hacktricks/binary-exploitation/heap/house-of-lore.md

Kuća Lore | Napad malim binom

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

• Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
• Nabavite zvanični PEASS & HackTricks swag
• Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
• Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
• Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Osnovne informacije

Kod

• Proverite sa https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/
• Ovo ne radi
• Ili: https://github.com/shellphish/how2heap/blob/master/glibc_2.39/house_of_lore.c
• Ovo ne radi čak i ako pokušava da zaobiđe neke provere dobijajući grešku: malloc(): unaligned tcache chunk detected
• Ovaj primer i dalje radi**:** https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html

Cilj

• Ubaciti lažan mali blok u mali bin kako bi bilo moguće alocirati ga.
  Imajte na umu da je dodati mali blok lažan, napadač ga kreira, a ne lažan blok na proizvoljnoj poziciji.

Zahtevi

• Kreirajte 2 lažna bloka i povežite ih sa njima i sa legitimnim blokom u malom binu:
• lažan0.bk -> lažan1
• lažan1.fd -> lažan0
• lažan0.fd -> legit (morate da modifikujete pokazivač u oslobođenom malom bloku preko neke druge ranjivosti)
• legit.bk -> lažan0

Tada ćete moći da alocirate lažan0.

Napad

• Mali blok (legit) je alociran, zatim je alociran još jedan da se spreči konsolidacija sa vršnim blokom. Zatim, legit je oslobođen (premešten u nesortiranu listu) i alociran je veći blok, premeštajući legit u mali bin.
• Napadač generiše par lažnih malih blokova i vrši potrebno povezivanje da bi zaobišao provere ispravnosti:
• lažan0.bk -> lažan1
• lažan1.fd -> lažan0
• lažan0.fd -> legit (morate da modifikujete pokazivač u oslobođenom malom bloku preko neke druge ranjivosti)
• legit.bk -> lažan0
• Mali blok je alociran da bi se dobio legit, čime se lažan0 stavlja na vrh liste malih blokova
• Još jedan mali blok je alociran, dobijajući lažan0 kao blok, omogućavajući potencijalno čitanje/pisanje pokazivača unutar njega.

Reference

• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/
• https://heap-exploitation.dhavalkapil.com/attacks/house_of_lore
• https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

• Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
• Nabavite zvanični PEASS & HackTricks swag
• Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
• Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
• Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.