House of Einherjar与House of Force漏洞深度分析与对比<\/h1>

1. 概述<\/h2>

1.1 House of Einherjar漏洞<\/h3>

类别<\/strong>：堆利用漏洞<\/li>
核心原理<\/strong>：通过伪造prev_size和PREV_INUSE位，诱使glibc的unlink操作合并伪造的"空闲"块<\/li>

关键点<\/strong>：需要控制一个chunk的prev_size和PREV_INUSE位，以及伪造一个fake chunk<\/li> <\/ul>
1.2 House of Force漏洞<\/h3>

类别<\/strong>：堆利用漏洞<\/li>
核心原理<\/strong>：通过覆盖top chunk的size字段，控制后续分配的内存位置<\/li>
关键点<\/strong>：需要能够覆盖top chunk的size字段，并控制分配大小<\/li> <\/ul>
2. 漏洞原理详解<\/h2>
2.1 House of Einherjar原理<\/h3>

前置条件<\/strong>：<\/p>

存在堆溢出可以覆盖下一个chunk的size字段<\/li>
可以控制prev_size字段<\/li>
可以伪造一个fake chunk结构<\/li> <\/ul> <\/li>

利用步骤<\/strong>：<\/p>

构造一个fake chunk，设置好size和fd\/bk指针<\/li>
通过溢出修改下一个chunk的PREV_INUSE位为0(表示前一个chunk是空闲的)<\/li>
设置prev_size指向fake chunk的位置<\/li>
当触发free\/unlink时，系统会认为前一个chunk是空闲的并与fake chunk合并<\/li> <\/ul> <\/li>

