hacktricks/binary-exploitation/heap/house-of-einherjar.md

Haus von Einherjar

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

• Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

Grundlegende Informationen

Code

• Überprüfen Sie das Beispiel unter https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c

Ziel

• Das Ziel ist es, Speicher fast an einer bestimmten Adresse zuzuweisen.

Anforderungen

• Off um eins über dem Header des nächsten Chunks, um das prev in use zu ändern
• In der Lage sein, die Daten prev_size zu ändern, die Teil des aktuellen Chunks sind (am Ende)
• Heap-Leak

Angriff

• Es wird ein gefälschter Chunk innerhalb eines vom Angreifer kontrollierten Chunks erstellt, der mit fd und bk auf den ursprünglichen Chunk zeigt, um Schutzmechanismen zu umgehen
• 2 weitere Chunks (B und C) werden erstellt.
• Durch Ausnutzen des Off-by-One im B wird das prev in use-Bit gelöscht und die prev_size-Daten mit dem Unterschied zwischen dem Ort, an dem der C-Chunk allokiert ist, und dem zuvor generierten gefälschten A-Chunk überschrieben.
• Diese prev_size und die Größe des gefälschten Chunks A müssen gleich sein, um Überprüfungen zu umgehen.
• Dann wird der Tcache gefüllt
• Dann wird C freigegeben, damit es sich mit dem gefälschten Chunk A konsolidiert
• Dann wird ein neuer Chunk D erstellt, der im gefälschten A-Chunk beginnt und den B-Chunk abdeckt
• Dann wird B freigegeben und sein fd wird auf die Zieladresse überschrieben, sodass es auf die Zieladresse zeigt und den D-Chunk missbraucht, der ihn enthält.
• Dann werden 2 mallocs durchgeführt, da der zweite die Zieladresse enthalten wird

Referenzen

• https://github.com/shellphish/how2heap/blob/master/glibc_2.35/house_of_einherjar.c

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

• Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.