hacktricks/binary-exploitation/libc-heap/house-of-force.md

ハウス・オブ・フォース

htARTE（HackTricks AWS Red Team Expert） でAWSハッキングをゼロからヒーローまで学ぶ！

HackTricksをサポートする他の方法：

• HackTricksで企業を宣伝したいかHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
• 公式PEASS＆HackTricksスワッグを入手する
• The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
• 💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローする
• ハッキングテクニックを共有するために、PRを HackTricks と HackTricks Cloud のGitHubリポジトリに提出する

基本情報

コード

• このテクニックは修正されました（こちら）し、このエラーが発生します：malloc(): corrupted top size
• テストしたい場合は、こちらからコードを取得できます。

ゴール

• この攻撃の目標は、特定のアドレスにチャンクを割り当てることです。

必要条件

• ヘッダーのトップチャンクサイズを上書きできるオーバーフロー（例：-1）が許可されるオーバーフロー
• ヒープ割り当てのサイズを制御できること

攻撃

攻撃者がアドレスPにチャンクを割り当てて値を上書きしたい場合、まずトップチャンクサイズを-1で上書きします（おそらくオーバーフローを使用）。これにより、mallocは常に十分なスペースを持つトップチャンクを使用しないため、どの割り当てにもmmapを使用しなくなります。

次に、トップチャンクのアドレスとターゲットスペースを割り当てるための距離を計算します。このサイズでmallocが実行されると、トップチャンクがその位置に移動されます。差分/サイズを簡単に計算する方法は次のとおりです：

// From https://github.com/shellphish/how2heap/blob/master/glibc_2.27/house_of_force.c#L59C2-L67C5
/*
* The evil_size is calulcated as (nb is the number of bytes requested + space for metadata):
* new_top = old_top + nb
* nb = new_top - old_top
* req + 2sizeof(long) = new_top - old_top
* req = new_top - old_top - 2sizeof(long)
* req = target - 2sizeof(long) - old_top - 2sizeof(long)
* req = target - old_top - 4*sizeof(long)
*/

したがって、target - old_top - 4*sizeof(long)のサイズをアロケートすることで（4つのlongは、トップチャンクと新しいチャンクのメタデータのためです）、トップチャンクを上書きしたいアドレスに移動させることができます。
その後、別のmallocを行い、書き込むターゲットアドレスを含むチャンクを取得します。

参考文献と他の例

• https://github.com/shellphish/how2heap/tree/master
• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_force/
• https://heap-exploitation.dhavalkapil.com/attacks/house_of_force
• https://github.com/shellphish/how2heap/blob/master/glibc_2.27/house_of_force.c
• https://guyinatuxedo.github.io/41-house_of_force/house_force_exp/index.html
• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_force/#hitcon-training-lab-11
• このシナリオの目標は、ret2winであり、ret2win関数のアドレスによって呼び出される関数のアドレスを変更する必要があります
• バイナリには、トップチャンクのサイズを変更することができるオーバーフローがあり、これは-1またはp64(0xffffffffffffffff)に変更されます
• 次に、上書きするポインタが存在する場所へのアドレスが計算され、現在のトップチャンクの位置からそこまでの差がmallocでアロケートされます
• 最後に、この望ましいターゲットを含む新しいチャンクがアロケートされ、ret2win関数によって上書きされます
• https://shift--crops-hatenablog-com.translate.goog/entry/2016/03/21/171249?_x_tr_sl=es&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp
• Input your name:には、ヒープからアドレスをリークさせることができる初期の脆弱性があります
• 次に、Org:およびHost:機能では、org nameを求められたときにsポインタの64Bを埋めることができ、スタック上ではv2のアドレスが続き、その後に指定されたhost nameが続きます。その後、strcpyがsの内容をサイズ64Bのチャンクにコピーしようとするため、host nameに入れられたデータでトップチャンクのサイズを上書きすることができます。
• 任意の書き込みが可能になったので、atoiのGOTをprintfのアドレスに上書きしました。%24$pでIO_2_1_stderrのアドレスをリークさせることができ、このlibcリークを使用してatoiのGOTを再度systemのアドレスに上書きし、/bin/shをパラメータとして渡して呼び出すことができました。
• この他の解説で提案されている代替方法は、freeをputsで上書きし、後で解放されるポインタにatoi@gotのアドレスを追加し、それをリークさせ、このリークを使用して再度atoi@gotをsystemに上書きし、/bin/shで呼び出すことができます。
• https://guyinatuxedo.github.io/41-house_of_force/bkp16_cookbook/index.html
• ポインタをクリアせずに解放されたチャンクを再利用できるUAFがあります。いくつかの読み取りメソッドがあるため、ここでGOTにfree関数へのポインタを書き込み、その後read関数を呼び出すことでlibcアドレスをリークさせることができます。
• 次に、UAFを悪用してHouse of forceを使用して、左側のスペースのサイズを-1で上書きし、freeフックに到達するのに十分な大きさのチャンクを割り当て、その後、freeフックを含む別のチャンクを割り当てます。その後、フックにsystemのアドレスを書き込み、チャンクに"/bin/sh"を書き込み、最後にその文字列内容でチャンクを解放します。