House of Force

已于 2022-09-27 12:10:03 修改
阅读量1.2k 收藏 2
点赞数 1
文章标签: 安全
于 2022-09-26 17:55:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yms0211/article/details/127057963
版权

概述:

house of force是一种针对top chunk的利用手法,它是通过修改top_chunk的size域从而完成一次几乎是任意地址的内存分配

原理:

根据前面的堆的基础知识可以知道,当程序需要分配一块内存,而tcache或者各个bin中都没有对应大小的堆块的话就会从top_chunk中分割一个对应大小的chunk出来给我们用,但是如果我们可以控制top_chunk的size域话,我们只需要在分配时用些小手段就可以将top_chunk分配到任意一个地址上去。

首先我们来看一下分割top_chunk时的操作和检查:

// 获取当前的top chunk,并计算其对应的大小
victim = av->top; //获取top_chunk地址
size   = chunksize(victim); //获取top_chunk大小
// 如果在分割之后,其大小仍然满足 chunk 的最小大小,那么就可以直接进行分割。
if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE)) 
{
    remainder_size = size - nb; //分配后的大小
    remainder      = chunk_at_offset(victim, nb); //分配后top_chunk的地址
    av->top        = remainder;
    //下面的两个set是跟完成分配后的top_chunk和分割出去的chunk设置chunk_header的流程,这里不用管
    set_head(victim, nb | PREV_INUSE |
            (av != &main_arena ? NON_MAIN_ARENA : 0));
    set_head(remainder, remainder_size | PREV_INUSE);

    check_malloced_chunk(av, victim, nb);
    void *p = chunk2mem(victim);
    alloc_perturb(p, bytes);
    return p;
}

可以看见在流程中只有一个检查,就是这一句判断:

if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE))

判断top_chunk现在的size是否比需要分割出去的chunk的size大,这里加的 MINSIZE 是要保证即使top_chunk的大小比需要的大小大,但是分配完成后还要保证有一个MINSIZE大小的内存来存放top_chunk的chunk_header。

那么这个判断想要绕过也很简单,只需要让top_chunk的size很大就行了,这里可以发现在进入判断时会把size强行转换为无符号长整型,所以,这里我们如果能将其设置为-1,在转换后就会变成无符号整形里最大的数(0xffffffffffffffff)就可以绕过判断了

示例:

这里采用wiki上的第一个例子来看一下house of force的流程:

这个例子是要篡改malloc函数got表地址的内存

int main()
{
    long *ptr,*ptr2;
    ptr=malloc(0x10);
    ptr=(long *)(((long)ptr)+24);
    *ptr=-1;        // <=== 这里把top chunk的size域改为0xffffffffffffffff
    malloc(-4120);  // <=== 减小top chunk指针
    malloc(0x10);   // <=== 分配块实现任意地址写
}

程序流程比较简单就不赘述了,这里讲一下为什么要在修改top_chunk的size位后分配一个大小为-4120的chunk:

因为我们要控制malloc的got表处的内存,在gdb中可以查到他的got表所在的地址是:0x601020

在这里插入图片描述
然后top_chunk的地址是:0x602020
在这里插入图片描述
所以我们要让top_chunk的地址向上移 0x601010 - 0x602020= -4112,这里由于要经过内部的checked_request2size,所以我们是要满足对齐参数MALLOC_ALIGN(详细的解释可以看wiki,后面总结的时候会再提一下),所以最终是要减去一个-4120。

之后我们进入gdb看一下流程:

首先将断点下在第10行看一下top_chunk的size被修改后的情况:

在这里插入图片描述
已经修改成功了,之后步进下一步分配走那个0x4120大小的chunk让top_chunk来到malloc的got表地址位置上的内存:
在这里插入图片描述
可以看见已经被分配出来了,之后我们只要再次申请申请堆块就可以控制修改malloc的got表内容了。

总结:

house of force这个手法的原理和操作都比较简单,位移比较需要考虑的点就是修改top_chunk的size之后怎么将地址转移到目标地址处,首先要知道64位的操作系统下所有chunk都需要一个0x10的空间存放chun_header 所以我们可以有一下这个公式:

最终目标地址 = 需要控制的地址- 0x10

top_chunk需要移动的距离 = 最终目标地址 - top_chunk的地址

这里得到的top_chunk需要移动的距离由于要通过request2size,就需要满足对齐参数MALLOC_ALIGN 实际上,对齐参数(MALLOC_ALIGNMENT)大小的设定需要满足以下两点:

