From fc45026c1cc20c7d551049d5501a17bf19400b2e Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 13 Jun 2024 15:11:18 +0000 Subject: [PATCH] Translated ['binary-exploitation/heap/house-of-einherjar.md', 'binary-ex --- SUMMARY.md | 2 +- .../heap/house-of-einherjar.md | 51 ++++++++--------- binary-exploitation/heap/house-of-lore.md | 42 ++++++++------ binary-exploitation/heap/house-of-spirit.md | 57 +++++++++++++++---- binary-exploitation/heap/tcache-bin-attack.md | 40 ++++++------- 5 files changed, 112 insertions(+), 80 deletions(-) diff --git a/SUMMARY.md b/SUMMARY.md index dd81c9024..cb861a244 100644 --- a/SUMMARY.md +++ b/SUMMARY.md @@ -740,7 +740,7 @@ * [Tcache Bin Attack](binary-exploitation/heap/tcache-bin-attack.md) * [Off by one overflow](binary-exploitation/heap/off-by-one-overflow.md) * [House of Spirit](binary-exploitation/heap/house-of-spirit.md) - * [House of Lore](binary-exploitation/heap/house-of-lore.md) + * [House of Lore | Small bin Attack](binary-exploitation/heap/house-of-lore.md) * [House of Einherjar](binary-exploitation/heap/house-of-einherjar.md) * [House of Force](binary-exploitation/heap/house-of-force.md) * [House of Orange](binary-exploitation/heap/house-of-orange.md) diff --git a/binary-exploitation/heap/house-of-einherjar.md b/binary-exploitation/heap/house-of-einherjar.md index bf2097dfa..c394ade33 100644 --- a/binary-exploitation/heap/house-of-einherjar.md +++ b/binary-exploitation/heap/house-of-einherjar.md @@ -8,7 +8,7 @@ * 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! * 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com) -* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品 +* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品 * **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**。** * 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。 @@ -19,6 +19,7 @@ ### 代码 * 查看示例:[https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/house\_of\_einherjar.c](https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/house\_of\_einherjar.c) +* 或者查看:[https://guyinatuxedo.github.io/42-house\_of\_einherjar/house\_einherjar\_exp/index.html#house-of-einherjar-explanation](https://guyinatuxedo.github.io/42-house\_of\_einherjar/house\_einherjar\_exp/index.html#house-of-einherjar-explanation)(您可能需要填充tcache) ### 目标 @@ -26,36 +27,30 @@ ### 要求 -* 通过下一个块的头部的一个偏移量来修改前一个块的使用情况 -* 能够修改`prev_size`数据,这是当前块的一部分(位于末尾) -* 堆泄漏 +* 当我们想要分配一个块时,创建一个假块: +* 设置指针指向自身以绕过完整性检查 +* 从一个块到另一个块的偏移一个字节,修改前一个块的使用情况 +* 在被滥用的偏移一个字节的块的`prev_size`中指示自身与假块之间的差异 +* 假块的大小也必须设置为相同的大小以绕过完整性检查 +* 要构造这些块,您将需要一个堆泄漏。 ### 攻击 -* 在受攻击者控制的块内创建一个`A`假块,将`fd`和`bk`指向原始块以绕过保护 -* 创建另外2个块(`B`和`C`) -* 利用`B`中的一个偏移量,清除`prev in use`位并用`C`块分配的位置与之前生成的假`A`块之间的差异覆盖`prev_size`数据 -* 这个`prev_size`和假块`A`的大小必须相同以绕过检查 -* 然后填充Tcache -* 然后释放`C`,使其与假块`A`合并 -* 然后创建一个新块`D`,它将从假`A`块开始并覆盖`B`块 -* 然后释放`B`,并将其`fd`覆盖为目标地址,使其指向目标地址,利用包含它的`D`块 -* 然后进行2次malloc,因为第二次malloc将包含目标地址 +* 攻击者在一个受攻击者控制的块内创建一个假块,用`fd`和`bk`指向原始块以绕过保护 +* 分配2个其他块(`B`和`C`) +* 在`B`中滥用偏移一个字节,清除`prev in use`位,并用`C`块分配的位置与之前生成的假`A`块之间的差异覆盖`prev_size`数据 +* 这个`prev_size`和假块`A`中的大小必须相同以绕过检查。 +* 然后,填充tcache +* 然后,释放`C`,使其与假块`A`合并 +* 然后,创建一个新块`D`,它将从假`A`块开始,覆盖`B`块 +* Einherjar之屋到此结束 +* 这可以继续进行快速bin攻击: +* 释放`B`以将其添加到快速bin +* 覆盖`B`的`fd`,使其指向目标地址,滥用包含`B`的`D`块(因为它包含`B`) +* 然后,执行2次malloc,第二次将**分配目标地址** -## 参考资料 +## 参考资料和其他示例 * [https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/house\_of\_einherjar.c](https://github.com/shellphish/how2heap/blob/master/glibc\_2.35/house\_of\_einherjar.c) - -