关键数据结构操作<\/strong>：<\/p>
\/\/ unlink操作的核心代码 <\/span><\/span><\/span><\/span>FD =<\/span> P-><\/span>fd; <\/span><\/span>BK =<\/span> P-><\/span>bk; <\/span><\/span>FD-><\/span>bk =<\/span> BK; <\/span><\/span>BK-><\/span>fd =<\/span> FD; <\/span><\/span><\/code><\/pre><\/li> <\/ol> 2.2 House of Force原理<\/h3> 前置条件<\/strong>：<\/p> 可以覆盖top chunk的size字段<\/li> 可以控制malloc的分配大小<\/li> <\/ul> <\/li> 利用步骤<\/strong>：<\/p> 将top chunk的size改为非常大的值(如0xffffffff)<\/li> 计算需要分配的size = (目标地址 - top chunk地址)<\/li> 分配该大小的chunk，下次分配就会从目标地址开始<\/li> <\/ul> <\/li> 关键分配逻辑<\/strong>：<\/p> \/\/ glibc的malloc核心逻辑 <\/span><\/span><\/span><\/span>if<\/span> ((unsigned<\/span> long<\/span>)(size) >=<\/span> (unsigned<\/span> long<\/span>)(nb +<\/span> MINSIZE)) { <\/span><\/span> \/\/ 从top chunk分配 <\/span><\/span><\/span><\/span> remainder_size =<\/span> size -<\/span> nb; <\/span><\/span> remainder =<\/span> chunk_at_offset(victim, nb); <\/span><\/span> av-><\/span>top =<\/span> remainder; <\/span><\/span> \/\/ ... <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3. 利用手法对比<\/h2> 3.1 House of Einherjar利用演示<\/h3> 构造两个相邻chunk(a和b)<\/li> 在a中构造fake chunk<\/li> 溢出修改b的size字段，清除PREV_INUSE位<\/li> 设置b的prev_size指向fake chunk<\/li> 释放b，触发合并操作<\/li> 结果：fake chunk被合并到空闲列表，后续分配可获取目标地址<\/li> <\/ol> 3.2 House of Force利用演示<\/h3> 找到top chunk地址<\/li> 溢出修改top chunk的size为极大值<\/li> 计算目标地址与top chunk的偏移<\/li> 分配一个大小为该偏移的chunk<\/li> 下次分配将从目标地址开始<\/li> <\/ol> 4. 技术细节对比<\/h2> 对比项<\/th> House of Einherjar<\/th> House of Force<\/th> <\/tr> <\/thead> 修改目标<\/td> chunk的prev_size和PREV_INUSE位<\/td> top chunk的size字段<\/td> <\/tr> 触发条件<\/td> free\/unlink操作<\/td> malloc分配操作<\/td> <\/tr> 利用效果<\/td> 任意地址写(通过unlink)<\/td> 任意地址分配<\/td> <\/tr> 关键操作<\/td> 伪造fake chunk<\/td> 计算精确偏移<\/td> <\/tr> 依赖特性<\/td> 前向合并机制<\/td> top chunk分配机制<\/td> <\/tr> <\/tbody> <\/table> 5. 漏洞局限性<\/h2> 5.1 House of Einherjar局限性<\/h3> 需要精确控制prev_size和PREV_INUSE位<\/li> 依赖特定的内存布局<\/li> 受ASLR和堆保护机制影响大<\/li> 需要能够构造可信的fake chunk<\/li> 现代glibc版本增加了unlink检查<\/li> <\/ol> 5.2 House of Force局限性<\/h3> 需要能够覆盖top chunk的size<\/li> 计算偏移需要精确<\/li> 受malloc大小限制影响<\/li> 现代glibc增加了top chunk大小检查<\/li> 需要连续的大分配可能不现实<\/li> <\/ol> 6. 防御措施<\/h2> 6.1 通用防御<\/h3> 启用ASLR(地址空间布局随机化)<\/li> 使用最新版本的glibc<\/li> 实施堆保护机制(如堆隔离)<\/li> 限制chunk申请的大小范围<\/li> <\/ol> 6.2 House of Einherjar专项防御<\/h3> 检查free时的unlink操作<\/li> 验证prev_size和PREV_INUSE位的合理性<\/li> 实现堆元数据保护<\/li> 使用安全版本的malloc实现<\/li> <\/ol> 6.3 House of Force专项防御<\/h3> 检查top chunk的size合理性<\/li> 限制单个分配的最大大小<\/li> 实现top chunk保护机制<\/li> 使用控制流完整性(CFI)技术<\/li> <\/ol> 7. 实际应用场景<\/h2> 7.1 House of Einherjar适用场景<\/h3> 存在堆溢出可以覆盖size字段<\/li> 程序有频繁的alloc\/free操作<\/li> 可以预测或泄露堆地址<\/li> 可以控制prev_size字段<\/li> <\/ol> 7.2 House of Force适用场景<\/h3> 可以覆盖top chunk的size<\/li> 可以控制malloc的分配大小<\/li> 需要分配连续的大内存<\/li> 目标地址可计算或预测<\/li> <\/ol> 8. 总结与对比<\/h2> 8.1 相同点<\/h3> 都是堆利用技术<\/li> 都需要对内存布局有控制能力<\/li> 都可用于实现任意地址写<\/li> 都受现代防护机制的限制<\/li> <\/ol> 8.2 不同点<\/h3> 利用机制不同<\/strong>：<\/p> Einherjar利用前向合并<\/li> Force利用top chunk分配<\/li> <\/ul> <\/li> 触发操作不同<\/strong>：<\/p> Einherjar通过free触发<\/li> Force通过malloc触发<\/li> <\/ul> <\/li> 利用复杂度<\/strong>：<\/p> Einherjar需要构造fake chunk<\/li> Force需要精确计算偏移<\/li> <\/ul> <\/li> 防护重点<\/strong>：<\/p> Einherjar防御重点是unlink检查<\/li> Force防御重点是top chunk检查<\/li> <\/ul> <\/li> <\/ol> 9. 扩展知识<\/h2> 9.1 相关防护技术演进<\/h3> glibc 2.26引入的tcache机制影响<\/li> Safe-Linking技术对fd\/bk指针的保护<\/li> malloc_par结构中的各种检查标志<\/li> 现代Linux内核的堆保护特性<\/li> <\/ol> 9.2 其他相关堆漏洞<\/h3> House of Spirit<\/li> House of Lore<\/li> House of Orange<\/li> House of Rabbit<\/li> House of Storm<\/li> <\/ol> 10. 实践建议<\/h2> 在分析漏洞时，先确定glibc版本<\/li> 检查防护机制是否启用(如ASLR、PIE等)<\/li> 使用调试工具验证内存布局<\/li> 考虑多种利用技术的组合使用<\/li> 关注最新防护技术的绕过方法<\/li> <\/ol> 通过本文的详细分析，读者应该能够全面理解House of Einherjar和House of Force两种堆利用技术的原理、利用方法、限制条件和防御措施，为二进制安全研究和漏洞利用开发提供坚实基础。<\/p>

