House of Einherjar

最新推荐文章于 2023-11-20 19:37:00 发布
最新推荐文章于 2023-11-20 19:37:00 发布
阅读量321 收藏 1
点赞数 1
分类专栏: heap_related 文章标签: pwn heap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45595732/article/details/110181512
版权

House of Einherjar

原理

free中后向合并的操作(unlink),如果我们可以同时控制一个 chunk prev_size 与 PREV_INUSE 字段,那么我们就可以将新的 chunk 指向几乎任何位置。

free时合并的操作

static void
_int_free (mstate av, mchunkptr p, int have_lock)
{
	...
	    /* consolidate backward */
        if (!prev_inuse(p)) {
            prevsize = prev_size(p);
            size += prevsize;
            p = chunk_at_offset(p, -((long) prevsize));
            unlink(av, p, bck, fwd);
        }
	...
}

unlink

#define unlink(AV, P, BK, FD) {                                            \
    if (__builtin_expect (chunksize(P) != (next_chunk(P))->prev_size, 0))      \
      malloc_printerr (check_action, "corrupted size vs. prev_size", P, AV);  \
    FD = P->fd;								      \
    BK = P->bk;								      \
    if (__builtin_expect (FD->bk != P || BK->fd != P, 0))		      \
      malloc_printerr (check_action, "corrupted double-linked list", P, AV);  \
    else {								      \
        FD->bk = BK;							      \
        BK->fd = FD;							      \
        if (!in_smallbin_range (P->size)				      \
            && __builtin_expect (P->fd_nextsize != NULL, 0)) {		      \
	    if (__builtin_expect (P->fd_nextsize->bk_nextsize != P, 0)	      \
		|| __builtin_expect (P->bk_nextsize->fd_nextsize != P, 0))    \
	      malloc_printerr (check_action,				      \
			       "corrupted double-linked list (not small)",    \
			       P, AV);					      \
            if (FD->fd_nextsize == NULL) {				      \
                if (P->fd_nextsize == P)				      \
                  FD->fd_nextsize = FD->bk_nextsize = FD;		      \
                else {							      \
                    FD->fd_nextsize = P->fd_nextsize;			      \
                    FD->bk_nextsize = P->bk_nextsize;			      \
                    P->fd_nextsize->bk_nextsize = FD;			      \
                    P->bk_nextsize->fd_nextsize = FD;			      \
                  }							      \
              } else {							      \
                P->fd_nextsize->bk_nextsize = P->bk_nextsize;		      \
                P->bk_nextsize->fd_nextsize = P->fd_nextsize;		      \
              }								      \
          }								      \
      }									      \
}
演示程序
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
int main(){
	long long int *s0 = (long long int *)malloc(0x200);
	long long int *s1 = (long long int *)malloc(0x18);
	long long int *s2 = (long long int *)malloc(0xf0);
	long long int *s3 = (long long int *)malloc(0x20);
	s0[0] = 0;
	s0[1] = 0x81;
	s0[2] = (long long int)s0;
	s0[3] = (long long int)s0;
	s0[16] = 0x80;
	s1[2] = 0x220;
	s2[-1] = 0x100;
	free(s2);
	return 0;
}