- -从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家) - -支持HackTricks的其他方式: - -* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! -* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com) -* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品 -* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**。** -* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。 - -
+* [https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house\_of\_einherjar/#2016-seccon-tinypad](https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house\_of\_einherjar/#2016-seccon-tinypad) +* 释放指针后它们不会被置空,因此仍然可以访问它们的数据。因此,在未排序的bin中放置一个块,并泄漏它包含的指针(libc泄漏),然后在未排序的bin中放置一个新堆,并从它获得的指针中泄漏一个堆地址。 diff --git a/binary-exploitation/heap/house-of-lore.md b/binary-exploitation/heap/house-of-lore.md index d3137a2ff..0809361cc 100644 --- a/binary-exploitation/heap/house-of-lore.md +++ b/binary-exploitation/heap/house-of-lore.md @@ -1,4 +1,4 @@ -# House of Lore +# House of Lore | Small bin Attack
@@ -6,9 +6,9 @@ 支持HackTricks的其他方式: -* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! +* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! * 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com) -* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family) +* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs收藏品**](https://opensea.io/collection/the-peass-family) * **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**。** * 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。 @@ -18,33 +18,43 @@ ### 代码 +* 查看来自[https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house\_of\_lore/](https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house\_of\_lore/)的代码 * 这个不起作用 -* 查看来自[https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house\_of\_lore/](https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house\_of\_lore/)的内容 * 或者:[https://github.com/shellphish/how2heap/blob/master/glibc\_2.39/house\_of\_lore.c](https://github.com/shellphish/how2heap/blob/master/glibc\_2.39/house\_of\_lore.c) +* 即使尝试绕过一些检查也不起作用,会出现错误:`malloc(): unaligned tcache chunk detected` +* 这个示例仍在起作用**:[**https://guyinatuxedo.github.io/40-house\_of\_lore/house\_lore\_exp/index.html**](https://guyinatuxedo.github.io/40-house\_of\_lore/house\_lore\_exp/index.html) ### 目标 -* 在小型bin中插入一个虚假的小块,以便可以分配它。 +* 在小型bin中插入一个**伪造的小块,然后可以分配它**。\ +请注意,添加的小块是攻击者创建的伪造的小块,而不是在任意位置创建的伪造的小块。 ### 要求 -* 创建虚假块 -* 知道受害者块和虚假块的地址 -* 能够修改`bk`和`fd`指针 +* 创建2个伪造的块,并将它们与合法块链接: +* `fake0.bk` -> `fake1` +* `fake1.fd` -> `fake0` +* `fake0.fd` -> `legit`(您需要通过其他漏洞修改释放的小块中的指针) +* `legit.bk` -> `fake0` + +然后您将能够分配`fake0`。 ### 攻击 -* 分配一个受害者小块 -* 攻击者生成一对虚假小块,并使第一个虚假块的`fd`指向一个真实块,`bk`指向第二个虚假块。