hacktricks/binary-exploitation/heap/house-of-lore.md

House of Lore | Small bin Attack

ゼロからヒーローまでAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法：

• HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合はSUBSCRIPTION PLANSをチェックしてください！
• 公式PEASS＆HackTricksグッズを入手する
• The PEASS Familyを発見し、独占的なNFTsのコレクションを見る
• 💬 Discordグループに参加するか、telegramグループに参加するか、Twitterで@hacktricks_liveをフォローする🐦 @hacktricks_live.
• ハッキングテクニックを共有するために HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出する。

基本情報

コード

• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/から確認してください
• これは機能しません
• または：https://github.com/shellphish/how2heap/blob/master/glibc_2.39/house_of_lore.c
• これはいくつかのチェックをバイパスしようとしてエラーが発生するため、機能しません：malloc(): unaligned tcache chunk detected
• この例はまだ機能しています**：** https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html

ゴール

• 小さなビンに偽の小さなチャンクを挿入して、それを割り当てることができるようにする。
  追加された小さなチャンクは攻撃者が作成する偽のものであり、任意の位置に偽のものではありません。

必要条件

• 2つの偽のチャンクを作成し、それらと正当なチャンクをリンクして小さなビンにリンクする：
• fake0.bk -> fake1
• fake1.fd -> fake0
• fake0.fd -> legit（他の脆弱性を介して解放された小さなビンのチャンク内のポインタを変更する必要があります）
• legit.bk -> fake0

その後、fake0を割り当てることができます。

攻撃

• 小さなチャンク（legit）が割り当てられ、次にトップチャンクと統合されるのを防ぐために別のチャンクが割り当てられます。その後、legitが解放され（未整列リストに移動）、より大きなチャンクが割り当てられ、legitが小さなビンに移動します。
• 攻撃者はいくつかの偽の小さなチャンクを生成し、サニティチェックをバイパスするために必要なリンクを作成します：
• fake0.bk -> fake1
• fake1.fd -> fake0
• fake0.fd -> legit（他の脆弱性を介して解放された小さなビンのチャンク内のポインタを変更する必要があります）
• legit.bk -> fake0
• 小さなチャンクが割り当てられ、legitを取得し、**fake0**を小さなビンのトップリストにします
• 別の小さなチャンクが割り当てられ、チャンクとしてfake0を取得し、その内部のポインタを読み取り/書き込みする可能性があります。

参考文献

• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_lore/
• https://heap-exploitation.dhavalkapil.com/attacks/house_of_lore
• https://guyinatuxedo.github.io/40-house_of_lore/house_lore_exp/index.html

ゼロからヒーローまでAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法：

• HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合はSUBSCRIPTION PLANSをチェックしてください！
• 公式PEASS＆HackTricksグッズを入手する
• The PEASS Familyを発見し、独占的なNFTsのコレクションを見る
• 💬 Discordグループに参加するか、telegramグループに参加するか、Twitterで@hacktricks_liveをフォローする🐦 @hacktricks_live.
• ハッキングテクニックを共有するために HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出する。