结果s0,s1,s2合并放入unsorted bin中

free(s2)前各个堆上的伪造情况

在这里插入图片描述

TTYflag
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Einherjar.rebootstrap:PowerPC Mac的操作系统
02-04
Einherjar.rebootstrap是一款专为PowerPC架构的Mac电脑设计的操作系统项目。PowerPC是IBM、Motorola和Apple联合开发的一种高性能处理器架构,曾在20世纪90年代末至21世纪初被广泛应用于Apple的Macintosh计算机。随着...
Einherjar.tmp:PowerPC Mac的操作系统
05-24
艾因哈尔(Einherjar)-ᛖᛁᚾᚺᛖᚱᛃᚨᚱ PowerPC Mac的操作系统。 曾经有鼓舞人心的 如果没有将它们传递给您,请进行一次时差旅行或购买一些东西。 但是,如果不能,请使用qemu进行测试。 地位 该OS项目基于...
House of einherjar
tbsqigongzi的博客
07-31 464
释放堆块时,unlink后向合并堆块,强制使得malloc返回一个几乎任意地址的chunk。free函数中的后向合并核心操作如下后向合并时,新的chunk的位置取决于chunk_at_offset(p,-((long)prevsize))
15.house_of_einherjar
06-10 292
源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <string.h> 4 #include <stdint.h> 5 #include <malloc.h> 6 7 /* 8 Credit to st4...
house-of-einherjar-tinypad
csdn546229768的博客
01-19 424
题目 : secconctf2016_tinypad 保护 分析 add部分: edit部分: dele部分: 自带的show部分: 其中堆块信息保存在tinypad[0x100]处理解图如下: 思路 上面ida分析的注释中对应解释了程序漏洞所在,那么首先进行libc泄露,首先malloc 4个chunk其中 chunkA : 必须为unsort bin 且size必须是8(十六进制)结尾,因为如果malloc 0xe8 ----真实大小—> 0xf0 这时可以写入的数据为0xe8 通过
Tinypad Seccon CTF 2016(House Of Einherjar)
Bill
04-18 1262
Tinypad Seccon CTF 2016(House Of Einherjar) 序言 随着对how2heap的学习, 难度也是越来越大, 改革进入了深水区. 程序运行 1.菜单 | [A] Add memo | | [D] Delet...
Einherjar:用于amd64和PowerPC Mac的colorForth计算环境
02-03
$ cd Einherjar/kernel $ make all 步骤3:使用qemu运行(通过使用4Mb的RAM和生成的ISO映像) $ qemu-system-i386 -m 4 -cdrom ../build/roentgenium.iso 步骤4:如果需要,请清理构建 $ make clean
Heap Exploitation(简体中文)1
08-03
- House of Spirit、House of Lore、House of Force、House of Einherjar:是经典的堆利用技术,涉及堆内存的精确控制和操纵,以实现任意代码执行。 0x6 安全编码指南: 这部分内容可能包含如何避免上述漏洞的编码...
heap-exploitation.pdf
02-01
- **House of Einherjar**:一种复杂的利用方法,涉及多个内存块的精细控制。 #### 安全编码指导原则 - **避免使用不安全的函数**:例如使用`strdup`替代`strcpy`等。 - **验证输入数据**:确保所有外部输入都经过...
House Of Einherjar(2016 Seccon tinypad)
九层台
09-02 1017
栗子https://github.com/tower111/software.git got表不可写:劫持程序执行流的思路1.复写hook函数。2.覆盖返回地址 canary和NX保护。 漏洞和数据结构 if ( v13 &gt; 0 &amp;&amp; v13 &lt;= 4 ) { if ( *(_QWORD *)&amp;tinypad[16 *...
House Of Einherjar
最新发布
qq_61670993的博客
11-20 127
house of Einherjar
《CTF竞赛权威指南》|house of einherjar
qq_50883855的博客
11-22 770
house of einherjar
好好说话之House Of Einherjar
hollk’s blog
06-10 1335
又鸽了好久,抱歉哈~ 总的来说House Of Einherjar这种利用方法还是挺简单的,有点像chunk extend/shrink技术,只不过该技术是后向,并且利用top_chunk合并机制,个人觉得杀伤力比较强大
how2heap_house_of_einherjar
huzai9527的博客
05-30 163
house of einherjar 1. 利用原理 两个物理相邻的 chunk 会共享 prev_size字段,尤其是当低地址的 chunk 处于使用状态时,高地址的 chunk 的该字段便可以被低地址的 chunk 使用。因此,我们有希望可以通过写低地址 chunk 覆盖高地址 chunk 的 prev_size 字段。 一个 chunk PREV_INUSE 位标记了其物理相邻的低地址 chunk 的使用状态,而且该位是和 prev_size 物理相邻的。 后向合并时,新的 chunk 的
PWNHouse Of Einherjar&House Of Force
u014377094的博客
05-04 358
ctfwiki上house系列第一个与第二个。利用方法也相对简单,内容也较少,决定一块儿复习了。 House Of Einherjar House Of Einherjar个人理解,通过修改victim堆块的pre_size和pre_inuse,free操作会检查前后已经被释放的堆块,并对都释放了的堆块进行合并操作,如果能够有效伪造堆块fake_chunk,可以让victim块和fake_chunk均伪造为释放状态,最后合并成一个特别大的块,再次申请来某片空间的控制权。 由于extend的操作,其不得
程序运行结束后出现corrupted double-linked list 0x
热门推荐
colby_zhang的博客
05-21 1万+
Error in’项目目录’:corrupted double-linked list 0x 网上我搜集的方法 1.类似于double被delete了两次 2.double被new了两次 但是我的情况有所不同,我遇到的错误是程序运行之后,在我结束程序后显示的如题错误。 我又在网上搜集了下 1.我的double没有free 2.回答找不见了,但是是一个人同时回答了1且说了2,大家自己找一找吧 我最后的解决方法(并不适用所有情况) 我的所加载的动态库和我的主框架内都有一个同名同内容的代码,且里面都有各自的sta
攻防世界PWN之bufoverflow_a题解(house of orange in 2.24&house of Einherjar)
seaaseesa的博客
02-19 961
bufoverflow_a 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,是一个经典的增删改查的程序,然后我们看到创建堆时,前两个堆是用malloc创建,后面的堆用calloc创建,这意味着,如果要泄露libc地址,只能靠前两个堆,后面的堆从bin里取出后会清空里面的信息。 Fill功能存在一个null off by one漏洞 我们每次只能对最后创建的那个堆进...
LCTF 2016 PWN200(House Of Spirit)
Bill
03-24 1647
L-CTF 2016 pwn200 漏洞简介 The house of Spirit The House of Spirit is a little different from other attacks in the sense that it involves an attacker overwriting an existing pointer before it is ‘fr...
深入理解堆内存与 heap 漏洞利用
5. House of Spirit、House of Lore、House of Force和House of Einherjar:这些都是堆溢出攻击的经典技术,通过不同的手段来操控堆内存,达到代码执行或权限提升的目的。 最后,书中提到了安全编码指南,旨在帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值