunk을 얻으려면 최상위 청크를 만들기 위해 청크를 할당하고 최상위 청크 크기를 변경해야 합니다 (할당된 청크에서 오버플로우). 그래로 **top chunk + 크기**가 페이지에 맞추어지고 **prev\_inuse** 비트가 설정되어야 합니다. 그런 다음 새로운 최상위 청크 크기보다 큰 청크를 할당합니다. 최상위 청크를 unsorted bin으로 가져오기 위해 `free`가 호출되지 않는다는 점을 주목하세요.

이제 이전 최상위 청크는 unsorted bin에 있습니다. 이를 통해 데이터를 읽을 수 있다고 가정하면 (오버플로우를 일으킨 취약점 때문에 가능할 수 있음), libc 주소를 누출하고 **\_IO\_list\_all**의 주소를 얻을 수 있습니다.

unsorted bin 공격은 오버플로우를 악용하여 `topChunk->bk->fwd = _IO_list_all - 0x10`를 쓰는 것으로 수행됩니다. 새로운 청크가 할당되면 이전 최상위 청크가 분할되고 unsorted bin에 대한 포인터가 **`_IO_list_all`**에 쓰입니다.

다음 단계는 이전 최상위 청크의 크기를 작은 bin에 맞게 줄이는 것을 포함합니다. 특히 크기를 **0x61**로 설정합니다.

1. **Small Bin 4에 삽입**: `malloc`이 unsorted bin을 스캔하고 이 청크를 볼 때 크기가 작기 때문에 이를 small bin 4에 삽입하려고 시도합니다. 이로 인해 이 청크는 small bin 4 목록의 헤드에 놓이게 되며 이는 우리가 unsorted bin 공격을 통해 **`_IO_list_all`**의 청크의 FD 포인터 위치에 가까운 주소를 썼기 때문입니다.
2. **Malloc 확인 트리거**: 이 청크 크기 조작은 `malloc`이 내부적인 확인을 수행하도록 만듭니다. 거짓 앞쪽 청크의 크기를 확인할 때 (이는 0이 될 것입니다), 오류가 발생하고 `malloc_printerr`가 호출됩니다.

작은 bin의 조작을 통해 청크의 전방 포인터를 제어할 수 있습니다. **\_IO\_list\_all**과의 중첩은 가짜 **\_IO\_FILE** 구조체를 조작하는 데 사용됩니다. 이 구조체는 libc에서 내부 확인을 통과하는 값으로 설정된 `_IO_write_base` 및 `_IO_write_ptr`와 같은 주요 필드를 포함하도록 주의 깊게 제작됩니다. 또한 가짜 구조체 내에 점프 테이블이 생성되며 명령 포인터가 임의의 코드 (예: `system` 함수)가 실행될 수 있는 주소로 설정됩니다.

기술의 나머지 부분을 요약하면:

* **이전 최상위 청크 축소**: 이전 최상위 청크의 크기를 **0x61**로 조정하여 작은 bin에 맞춥니다.
* **가짜 `_IO_FILE` 구조체 설정**: 이전 최상위 청크와 중첩된 가짜 **\_IO\_FILE** 구조체를 설정하고 흐름 제어를 탈취합니다.

다음 단계는 현재 unsorted bin에 있는 이전 최상위 청크와 중첩되는 가짜 **\_IO\_FILE** 구조체를 조작하는 것입니다. 이 구조체의 처음 바이트는 조심스럽게 제작되어야 하며 실행될 명령 (예: "/bin/sh")을 가리키는 포인터를 포함해야 합니다.

가짜 **\_IO\_FILE** 구조체의 주요 필드인 `_IO_write_base` 및 `_IO_write_ptr`와 같은 필드는 libc에서 내부 확인을 통과하는 값으로 설정됩니다. 또한 가짜 구조체 내에 점프 테이블이 생성되며 명령 포인터가 임의의 코드가 실행될 수 있는 주소로 설정됩니다. 일반적으로 이는 `system` 함수의 주소 또는 쉘 명령을 실행할 수 있는 다른 함수의 주소일 것입니다.

공격은 `malloc` 호출이 조작된 **\_IO\_FILE** 구조체를 통해 코드 실행을 트리거할 때 완료됩니다. 이를 통해 임의의 코드 실행이 가능해지며 일반적으로 쉘이 생성되거나 다른 악성 페이로드가 실행됩니다.