  1. 必须是2的幂
  2. 必须是void *的整数倍

所以top_chunk需要移动的距离如果不满足这两个条件的话就要简单的修改一下,就像前面的例子里一样。

然后就是这个利用手法需要的条件:

  1. 能够以溢出等方式控制到 top chunk 的 size 域
  2. 能够自由地控制堆分配尺寸的大小
youngmith
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn工具箱之house of force
jmp esp
07-03 952
house of force基本信息 利用类型:堆利用 堆利用类型:top chunk相关 利用思想:通过修改top chunk大小,使得分配任意大小都是从top chunk里边切出来,这样分配一个大小占满想要写的位置和当前分配位置top chunk的差,下一个分配就可以分配出想要写的位置 利用难点 需要有办法能够更改到top chunk大小 需要能够知道当前位置和要写位置的差值 需要能够自由控制将
BUUCTF-PWN gyctf_2020_forcehouse of force
weixin_44145820的博客
04-15 1329
目录程序分析漏洞分析漏洞利用EXP 程序分析 程序只有添加功能,puts功能没有用 添加功能中,有三个注意点 chunk大小没有限制 可以获得分配空间的地址 读入长度固定为0x50 漏洞分析 根据题目force,可以联想到house of force堆利用方法 以下内容取自ctf-wiki House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须...
11.house_of_force
06-09 179
源代码 1 /* 2 3 This PoC works also with ASLR enabled. 4 It will overwrite a GOT entry so in order to apply exactly this technique RELRO must be disabled. 5 If RELRO is enabled...
House Of Force
qq_45595732的博客
11-26 586
House Of Force 利用条件 ​ House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须得基于堆漏洞来进行利用。如果一个堆 (heap based) 漏洞想要通过 House Of Force 方法进行利用,需要以下条件: 能够以溢出等方式控制到 top chunk 的 size 域 能够自由地控制堆分配尺寸的大小 ​ House Of Force 产生的原因在于 glibc 对 top chunk 的处理,根据前面堆数据结构部分的知识我们
House of force
weixin_30521649的博客
07-15 97
0x00 利用要点 1.申请一块非常大的块. 2.精心构造size覆盖top chunk的chunk header. 3.调用malloc()实现任意地址写 0x01申请一块非常大的块. 申请一个负数大小的块就可。一般是-1. malloc(-1) 0x02 精心构造size覆盖top chunk的chunk header. 32位:SIZE = 目标地址 - 8 - t...
house of banana .pdf
09-05
House of Banana:深入理解安全实践与堆利用技术》 在信息安全领域,攻击者不断寻找新的漏洞和利用手段,以突破系统防御。"House of Banana"是一种针对glibc库的新型堆利用技术,自glibc 2.28版本以来,由于其...
2.27 house of botcake例题附件
最新发布
05-31
2.27 house of botcake例题附件
system_of_house_measure.rar_house
09-21
《房屋测量系统详解》 在数字化时代,房屋测量已经不再局限于传统的实地测量工具,而是借助先进的计算机技术,形成了一套高效、精准的房屋测量系统。本文将深入探讨这个系统的基本构成,以及它如何集成地图软件要素...
house-of-leaves
07-04
House of Leaves》是一部独特的文学作品,以其复杂的叙事结构和视觉实验而闻名。在这个场景中,我们关注的不是书籍本身,而是与之相关的Chrome扩展程序。这个扩展程序以"house-of-leaves"为名,其功能是将网页上...
HousePrices.zip
02-10
本资料包“HousePrices.zip”是Kaggle上的“House Prices: Advanced Regression Techniques”比赛的数据集,旨在挑战参与者运用高级的回归技术来预测房价。这个数据集包含了训练集(train.csv)、测试集(test.csv)...
House_of_Force-ctf-bcloud
weixin_30507269的博客
07-06 219
2016 bctf bcloud 下载: https://pan.baidu.com/s/1e-fvhaOJKzBQMxlrweLznw 提取码:ded5 放入ida中首先定位到 main()->init()->set_name() unsigned int set_name() { char name; // [esp+1Ch] [ebp-5Ch] <--注意这里,...
【Linux堆利用】House of Force
、moddemod
06-15 512