对比项<\/th>	House of Einherjar<\/th>	House of Force<\/th> <\/tr> <\/thead>
修改目标<\/td>	chunk的prev_size和PREV_INUSE位<\/td>	top chunk的size字段<\/td> <\/tr>
触发条件<\/td>	free\/unlink操作<\/td>	malloc分配操作<\/td> <\/tr>
利用效果<\/td>	任意地址写(通过unlink)<\/td>	任意地址分配<\/td> <\/tr>
关键操作<\/td>	伪造fake chunk<\/td>	计算精确偏移<\/td> <\/tr>
依赖特性<\/td>	前向合并机制<\/td>	top chunk分配机制<\/td> <\/tr> <\/tbody> <\/table> 5. 漏洞局限性<\/h2> 5.1 House of Einherjar局限性<\/h3> 需要精确控制prev_size和PREV_INUSE位<\/li> 依赖特定的内存布局<\/li> 受ASLR和堆保护机制影响大<\/li> 需要能够构造可信的fake chunk<\/li> 现代glibc版本增加了unlink检查<\/li> <\/ol> 5.2 House of Force局限性<\/h3> 需要能够覆盖top chunk的size<\/li> 计算偏移需要精确<\/li> 受malloc大小限制影响<\/li> 现代glibc增加了top chunk大小检查<\/li> 需要连续的大分配可能不现实<\/li> <\/ol> 6. 防御措施<\/h2> 6.1 通用防御<\/h3> 启用ASLR(地址空间布局随机化)<\/li> 使用最新版本的glibc<\/li> 实施堆保护机制(如堆隔离)<\/li> 限制chunk申请的大小范围<\/li> <\/ol> 6.2 House of Einherjar专项防御<\/h3> 检查free时的unlink操作<\/li> 验证prev_size和PREV_INUSE位的合理性<\/li> 实现堆元数据保护<\/li> 使用安全版本的malloc实现<\/li> <\/ol> 6.3 House of Force专项防御<\/h3> 检查top chunk的size合理性<\/li> 限制单个分配的最大大小<\/li> 实现top chunk保护机制<\/li> 使用控制流完整性(CFI)技术<\/li> <\/ol> 7. 实际应用场景<\/h2> 7.1 House of Einherjar适用场景<\/h3> 存在堆溢出可以覆盖size字段<\/li> 程序有频繁的alloc\/free操作<\/li> 可以预测或泄露堆地址<\/li> 可以控制prev_size字段<\/li> <\/ol> 7.2 House of Force适用场景<\/h3> 可以覆盖top chunk的size<\/li> 可以控制malloc的分配大小<\/li> 需要分配连续的大内存<\/li> 目标地址可计算或预测<\/li> <\/ol> 8. 总结与对比<\/h2> 8.1 相同点<\/h3> 都是堆利用技术<\/li> 都需要对内存布局有控制能力<\/li> 都可用于实现任意地址写<\/li> 都受现代防护机制的限制<\/li> <\/ol> 8.2 不同点<\/h3> 利用机制不同<\/strong>：<\/p> Einherjar利用前向合并<\/li> Force利用top chunk分配<\/li> <\/ul> <\/li> 触发操作不同<\/strong>：<\/p> Einherjar通过free触发<\/li> Force通过malloc触发<\/li> <\/ul> <\/li> 利用复杂度<\/strong>：<\/p> Einherjar需要构造fake chunk<\/li> Force需要精确计算偏移<\/li> <\/ul> <\/li> 防护重点<\/strong>：<\/p> Einherjar防御重点是unlink检查<\/li> Force防御重点是top chunk检查<\/li> <\/ul> <\/li> <\/ol> 9. 扩展知识<\/h2> 9.1 相关防护技术演进<\/h3> glibc 2.26引入的tcache机制影响<\/li> Safe-Linking技术对fd\/bk指针的保护<\/li> malloc_par结构中的各种检查标志<\/li> 现代Linux内核的堆保护特性<\/li> <\/ol> 9.2 其他相关堆漏洞<\/h3> House of Spirit<\/li> House of Lore<\/li> House of Orange<\/li> House of Rabbit<\/li> House of Storm<\/li> <\/ol> 10. 实践建议<\/h2> 在分析漏洞时，先确定glibc版本<\/li> 检查防护机制是否启用(如ASLR、PIE等)<\/li> 使用调试工具验证内存布局<\/li> 考虑多种利用技术的组合使用<\/li> 关注最新防护技术的绕过方法<\/li> <\/ol> 通过本文的详细分析，读者应该能够全面理解House of Einherjar和House of Force两种堆利用技术的原理、利用方法、限制条件和防御措施，为二进制安全研究和漏洞利用开发提供坚实基础。<\/p>