House of water & TFCCTF 2024 MCGUAVA

主要观点总结

文章详细介绍了House of Water攻击方法，这是一种将Use-After-Free（UAF）漏洞转化为t-cache元数据控制原语的技术，同时可以获取t-cache元数据中的libc指针。文章首先介绍了该技术的起源和前提条件，然后详细解释了其攻击流程，包括伪造堆块、释放堆块、修改指针等步骤，并给出了一个攻击演示。此外，文章还分析了TFCCTF 2024的题目，探讨了利用House of Water在tcache链表上留下libc地址的可能性，并给出了攻击脚本。

关键观点总结

关键观点1: House of Water攻击方法

一种将UAF漏洞转化为t-cache元数据控制原语的技术，并获取t-cache元数据中的libc指针。

关键观点2: 攻击流程

包括伪造堆块、释放堆块、修改指针等步骤。

关键观点3: TFCCTF 2024题目分析

探讨了利用House of Water在tcache链表上留下libc地址的可能性，并给出了攻击脚本。

文章预览

一 House of water 早就听 Csome 学长说过有种打法叫 house of water，但是当时没去看，时间久了就忘记这个东西了，现在记起来了就来学习一下。由于笔者的水平有限，文章不免会出现许多错误，希望各位师傅能过包容以及指正。这篇文章的程序的测试环境为 ubuntu 22.04.3 TLS。 概述 这个打法由国际战队 blue water 提出的，下面来看看该团队对这个打法的描述： House of Water is a technique for converting a Use-After-Free (UAF) vulnerability into a t-cache metadata control primitive, with the added benefit of obtaining a free libc pointer in the t-cache metadata as well. NOTE: This requires 4 bits of bruteforce if the primitive is a write primitive, as the LSB will contain 4 bits of randomness. If you can increment integers, no brutefore is required. By setting the count of t-cache entries 0x3e0 and 0x3f0 to 1, a "fake" heap chunk header of size "0x10001" is created. This fake heap chun ………………………………