hacktricks/binary-exploitation/heap/house-of-einherjar.md

# Dom Einherjar

<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) albo **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.

</details>

## Podstawowe informacje

### Kod

* Sprawdź przykład z [https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/house\_of\_einherjar.c](https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/house\_of\_einherjar.c)

### Cel

* Celem jest zaalokowanie pamięci praktycznie pod dowolnym adresem.

### Wymagania

* Błąd o jeden nad nagłówkiem następnego fragmentu w celu zmodyfikowania poprzedniego w użyciu
* Możliwość modyfikacji danych `prev_size`, które są częścią bieżącego fragmentu (na końcu)
* Wyciek sterty

### Atak

* Tworzony jest fałszywy fragment wewnątrz fragmentu kontrolowanego przez atakującego, wskazujący za pomocą `fd` i `bk` na oryginalny fragment w celu ominięcia zabezpieczeń
* Tworzone są 2 inne fragmenty (`B` i `C`).
* Wykorzystując błąd o jeden w fragmencie `B`, bit `prev in use` jest czyszczony, a dane `prev_size` są nadpisywane różnicą między miejscem, w którym jest alokowany fragment `C`, a fałszywym fragmentem `A` wygenerowanym wcześniej.
* Te `prev_size` i rozmiar fałszywego fragmentu `A` muszą być takie same, aby ominąć sprawdzenia.
* Następnie wypełniana jest Tcache
* Następnie `C` jest zwalniane, aby skonsolidowało się z fałszywym fragmentem `A`
* Następnie tworzony jest nowy fragment `D`, który będzie zaczynał się w fałszywym fragmencie `A` i pokrywał fragment `B`
* Następnie zwalniany jest fragment `B`, a jego `fd` jest nadpisywane adresem docelowym, wskazując na adres docelowy, nadużywając fragmentu `D`, który go zawiera.
* Następnie wykonuje się 2 alokacje pamięci, ponieważ druga będzie zawierać adres docelowy

## Referencje

* [https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/house\_of\_einherjar.c](https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/house\_of\_einherjar.c)

<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) albo **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.

</details>
Translated ['binary-exploitation/heap/heap-functions-security-checks.md' 2024-05-14 11:14:54 +00:00			`# Dom Einherjar`

			`<details>`

			`<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`

			`Inne sposoby wsparcia HackTricks:`

			`* Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź [PLANY SUBSKRYPCYJNE](https://github.com/sponsors/carlospolop)!`
			`* Zdobądź [oficjalne gadżety PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Odkryj [Rodzinę PEASS](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [NFT](https://opensea.io/collection/the-peass-family)`
			`* Dołącz do 💬 [grupy Discord](https://discord.gg/hRep4RUj7f) lub [grupy telegramowej](https://t.me/peass) albo śledź nas na Twitterze 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [HackTricks](https://github.com/carlospolop/hacktricks) i [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.`

			`</details>`

			`## Podstawowe informacje`

			`### Kod`

			`* Sprawdź przykład z [https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/house\_of\_einherjar.c](https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/house\_of\_einherjar.c)`

			`### Cel`

			`* Celem jest zaalokowanie pamięci praktycznie pod dowolnym adresem.`

			`### Wymagania`

			`* Błąd o jeden nad nagłówkiem następnego fragmentu w celu zmodyfikowania poprzedniego w użyciu`
			* Możliwość modyfikacji danych `prev_size`, które są częścią bieżącego fragmentu (na końcu)
			`* Wyciek sterty`

			`### Atak`

			* Tworzony jest fałszywy fragment wewnątrz fragmentu kontrolowanego przez atakującego, wskazujący za pomocą `fd` i `bk` na oryginalny fragment w celu ominięcia zabezpieczeń
			* Tworzone są 2 inne fragmenty (`B` i `C`).
			* Wykorzystując błąd o jeden w fragmencie `B`, bit `prev in use` jest czyszczony, a dane `prev_size` są nadpisywane różnicą między miejscem, w którym jest alokowany fragment `C`, a fałszywym fragmentem `A` wygenerowanym wcześniej.
			* Te `prev_size` i rozmiar fałszywego fragmentu `A` muszą być takie same, aby ominąć sprawdzenia.
			`* Następnie wypełniana jest Tcache`
			* Następnie `C` jest zwalniane, aby skonsolidowało się z fałszywym fragmentem `A`
			* Następnie tworzony jest nowy fragment `D`, który będzie zaczynał się w fałszywym fragmencie `A` i pokrywał fragment `B`
			* Następnie zwalniany jest fragment `B`, a jego `fd` jest nadpisywane adresem docelowym, wskazując na adres docelowy, nadużywając fragmentu `D`, który go zawiera.
			`* Następnie wykonuje się 2 alokacje pamięci, ponieważ druga będzie zawierać adres docelowy`

			`## Referencje`

			`* [https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/house\_of\_einherjar.c](https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/house\_of\_einherjar.c)`

			`<details>`

			`<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`

			`Inne sposoby wsparcia HackTricks:`

			`* Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź [PLANY SUBSKRYPCYJNE](https://github.com/sponsors/carlospolop)!`
			`* Zdobądź [oficjalne gadżety PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Odkryj [Rodzinę PEASS](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [NFT](https://opensea.io/collection/the-peass-family)`
			`* Dołącz do 💬 [grupy Discord](https://discord.gg/hRep4RUj7f) lub [grupy telegramowej](https://t.me/peass) albo śledź nas na Twitterze 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [HackTricks](https://github.com/carlospolop/hacktricks) i [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.`

			`</details>`