**공격 요약:**

1. **최상위 청크 설정**: 청크를 할당하고 최상위 청크 크기를 수정합니다.
2. **최상위 청크를 unsorted bin으로 강제 이동**: 더 큰 청크를 할당합니다.
3. **libc 주소 누출**: unsorted bin에서 읽기 위해 취약점 사용.
4. **unsorted bin 공격 수행**: 오버플로우를 사용하여 **\_IO\_list\_all**에 쓰기.
5. **이전 최상위 청크 축소**: 작은 bin에 맞게 크기 조정.
6. **가짜 \_IO\_FILE 구조체 설정**: 제어 흐름을 탈취하기 위해 가짜 파일 구조체 조작.
7. **코드 실행 트리거**: 공격을 실행하고 임의의 코드 실행.

이 접근 방식은 `free`를 직접 호출하지 않고도 코드 실행을 달성하기 위해 힙 관리 메커니즘, libc 정보 누출 및 힙 오버플로우를 악용합니다. 가짜 **\_IO\_FILE** 구조체를 주의 깊게 제작하고 올바른 위치에 배치하여 표준 메모리 할당 작업 중에 제어 흐름을 탈취할 수 있습니다. 이를 통해 임의의 코드 실행이 가능해지며 일반적으로 쉘 또는 다른 악성 활동이 실행됩니다.
## 참고 자료

* [https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house\_of\_orange/](https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house\_of\_orange/)
* [https://guyinatuxedo.github.io/43-house\_of\_orange/house\_orange\_exp/index.html](https://guyinatuxedo.github.io/43-house\_of\_orange/house\_orange\_exp/index.html)

{% hint style="success" %}
AWS 해킹 학습 및 실습:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCP 해킹 학습 및 실습: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>HackTricks 지원</summary>

* [**구독 요금제**](https://github.com/sponsors/carlospolop)를 확인하세요!
* 💬 [**디스코드 그룹**](https://discord.gg/hRep4RUj7f) 또는 [**텔레그램 그룹**](https://t.me/peass)에 **참여**하거나 **트위터** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**를 팔로우**하세요.
* 해킹 기법을 공유하고 싶다면 [**HackTricks**](https://github.com/carlospolop/hacktricks) 및 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) 깃허브 저장소에 PR을 제출하세요.

</details>
{% endhint %}
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00			`# House of Orange`

Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`{% hint style="success" %}`
			`AWS 해킹 학습 및 실습:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`GCP 해킹 학습 및 실습: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`<details>`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`<summary>Support HackTricks</summary>`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`* [구독 요금제](https://github.com/sponsors/carlospolop)를 확인하세요!`
			`* 💬 [Discord 그룹](https://discord.gg/hRep4RUj7f) 또는 [텔레그램 그룹](https://t.me/peass)에 참여하거나 트위터 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live)를 팔로우하세요.`
			`* HackTricks 및 HackTricks Cloud 깃허브 저장소에 PR을 제출하여 해킹 트릭을 공유하세요.`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
			`</details>`
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`{% endhint %}`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
			`## 기본 정보`

			`### 코드`

Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`* [https://github.com/shellphish/how2heap/blob/master/glibc\_2.23/house\_of\_orange.c](https://github.com/shellphish/how2heap/blob/master/glibc\_2.23/house\_of\_orange.c)에서 예제 찾기`
			`* 이 [패치](https://sourceware.org/git/?p=glibc.git;a=blobdiff;f=stdlib/abort.c;h=117a507ff88d862445551f2c07abb6e45a716b75;hp=19882f3e3dc1ab830431506329c94dcf1d7cc252;hb=91e7cf982d0104f0e71770f5ae8e3faf352dea9f;hpb=0c25125780083cbba22ed627756548efe282d1a0)에서 취약점이 수정되었으므로 이제 작동하지 않음 (2.26 이전 버전에서 작동)`
			`* 더 많은 주석이 달린 동일한 예제는 [https://guyinatuxedo.github.io/43-house\_of\_orange/house\_orange\_exp/index.html](https://guyinatuxedo.github.io/43-house\_of\_orange/house\_orange\_exp/index.html)에 있음`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
			`### 목표`