写在前面的话 其实我也是照葫芦画瓢(但学习本来就是这么一件事),首先基本的原理你的搞懂吧。具体参考CTF-WIKI,那个真的是说得非常清楚了!我也只是记录一下自己的学习笔记! 原理 首先House of Force这种利用方法,主要强调一点就是堆溢出,溢出到能够覆盖top chunk的大小,也即是size域!,这就是最基本的利用条件。 因为当我们每一次malloc(),其实都是在申请一块chunk,在物理结构上,因为我们现在能够申请的chunk的位置是在ptmalloc给我们分配的分配区里面,就在这个这个分
House of force —— gyctf_2020_force
PLpa的博客
08-13 827
前言: House of force是属于House of xxx系列的利用方法,House of xxx是2004年《The Malloc Maleficarum-Glibc Malloc Exploitation Techniques》中提出的一系列针对glibc堆分配机制的利用方法。 想要利用House of force,需要以下条件: 1.能够以溢出等方式控制top chunk的size域。 2.能够自由的分配堆的大小 解题思路 保护机制 保护全开,64位。 IDA查看伪代码 程序有两个功能,
the House of Force技术简单分析
小强的博客
08-09 802
实例代码如下: #include #include #include int main(int argc, char *argv[]) { char *buf1, *buf2, *buf3; if (argc != 4) return; buf1 = malloc(256); strcpy(buf1, argv[1]); buf2 = malloc(strtoul(argv[2]
堆利用-house_of_force-top_chunk
qq_43390703的博客
11-14 333
house_of_force House Of Force 是一种堆利用方法,如果一个堆 (heap based) 漏洞想要通过 House Of Force 方法进行利用,需要以下条件: 能够以溢出等方式控制到 top chunk 的 size 域 能够自由地控制堆分配尺寸的大小 产生原因 glibc中如果进行堆块分配的时候,如果所有空闲块都无法满足需求,那么就会从top chunk中分割出相应的大小作为堆块空间。 但是当top chunck分配堆块的size值可以由用户控制的时候,top chu
从wiki 重新打基础之 House Of Force
qq_41071646的博客
08-05 403
这次的暑假集训 感觉学到的东西还是比较可以的, 然后 大概是 16号左右是集训结束 本来的想法呢 是 看看mips 的 东西 但是发现 其实 那里的东西大部分还是栈溢出 然后感觉还是要老老实实的打基础 看看什么时候 (大概是 集训结束 ) 在看看那些东西 现在 先把基础打好,, 这个 House Of Force 刷CTF的时候遇到的 还真的不多 好像基本都没有怎么遇到过这类题目 这个...
Linux下堆溢出利用4-bamboobox解题思路之house of force
haibiandaxia的博客
10-10 316
Linux下堆溢出利用4-bamboobox解题思路之house of force1 前言2 程序和调试环境准备2.1 实验环境2.2 实验目标3 反编译程序3.1 检查安全机制3.2 main函数 1 前言 因这段时间在忙护网,再加上对堆块进行负方向移动不理解,导致更新迟了一些,后来经过反复调试,查看堆状态,才慢慢理解,详细内容见正文吧。 2 程序和调试环境准备 2.1 实验环境 Linux ubuntu 16.04.1 gdb 7.11.1 bamboobox(目标程序) Python 2.7.12
Linux下堆溢出利用2-House of force基本原理
haibiandaxia的博客
08-31 1390
Linux下堆溢出利用 2-House of force基本原理1 前言2 基础知识2.1 Top Chunk的分割机制2.2 溢出top chunk的方法2.3 利用条件3 程序和调试环境准备3.1 实验环境3.2实验目标3.3演示程序3.4编译命令4 程序调试5 总结6 参考链接 1 前言 House of Force 是一种堆利用方法,可以实现任意内存地址的读写,个人认为难理解的点有两个: 如何通过溢出已经分配的chunk,准确覆盖top chunk中的size字段; 我们的目的是将top chun
PWN学习之house of系列
qq_41071646的博客
08-09 1409
最近 在wiki学习了 house of 这些东西 但是一直都没有找到联系的地方, 然后 在一篇博客上发现了上面有讲东西并且练习题 很好 所以我就拿来联系了一把 并且记录一下 大概思路 house of spirit 这个wiki上好像没有 但是利用方法其实还是差不多的 这个主要就是 fastbin的利用 伪造一个堆块 然后让 free到这个堆块 让 伪造堆块进入...
House of apple 一种新的glibc中IO攻击方法.doc
07-09
House of apple 是一种新的 glibc 中 IO 攻击方法,旨在利用对 IO_FILE 结构体的伪造和对 IO 流的攻击来实现漏洞利用。在 glibc 高版本中,随着对__malloc_hook/__free_hook/__realloc_hook等 hook 全局变量的逐渐...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值