hacktricks/binary-exploitation/heap/house-of-orange.md

House of Orange

Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι υποστήριξης του HackTricks:

• Αν θέλετε να δείτε την εταιρεία σας διαφημισμένη στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
• Αποκτήστε το επίσημο PEASS & HackTricks swag
• Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα τηλεγραφήματος ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα αποθετήρια HackTricks και HackTricks Cloud στο GitHub.

Βασικές Πληροφορίες

Κώδικας

• Βρείτε ένα παράδειγμα στο https://github.com/shellphish/how2heap/blob/master/glibc_2.23/house_of_orange.c
• Η τεχνική εκμετάλλευσης διορθώθηκε σε αυτό το patch οπότε αυτό δεν λειτουργεί πλέον (λειτουργεί σε παλαιότερες εκδόσεις από 2.26)
• Ίδιο παράδειγμα με περισσότερα σχόλια στο https://guyinatuxedo.github.io/43-house_of_orange/house_orange_exp/index.html

Στόχος

• Κατάχρηση της λειτουργίας malloc_printerr

Απαιτήσεις

• Αντικατάσταση του μεγέθους του κορυφαίου τμήματος (top chunk)
• Διαρροή Libc και heap

Υπόβαθρο

Κάποιες απαραίτητες πληροφορίες από τα σχόλια από αυτό το παράδειγμα:

Το θέμα είναι ότι, σε παλαιότερες εκδόσεις της libc, όταν καλούνταν η λειτουργία malloc_printerr θα επαναλάμβανε μια λίστα από δομές _IO_FILE που αποθηκεύονταν στο _IO_list_all, και πραγματικά εκτελούσε ένα δείκτη εντολών σε αυτή τη δομή.
Αυτή η επίθεση θα δημιουργήσει μια ψεύτικη δομή _IO_FILE την οποία θα γράψουμε στο _IO_list_all, και θα προκαλέσει την εκτέλεση της malloc_printerr.
Στη συνέχεια θα εκτελέσει οποιαδήποτε διεύθυνση έχουμε αποθηκευμένη στους δείκτες άλματος των δομών _IO_FILE, και θα λάβουμε εκτέλεση κώδικα

Επίθεση

Η επίθεση ξεκινά με τον χειρισμό για να πάρουμε το top chunk μέσα στο unsorted bin. Αυτό επιτυγχάνεται καλώντας την malloc με ένα μέγεθος μεγαλύτερο από το τρέχον μέγεθος του top chunk αλλά μικρότερο από το mmp_.mmap_threshold (προεπιλεγμένο είναι το 128ΚΒ), το οποίο αλλιώς θα ενεργοποιούσε την εκχώρηση mmap. Κάθε φορά που το μέγεθος του top chunk τροποποιείται, είναι σημαντικό να διασφαλιστεί ότι το top chunk + το μέγεθός του είναι σε σελιδοποίηση και ότι το bit prev_inuse του top chunk είναι πάντα ορισμένο.

Για να πάρουμε το top chunk μέσα στο unsorted bin, εκχωρήστε ένα κομμάτι για να δημιουργήσετε το top chunk, αλλάξτε το μέγεθος του top chunk (με έκρηξη στο εκχωρημένο κομμάτι) έτσι ώστε το top chunk + μέγεθος να είναι σε σελιδοποίηση με το bit prev_inuse να είναι ορισμένο. Στη συνέχεια εκχωρήστε ένα κομμάτι μεγαλύτερο από το νέο μέγεθος του top chunk. Σημειώστε ότι το free δεν καλείται ποτέ για να πάρει το top chunk στο unsorted bin.

Το παλιό top chunk είναι τώρα στο unsorted bin. Υποθέτοντας ότι μπορούμε να διαβάσουμε δεδομένα μέσα σε αυτό (πιθανώς λόγω μιας ευπάθειας που προκάλεσε επίσης την έκρηξη), είναι δυνατό να διαρρεύσουμε διευθύνσεις Libc από αυτό και να πάρουμε τη διεύθυνση του _IO_list_all.

Μια επίθεση στο unsorted bin πραγματοποιείται καταχρώμενη την έκρηξη για να γράψει topChunk->bk->fwd = _IO_list_all - 0x10. Όταν εκχωρηθεί ένα νέο κομμάτι, το παλιό top chunk θα χωριστεί, και ένας δείκτης στο unsorted bin θα γραφτεί στο _IO_list_all.

Το επόμενο βήμα περιλαμβάνει τη συρρίκνωση του μεγέθους του παλιού top chunk για να χωρέσει σε ένα μικρό bin, συγκεκριμένα να ορίσει το μέγεθός του σε 0x61. Αυτό εξυπηρετεί δύο σκοπούς:

1. Εισαγωγή στο Small Bin 4: Όταν η malloc σαρώνει το unsorted bin και βλέπει αυτό το κομμάτι, θα προσπαθήσει να το εισάγει στο small bin 4 λόγω του μικρού μεγέθους του. Αυτό κάνει το κομμάτι να καταλήξει στην κορυφή της λίστας small bin 4 που είναι η τοποθεσία του δείκτη FD του κομματιού του _IO_list_all καθώς γράψαμε μια κοντινή διεύθυνση στο _IO_list_all μέσω της επίθεσης στο unsorted bin.
2. Ενεργοποίηση ελέγχου Malloc: Αυτή η διαμόρφωση μεγέθους κομματιού θα προκαλέσει την malloc να πραγματοποιήσει εσωτερικούς ελέγχους. Όταν ελέγχει το μέγεθος του Ϩεύθος κομματιού που ακολουθεί, το οποίο θα είναι μηδέν, προκαλεί ένα σφάλμα και καλεί την malloc_printerr.

Η διαχείριση του μικρού bin θα σας επιτρέψει να ελέγξετε τον μπροστινό δείκτη του κομματιού. Η επικάλυψη με το _IO_list_all χρησιμοποιείται για να δημιουργήσετε μια ψεύτικη δομή _IO_FILE. Η δομή διαμορφώνεται προσεκτικά για να περιλαμβάνει βασικά πεδία όπως _IO_write_base και _IO_write_ptr που ορίζονται σε τιμές που περνούν εσωτερικούς ελέγχους στην libc. Επιπλέον, δημιουργείται ένας πίνακας άλματος μέσα στη ψεύτικη δομή, όπου ένας δείκτης εντολών ορίζεται στη διεύθυνση όπου μπορεί να εκτελεστεί αυθαίρετος κώδικας (π.χ., η λειτουργία system).

Για να συνοψίσουμε το υπόλοιπο μέρος της τεχνικής:

• Συρρίκνωση του Παλιού Top Chunk: Ρυθμίστε το μέγεθος του παλιού top chunk σε 0x61 για να το χωρέσετε σε ένα μικρό bin.
• **Δημιουργ

Αναφορές

• https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/house_of_orange/
• https://guyinatuxedo.github.io/43-house_of_orange/house_orange_exp/index.html

Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι υποστήριξης του HackTricks:

• Αν θέλετε να δείτε την εταιρεία σας διαφημισμένη στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
• Αποκτήστε το επίσημο PEASS & HackTricks swag
• Ανακαλύψτε Την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
• Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια στο GitHub.