hacktricks/binary-exploitation/libc-heap/house-of-einherjar.md

House of Einherjar

AWSハッキングをゼロからヒーローまで学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法：

• HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
• 公式PEASS＆HackTricksグッズを入手する
• The PEASS Familyを発見し、独占的なNFTsのコレクションを見る
• 💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦で私たちをフォローする @hacktricks_live。
• HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。

基本情報

コード

• https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.cから例を確認してください
• またはhttps://guyinatuxedo.github.io/42-house_of_einherjar/house_einherjar_exp/index.html#house-of-einherjar-explanationから（tcacheを埋める必要があるかもしれません）

ゴール

• ほぼ任意の特定のアドレスにメモリを割り当てることです。

必要条件

• チャンクを割り当てるときに偽のチャンクを作成します：
• サニティチェックをバイパスするためにポインタを自分自身を指すように設定します
• 1バイトのオーバーフローを使用して、1つのチャンクから次のチャンクにヌルバイトを流し込み、PREV_INUSEフラグを変更します。
• オフバイヌルを悪用したチャンクのprev_sizeに、自身と偽のチャンクとの間の差を示します
• 偽のチャンクのサイズもサニティチェックをバイパスするために同じサイズに設定されている必要があります
• これらのチャンクを構築するには、ヒープリークが必要です。

攻撃

• 攻撃者が制御するチャンク内に偽のチャンクが作成され、fdとbkが元のチャンクを指すようにして保護をバイパスします
• 他の2つのチャンク（BとC）が割り当てられます
• Bのオフバイワンを悪用して、prev in useビットがクリアされ、prev_sizeデータがCチャンクが割り当てられる場所から前に生成された偽のAチャンクまでの差で上書きされます
• このprev_sizeと偽のチャンクAのサイズは、チェックをバイパスするために同じである必要があります。
• 次に、tcacheを埋めます
• 次に、Cを解放して、偽のチャンクAと統合します
• 次に、偽のAチャンクで始まり、Bチャンクをカバーする新しいチャンクDが作成されます
• Einherjarのハウスはここで終わります
• これは、ファストビンアタックまたはTcacheポイズニングで続けることができます：
• Bを解放して、それをファストビン/ Tcacheに追加します
• Bのfdを上書きして、Dチャンクを悪用してターゲットアドレスを指すようにします（Bが内部に含まれているため）
• 次に、2つのmallocを行い、2番目のmallocがターゲットアドレスを割り当てることになります

参考文献と他の例

• https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c
• CTF https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_einherjar/#2016-seccon-tinypad
• ポインタを解放した後、それらがヌル化されないため、データにアクセスできる可能性があります。したがって、未整列ビンにチャンクを配置し、それが含むポインタをリークします（libcリーク）、次に新しいヒープを未整列ビンに配置し、それが取得するポインタからヒープアドレスをリークします。
• baby-talk. DiceCTF 2024
• strtokでのヌルバイトオーバーフローバグ。
• House of Einherjarを使用してオーバーラップするチャンクの状況を取得し、Tcacheポイズニングで任意の書き込み原始を取得します。