			* `malloc_printerr` 함수 남용

			`### 요구 사항`

			`* 최상위 청크 크기 덮어쓰기`
			`* Libc 및 힙 누출`

			`### 배경`

Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`[이 예제](https://guyinatuxedo.github.io/43-house\_of\_orange/house\_orange\_exp/index.html)의 주석에서 필요한 일부 배경:`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
			과거의 libc 버전에서 `malloc_printerr` 함수가 호출될 때 `_IO_list_all`에 저장된 `_IO_FILE` 구조체 목록을 반복하고 실제로 그 구조체 내의 명령 포인터를 실행했습니다.\
			이 공격은 우리가 `_IO_list_all`에 쓸 가짜 `_IO_FILE` 구조체를 조작하고 `malloc_printerr`가 실행되도록 만들 것입니다.\
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			그런 다음 우리는 `_IO_FILE` 구조체의 점프 테이블에 저장된 주소를 실행하고 코드 실행을 얻을 것입니다.
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
			`### 공격`

Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			공격은 unsorted bin 내부에 top chunk을 가져오는 것으로 시작합니다. 현재의 최상위 청크 크기보다 크지만 `mmp_.mmap_threshold` (기본값은 128K)보다 작은 크기로 `malloc`을 호출하여 이루어집니다. 최상위 청크 크기가 수정될 때마다 top chunk + 해당 크기가 페이지에 맞추어지고 prev\_inuse 비트가 항상 설정되어 있는지 확인하는 것이 중요합니다.
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			unsorted bin 내부에 top chunk을 얻으려면 최상위 청크를 만들기 위해 청크를 할당하고 최상위 청크 크기를 변경해야 합니다 (할당된 청크에서 오버플로우). 그래로 top chunk + 크기가 페이지에 맞추어지고 prev\_inuse 비트가 설정되어야 합니다. 그런 다음 새로운 최상위 청크 크기보다 큰 청크를 할당합니다. 최상위 청크를 unsorted bin으로 가져오기 위해 `free`가 호출되지 않는다는 점을 주목하세요.
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`이제 이전 최상위 청크는 unsorted bin에 있습니다. 이를 통해 데이터를 읽을 수 있다고 가정하면 (오버플로우를 일으킨 취약점 때문에 가능할 수 있음), libc 주소를 누출하고 \_IO\_list\_all의 주소를 얻을 수 있습니다.`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			unsorted bin 공격은 오버플로우를 악용하여 `topChunk->bk->fwd = _IO_list_all - 0x10`를 쓰는 것으로 수행됩니다. 새로운 청크가 할당되면 이전 최상위 청크가 분할되고 unsorted bin에 대한 포인터가 `_IO_list_all`에 쓰입니다.
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`다음 단계는 이전 최상위 청크의 크기를 작은 bin에 맞게 줄이는 것을 포함합니다. 특히 크기를 0x61로 설정합니다.`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			1. Small Bin 4에 삽입: `malloc`이 unsorted bin을 스캔하고 이 청크를 볼 때 크기가 작기 때문에 이를 small bin 4에 삽입하려고 시도합니다. 이로 인해 이 청크는 small bin 4 목록의 헤드에 놓이게 되며 이는 우리가 unsorted bin 공격을 통해 `_IO_list_all`의 청크의 FD 포인터 위치에 가까운 주소를 썼기 때문입니다.
			2. Malloc 확인 트리거: 이 청크 크기 조작은 `malloc`이 내부적인 확인을 수행하도록 만듭니다. 거짓 앞쪽 청크의 크기를 확인할 때 (이는 0이 될 것입니다), 오류가 발생하고 `malloc_printerr`가 호출됩니다.
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			작은 bin의 조작을 통해 청크의 전방 포인터를 제어할 수 있습니다. \_IO\_list\_all과의 중첩은 가짜 \_IO\_FILE 구조체를 조작하는 데 사용됩니다. 이 구조체는 libc에서 내부 확인을 통과하는 값으로 설정된 `_IO_write_base` 및 `_IO_write_ptr`와 같은 주요 필드를 포함하도록 주의 깊게 제작됩니다. 또한 가짜 구조체 내에 점프 테이블이 생성되며 명령 포인터가 임의의 코드 (예: `system` 함수)가 실행될 수 있는 주소로 설정됩니다.
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
			`기술의 나머지 부분을 요약하면:`

Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`* 이전 최상위 청크 축소: 이전 최상위 청크의 크기를 0x61로 조정하여 작은 bin에 맞춥니다.`
			* 가짜 `_IO_FILE` 구조체 설정: 이전 최상위 청크와 중첩된 가짜 \_IO\_FILE 구조체를 설정하고 흐름 제어를 탈취합니다.
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`다음 단계는 현재 unsorted bin에 있는 이전 최상위 청크와 중첩되는 가짜 \_IO\_FILE 구조체를 조작하는 것입니다. 이 구조체의 처음 바이트는 조심스럽게 제작되어야 하며 실행될 명령 (예: "/bin/sh")을 가리키는 포인터를 포함해야 합니다.`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			가짜 \_IO\_FILE 구조체의 주요 필드인 `_IO_write_base` 및 `_IO_write_ptr`와 같은 필드는 libc에서 내부 확인을 통과하는 값으로 설정됩니다. 또한 가짜 구조체 내에 점프 테이블이 생성되며 명령 포인터가 임의의 코드가 실행될 수 있는 주소로 설정됩니다. 일반적으로 이는 `system` 함수의 주소 또는 쉘 명령을 실행할 수 있는 다른 함수의 주소일 것입니다.
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			공격은 `malloc` 호출이 조작된 \_IO\_FILE 구조체를 통해 코드 실행을 트리거할 때 완료됩니다. 이를 통해 임의의 코드 실행이 가능해지며 일반적으로 쉘이 생성되거나 다른 악성 페이로드가 실행됩니다.
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
			`공격 요약:`

Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`1. 최상위 청크 설정: 청크를 할당하고 최상위 청크 크기를 수정합니다.`
			`2. 최상위 청크를 unsorted bin으로 강제 이동: 더 큰 청크를 할당합니다.`
			`3. libc 주소 누출: unsorted bin에서 읽기 위해 취약점 사용.`
			`4. unsorted bin 공격 수행: 오버플로우를 사용하여 \_IO\_list\_all에 쓰기.`
			`5. 이전 최상위 청크 축소: 작은 bin에 맞게 크기 조정.`
			`6. 가짜 \_IO\_FILE 구조체 설정: 제어 흐름을 탈취하기 위해 가짜 파일 구조체 조작.`
			`7. 코드 실행 트리거: 공격을 실행하고 임의의 코드 실행.`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			이 접근 방식은 `free`를 직접 호출하지 않고도 코드 실행을 달성하기 위해 힙 관리 메커니즘, libc 정보 누출 및 힙 오버플로우를 악용합니다. 가짜 \_IO\_FILE 구조체를 주의 깊게 제작하고 올바른 위치에 배치하여 표준 메모리 할당 작업 중에 제어 흐름을 탈취할 수 있습니다. 이를 통해 임의의 코드 실행이 가능해지며 일반적으로 쉘 또는 다른 악성 활동이 실행됩니다.
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00			`## 참고 자료`

			`* [https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house\_of\_orange/](https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house\_of\_orange/)`
			`* [https://guyinatuxedo.github.io/43-house\_of\_orange/house\_orange\_exp/index.html](https://guyinatuxedo.github.io/43-house\_of\_orange/house\_orange\_exp/index.html)`

Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`{% hint style="success" %}`
			`AWS 해킹 학습 및 실습:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`GCP 해킹 학습 및 실습: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`<details>`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`<summary>HackTricks 지원</summary>`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`* [구독 요금제](https://github.com/sponsors/carlospolop)를 확인하세요!`
			`* 💬 [디스코드 그룹](https://discord.gg/hRep4RUj7f) 또는 [텔레그램 그룹](https://t.me/peass)에 참여하거나 트위터 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live)를 팔로우하세요.`
			`* 해킹 기법을 공유하고 싶다면 [HackTricks](https://github.com/carlospolop/hacktricks) 및 [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) 깃허브 저장소에 PR을 제출하세요.`
Translated ['binary-exploitation/arbitrary-write-2-exec/aw2exec-__malloc 2024-06-16 09:03:22 +00:00
			`</details>`
Translated ['README.md', 'backdoors/salseo.md', 'binary-exploitation/arb 2024-07-18 17:50:31 +00:00			`{% endhint %}`