同时使第二个虚假块的`bk`指向第一个虚假块。 -* 然后,分配一个新的大块以防止第一个块在释放时合并到顶部块中 -* 然后释放初始指针,并分配一个更大尺寸的第二个指针,以便释放的初始小块被放置在小型bin中。 -* 修改真实小块,使其`bk`指针指向虚假块。 -* 然后,当分配这个大小的2个块时,它们首先获取有效块,然后获取由攻击者控制的无效块。 +* 分配一个小块(`legit`),然后分配另一个块以防止与顶部块合并。然后释放`legit`(将其移动到未排序列表),然后分配一个较大的块,**将`legit`移动到小型bin中**。 +* 攻击者生成一对伪造的小块,并进行必要的链接以绕过完整性检查: +* `fake0.bk` -> `fake1` +* `fake1.fd` -> `fake0` +* `fake0.fd` -> `legit`(您需要通过其他漏洞修改释放的小块中的指针) +* `legit.bk` -> `fake0` +* 分配一个小块以获取`legit`,将**`fake0`**置于小型bin的顶部列表 +* 再分配一个小块,获取`fake0`作为一个块,从而有可能读取/写入其中的指针。 ## 参考资料 * [https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house\_of\_lore/](https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house\_of\_lore/) * [https://heap-exploitation.dhavalkapil.com/attacks/house\_of\_lore](https://heap-exploitation.dhavalkapil.com/attacks/house\_of\_lore) +* [https://guyinatuxedo.github.io/40-house\_of\_lore/house\_lore\_exp/index.html](https://guyinatuxedo.github.io/40-house\_of\_lore/house\_lore\_exp/index.html)
@@ -52,9 +62,9 @@ 支持HackTricks的其他方式: -* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! +* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! * 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com) -* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family) +* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs收藏品**](https://opensea.io/collection/the-peass-family) * **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**。** * 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。 diff --git a/binary-exploitation/heap/house-of-spirit.md b/binary-exploitation/heap/house-of-spirit.md index 6632600fa..7c062f9b0 100644 --- a/binary-exploitation/heap/house-of-spirit.md +++ b/binary-exploitation/heap/house-of-spirit.md @@ -69,16 +69,51 @@ return 0; ### 目标 -* 能够将任意地址添加到 tcache / fast bin 中,以便在调用 malloc 时将其用于一个块中 +* 能够将一个地址添加到 tcache / fast bin 中,以便稍后可以分配它 ### 要求 -* 此攻击需要攻击者能够创建几个虚假的 fast chunks,并正确指示其大小值,并覆盖一个将要被释放的具有相同大小的 fast chunk,以便攻击者的块实际上是进入 fast bin 中的块。 +* 此攻击需要攻击者能够创建几个虚假的 fast chunks,并正确指示其大小值,然后能够释放第一个虚假块,使其进入 bin。 ### 攻击 -* 创建一个绕过安全检查的虚假块(您将需要 2 个虚假块) -* 在指针被释放之前,用虚假块覆盖它,以便它进入 bin 中 +* 创建绕过安全检查的虚假块:基本上需要 2 个虚假块,在正确的位置指示正确的大小 +* 以某种方式释放第一个虚假块,使其进入 fast 或 tcache bin,然后将其分配以覆盖该地址 + +**来自** [**guyinatuxedo**](https://guyinatuxedo.github.io/39-house\_of\_spirit/house\_spirit\_exp/index.html) **的代码非常适合理解这种攻击。** 尽管代码中的此图表总结得非常好: +```c +/* +this will be the structure of our two fake chunks: +assuming that you compiled it for x64 + ++-------+---------------------+------+ +| 0x00: | Chunk # 0 prev size | 0x00 | ++-------+---------------------+------+ +| 0x08: | Chunk # 0 size | 0x60 | ++-------+---------------------+------+ +| 0x10: | Chunk # 0 content | 0x00 | ++-------+---------------------+------+ +| 0x60: | Chunk # 1 prev size | 0x00 | ++-------+---------------------+------+ +| 0x68: | Chunk # 1 size | 0x40 | ++-------+---------------------+------+ +| 0x70: | Chunk # 1 content | 0x00 | ++-------+---------------------+------+ + +for what we are doing the prev size values don't matter too much +the important thing is the size values of the heap headers for our fake chunks +*/ +``` +{% hint style="info" %} +请注意,需要创建第二个块以绕过一些健全性检查。 +{% endhint %} + +## 示例 + +* CTF [https://guyinatuxedo.github.io/39-house\_of\_spirit/hacklu14\_oreo/index.html](https://guyinatuxedo.github.io/39-house\_of\_spirit/hacklu14\_oreo/index.html) +* **Libc信息泄漏**:通过溢出,可以更改指针以指向GOT地址,从而通过CTF的读取操作泄漏libc地址 +* **House of Spirit**:滥用计数器,计算“步枪”的数量,可以生成第一个虚假块的虚假大小,然后滥用“消息”,可以伪造块的第二个大小,最后通过溢出,可以更改将要被释放的指针,使我们的第一个虚假块被释放。然后,我们可以分配它,并且其中将包含“消息”存储的地址。然后,可以使其指向GOT表中的`scanf`入口,以便我们可以用system的地址覆盖它。\ +下次调用`scanf`时,我们可以发送输入`"/bin/sh"`并获得一个shell。 ## 参考 @@ -86,14 +121,14 @@ return 0;
-从零开始学习 AWS 黑客技术 htARTE(HackTricks AWS 红队专家) +从零开始学习AWS黑客技术 htARTE(HackTricks AWS Red Team Expert) -支持 HackTricks 的其他方式: +支持HackTricks的其他方式: -* 如果您想在 HackTricks 中看到您的 **公司广告** 或 **下载 PDF 版本的 HackTricks**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)! -* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com) -* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family) -* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**。** -* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。 +* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! +* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com) +* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family) +* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注**我们。 +* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
diff --git a/binary-exploitation/heap/tcache-bin-attack.md b/binary-exploitation/heap/tcache-bin-attack.md index 21bdd2279..d1eeb9f94 100644 --- a/binary-exploitation/heap/tcache-bin-attack.md +++ b/binary-exploitation/heap/tcache-bin-attack.md @@ -9,7 +9,7 @@ * 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! * 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com) * 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family) -* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**。** +* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**。** * 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
@@ -24,37 +24,29 @@ 首先,请注意Tcache是在glibc版本2.26中引入的。 -[guyinatuxido页面](https://guyinatuxedo.github.io/29-tcache/tcache\_explanation/index.html)提出的**Tcache**攻击与快速bin攻击非常相似,其目标是覆盖已释放块中bin内下一个块的指针到任意地址,以便稍后**分配该特定地址并潜在地覆盖指针**。 +[guyinatuxido页面](https://guyinatuxedo.github.io/29-tcache/tcache\_explanation/index.html)提出的**Tcache**攻击与快速bin攻击非常相似,目标是覆盖已释放块内的bin中下一个块的指针,使其指向任意地址,以便**分配该特定地址并潜在地覆盖指针**。 -然而,现在,如果运行上述代码,将会收到错误:**`malloc(): unaligned tcache chunk detected`**。因此,需要在新指针中写入对齐的地址(或者执行足够多次二进制文件,以便写入的地址实际上是对齐的)。 +然而,现在,如果运行上述代码,将会出现错误:**`malloc(): unaligned tcache chunk detected`**。因此,需要在新指针中写入对齐的地址(或者执行足够多次二进制文件,以便写入的地址实际上是对齐的)。 ### Tcache索引攻击 -通常可以在堆的开头找到一个包含tcache中**每个索引中块的数量**和**每个tcache索引的头块地址**的块。如果由于某种原因可以修改此信息,则可以**使某个索引的头块指向所需地址**(如malloc hook),然后分配一个与索引大小相同的块并覆盖此情况下的malloc hook内容。 +通常可以在堆的开头找到一个包含tcache中**每个索引的块数量**和**每个tcache索引的头块地址**的块。如果由于某种原因可以修改此信息,则可以**使某个索引的头块指向所需地址**(如malloc hook),然后分配一个与该索引大小相同的块并覆盖此情况下的malloc hook内容。 ## 示例 * CTF [https://guyinatuxedo.github.io/29-tcache/dcquals19\_babyheap/index.html](https://guyinatuxedo.github.io/29-tcache/dcquals19\_babyheap/index.html) -* **Libc信息泄漏**:可以填充tcaches,将一个块添加到未排序列表中,清空tcache,然后**从未排序bin中重新分配块**,仅覆盖前8B,保留块的第二个地址到libc的地址,以便读取它。 -* **Tcache攻击**:二进制文件存在1B堆溢出漏洞。这将被滥用来更改已分配块的**大小标头**,使其更大。然后,释放此块,将其添加到具有虚假大小的块的tcache中。然后,我们将分配一个具有伪造大小的块,并且先前的块将**返回,知道此块实际上更小**,这为**覆盖内存中的下一个块**提供了机会。\ -我们将滥用此功能来**覆盖下一个块的FD指针**,使其指向**`malloc_hook`**,然后可以分配2个指针:首先是我们刚修改的合法指针,然后第二次分配将返回一个在**`malloc_hook`**中的块,可以滥用以编写**一个gadget**。 +* **Libc信息泄漏**:可以填充tcaches,将一个块添加到未排序列表中,清空tcache,然后**从未排序bin中重新分配该块**,仅覆盖前8B,保留块中的第二个地址以便我们可以读取libc的地址。 +* **Tcache攻击**:二进制文件存在1B堆溢出漏洞。这将被利用来更改已分配块的**大小标头**,使其更大。然后,释放此块,将其添加到具有虚假大小的块的tcache中。然后,我们将分配一个具有伪造大小的块,之前的块将被**返回,知道此块实际上更小**,这为**覆盖内存中的下一个块**提供了机会。\ +我们将利用此漏洞**将下一个块的FD指针覆盖**为指向**`malloc_hook`**,然后就可以分配2个指针:首先是我们刚修改的合法指针,然后第二次分配将返回一个在**`malloc_hook`**中的块,可以利用它来写入**一个gadget**。 * CTF [https://guyinatuxedo.github.io/29-tcache/plaid19\_cpp/index.html](https://guyinatuxedo.github.io/29-tcache/plaid19\_cpp/index.html) * **Libc信息泄漏**:存在使用后释放和双重释放。在此解决方案中,作者通过读取放置在小bin中的块的地址泄漏了libc的地址(类似于从未排序bin中泄漏,但是从小bin中泄漏)。 -* **Tcache攻击**:通过**双重释放**执行Tcache。同一块被释放两次,因此在Tcache内,该块将指向自身。然后,它被分配,其FD指针被修改为指向**free hook**,然后再次分配,因此列表中的下一个块将位于free hook中。然后,这也被分配,并且可以将`system`的地址写入其中,因此当包含`"/bin/sh"`的malloc被释放时,我们将获得一个shell。 +* **Tcache攻击**:通过**双重释放**执行Tcache。同一块被释放两次,因此在Tcache中,该块将指向自身。然后,它被分配,其FD指针被修改为指向**free hook**,然后再次分配,因此列表中的下一个块将位于free hook中。然后,这也被分配,可以将`system`的地址写入其中,因此当包含`"/bin/sh"`的malloc被释放时,我们就可以获得shell。 * CTF [https://guyinatuxedo.github.io/44-more\_tcache/csaw19\_popping\_caps0/index.html](https://guyinatuxedo.github.io/44-more\_tcache/csaw19\_popping\_caps0/index.html) -* **Tcache索引攻击**:可以分配和释放一个大小的块,当存储在tcache信息中时,将生成一个具有值0x100的**位置**(因为该字节指示该索引中存储了多少块)。然后,滥用此值,可以将此地址释放,因为看起来它是大小为0x100的块。这将在tcache中的大小为0x100的块的索引中添加该地址。\ -然后,分配一个大小为0x100的块,可以覆盖其他tcache索引的初始块地址。例如,在其中放置malloc hook地址,并分配一个该索引大小的块,将授予一个在calloc hook中的块,从而允许编写一个gadget以获得一个shell。 - -
- -从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家) - -支持HackTricks的其他方式: - -* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! -* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com) -* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family) -* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**。** -* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。 - -
+* 这里的主要漏洞是可以通过指定其偏移量来`free`堆中的任何地址 +* **Tcache索引攻击**:可以分配和释放一个大小的块,当存储在tcache块中(包含tcache bin信息的块)时,将生成一个值为0x100的地址。这是因为tcache在不同字节中存储每个bin中的块数量,因此一个特定索引中的一个块会生成值0x100。 +* 然后,此值看起来像是一个大小为0x100的块。通过`free`此地址,将**将该地址添加到tcache中大小为0x100的块的索引**中。 +* 然后,**分配**一个大小为**0x100**的块,之前的地址将作为一个块返回,允许覆盖其他tcache索引。\ +例如,将malloc hook的地址放入其中一个索引中,并分配该索引大小的块,将授予在calloc hook中获得一个块的机会,从而可以编写一个gadget以获取shell。 +* CTF [https://guyinatuxedo.github.io/44-more\_tcache/csaw19\_popping\_caps1/index.html](https://guyinatuxedo.github.io/44-more\_tcache/csaw19\_popping\_caps1/index.html) +* 与之前相同的漏洞,但有一个额外的限制 +* **Tcache索引攻击**:类似于前一个攻击,但使用更少的步骤,通过**释放包含tcache信息的块**,使其地址添加到其大小的tcache索引中,因此可以分配该大小并将tcache块信息作为一个块,从而可以将free hook添加为一个索引的地址,分配它,并在其上编写一个gadget。