hacktricks/binary-exploitation/libc-heap/house-of-force.md

フォースハウス

{% hint style="success" %} AWSハッキングの学習と練習:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングの学習と練習: HackTricks Training GCP Red Team Expert (GRTE)

HackTricksのサポート

• サブスクリプションプランをチェック！
• 💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
• HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

{% endhint %}

基本情報

コード

• このテクニックは修正されました (こちら) 、エラー malloc(): corrupted top size が発生します。
• テストしたい場合は、こちらのコード を試すことができます。

ゴール

• この攻撃の目的は、特定のアドレスにチャンクを割り当てることです。

必要条件

• 上部チャンクヘッダーのサイズを上書きできるオーバーフローが必要です（例: -1）。
• ヒープ割り当てのサイズを制御できる必要があります。

攻撃

攻撃者がアドレスPにチャンクを割り当てて値を上書きしたい場合、まずトップチャンクのサイズを -1 で上書きします（おそらくオーバーフローを使用）。これにより、mallocは常に十分なスペースを持つトップチャンクを使用しないため、任意の割り当てにmmapを使用しなくなります。

次に、トップチャンクのアドレスとターゲットスペースを割り当てるための距離を計算します。このためには、そのサイズでmallocが実行され、トップチャンクがその位置に移動するために必要な距離が簡単に計算できます。

// From https://github.com/shellphish/how2heap/blob/master/glibc_2.27/house_of_force.c#L59C2-L67C5
/*
* The evil_size is calulcated as (nb is the number of bytes requested + space for metadata):
* new_top = old_top + nb
* nb = new_top - old_top
* req + 2sizeof(long) = new_top - old_top
* req = new_top - old_top - 2sizeof(long)
* req = target - 2sizeof(long) - old_top - 2sizeof(long)
* req = target - old_top - 4*sizeof(long)
*/

したがって、target - old_top - 4*sizeof(long)のサイズを割り当てること（4つのlongは、トップチャンクと新しいチャンクのメタデータのためです）により、トップチャンクを上書きしたいアドレスに移動させることができます。
その後、ターゲットアドレスで別のmallocを行います。

参考文献と他の例

• https://github.com/shellphish/how2heap/tree/master
• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_force/
• https://heap-exploitation.dhavalkapil.com/attacks/house_of_force
• https://github.com/shellphish/how2heap/blob/master/glibc_2.27/house_of_force.c
• https://guyinatuxedo.github.io/41-house_of_force/house_force_exp/index.html
• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_force/#hitcon-training-lab-11
• このシナリオの目標は、ret2winであり、呼び出される関数のアドレスをret2win関数のアドレスに変更する必要があります
• バイナリには、トップチャンクのサイズを変更することができるオーバーフローがあり、これを-1またはp64(0xffffffffffffffff)に変更します
• 次に、上書きするポインタが存在する場所へのアドレスが計算され、現在のトップチャンクの位置からそこまでの差がmallocで割り当てられます
• 最後に、この望ましいターゲットを含む新しいチャンクが割り当てられ、ret2win関数によって上書きされます
• https://shift--crops-hatenablog-com.translate.goog/entry/2016/03/21/171249?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp
• Input your name:には、ヒープからアドレスをリークさせることができる初期の脆弱性があります
• 次に、Org:およびHost:機能では、org nameを求められたときにsポインタの64Bを埋めることができ、スタック上ではv2のアドレスが続き、その後に指定されたhost nameが続きます。その後、strcpyがsの内容をサイズ64Bのチャンクにコピーしようとするため、host nameに入れたデータでトップチャンクのサイズを上書きすることができます。
• 今、任意の書き込みが可能になったので、atoiのGOTをprintfのアドレスに上書きしました。その後、%24$pでIO_2_1_stderrのアドレスをリークさせることができ、このlibcリークを使用してatoiのGOTを再度systemのアドレスに上書きし、/bin/shをパラメータとして渡して呼び出すことができました。
• この他の解説で提案されている代替方法は、freeをputsで上書きし、後で解放されるポインタにatoi@gotのアドレスを追加し、それをリークさせ、このリークを使用して再度atoi@gotをsystemに上書きし、/bin/shで呼び出すことができます。
• https://guyinatuxedo.github.io/41-house_of_force/bkp16_cookbook/index.html
• ポインタをクリアせずに解放されたチャンクを再利用するUAFがあります。いくつかの読み取りメソッドがあるため、ここでGOTにfree関数へのポインタを書き込み、その後read関数を呼び出すことでlibcアドレスをリークさせることができます。
• 次に、UAFを悪用してHouse of forceを使用して、左側のスペースのサイズを-1で上書きし、freeフックに到達するのに十分な大きさのチャンクを割り当て、その後、freeフックを含む別のチャンクを割り当てます。その後、フックにsystemのアドレスを書き込み、チャンクに"/bin/sh"を書き込み、最後にその文字列内容でチャンクを解放します。