House of Einherjar 堆利用技术解析与实战<\/h1>

1. 技术概述<\/h2>
House of Einherjar<\/strong> 是一种由 Hiroki Matsukuma 提出的堆利用技术，其核心在于滥用 `free()<\/code> 函数中的后向合并操作<\/strong>（合并低地址的 chunk），从而使得 malloc()<\/code> 返回一个几乎任意地址的 chunk。该技术的关键在于利用 off-by-one<\/strong> 或 off-by-null<\/strong> 漏洞修改下一个 chunk 的元数据，最终实现任意地址写。<\/p>`

1.1 核心思想<\/h3>

通过修改下一个 chunk 的 prev_size<\/code> 和 PREV_INUSE<\/code> 位，欺骗 Glibc 的堆管理器，使其错误地合并一个伪造的 chunk。<\/li>
利用合并操作造成堆块重叠，从而进一步控制堆布局，实现任意地址分配。<\/li>
<\/ul>

2. 攻击条件<\/h2>
要成功利用 House of Einherjar，需满足以下条件：<\/p>

存在堆溢出漏洞<\/strong>：能够修改下一个 chunk 的 prev_size<\/code> 字段和 PREV_INUSE<\/code> 位（例如通过 off-by-one 或 off-by-null）。<\/li>
能够分配大于等于 unsorted bin 大小的 chunk<\/strong>（通常 ≥ 0x80）。<\/li>
能够控制伪造 chunk 的内容<\/strong>：确保伪造 chunk 的 fd<\/code> 和 bk<\/code> 指针指向自身，以通过 unlink 校验。<\/li>
<\/ol>

3. 攻击过程详解<\/h2>
3.1 初始堆布局<\/h3>
假设存在三个 chunk：<\/p>

chunk1<\/strong>：可控，用于伪造 fake chunk。<\/li>
chunk2<\/strong>：用于溢出修改 chunk3 的元数据。<\/li>
chunk3<\/strong>：目标 chunk，将被释放以触发合并。<\/li>
<\/ul>
3.2 步骤分解<\/h3>


伪造 Fake Chunk<\/strong>：<\/p>

在 chunk1 中构造一个伪造的 chunk，其 fd<\/code> 和 bk<\/code> 均指向自身（绕过 unlink 检查）。<\/li>
计算 fake chunk 与 chunk3 的偏移，并将该值写入 chunk3 的 prev_size<\/code>（通过 chunk2 的溢出实现）。<\/li>
<\/ul>
<\/li>

修改元数据<\/strong>：<\/p>

通过溢出将 chunk3 的 PREV_INUSE<\/code> 位清零（标记前一个 chunk 为空闲）。<\/li>
确保 chunk3 的 prev_size<\/code> 指向伪造的 fake chunk。<\/li>
<\/ul>
<\/li>

触发合并<\/strong>：<\/p>

释放 chunk3，进入 _int_free()<\/code> 流程。<\/li>
Glibc 检查到 PREV_INUSE<\/code> 为 0，根据 prev_size<\/code> 找到伪造的 fake chunk。<\/li>
执行向后合并操作，将 fake chunk 和 chunk3 合并为一个大的空闲 chunk。<\/li>
<\/ul>
<\/li>

堆块重叠<\/strong>：<\/p>

合并后的 chunk 包含 fake chunk 和 chunk3，造成堆块重叠。<\/li>
此时分配新 chunk 可能返回伪造的地址。<\/li>
<\/ul>
<\/li>

进一步利用<\/strong>：<\/p>

通过分配操作控制伪造地址的内存，实现任意地址读\/写。<\/li>
常见目标：修改 __malloc_hook<\/code>、__free_hook<\/code> 或 GOT 表，获取 shell。<\/li>
<\/ul>
<\/li>
<\/ol>

4. 攻击原理与源码分析<\/h2>
4.1 free()<\/code> 合法性校验<\/h3>
在 _int_free()<\/code> 中，释放 chunk 时会进行以下检查：<\/p>

检查 chunk 大小是否合法（对齐、最小\/最大大小）。<\/li>
检查是否属于 tcache、fastbin 或 unsorted bin 范围。<\/li>
若进入 unsorted bin 分支，会检查前后 chunk 的合并条件。<\/li>
<\/ul>
4.2 向前合并校验<\/h3>

若当前 chunk 的 PREV_INUSE<\/code> 为 0，则根据 prev_size<\/code> 找到前一个 chunk。<\/li>
检查前一个 chunk 的 size<\/code> 是否与 prev_size<\/code> 一致。<\/li>
调用 unlink_chunk()<\/code> 将前一个 chunk 从链表中摘下，并合并。<\/li>
<\/ul>
4.3 向后合并校验<\/h3>

若下一个 chunk 不是 top chunk 且未被使用，则合并当前 chunk 和下一个 chunk。<\/li>
<\/ul>
4.4 unlink 校验绕过<\/h3>
在 unlink_chunk()<\/code> 中，需满足：<\/p>
FD-><\/span>bk ==<\/span> P &&<\/span> BK-><\/span>fd ==<\/span> P
<\/span><\/span><\/code><\/pre>因此，伪造的 fake chunk 必须满足：<\/p>

fd = &fake_chunk<\/code><\/li>
bk = &fake_chunk<\/code><\/li>
<\/ul>

5. 实战案例：湾区杯2025 digital_bomb<\/h2>
5.1 题目分析<\/h3>

程序模拟“猜数字”游戏，通过特定输入可进入堆功能菜单。<\/li>
堆菜单提供 add<\/code>、edit<\/code>、free<\/code>、show<\/code> 功能。<\/li>
add<\/code> 函数存在 off-by-null<\/strong> 漏洞（输入数据后追加 \x00<\/code> 截断）。<\/li>
<\/ul>
5.2 漏洞利用步骤<\/h3>


绕过炸弹<\/strong>：<\/p>

输入范围 499-500<\/code>，炸弹数为 499<\/code>。<\/li>
输入 500<\/code> 更新边界为 499-499<\/code>，绕过炸弹检测。<\/li>
<\/ul>
<\/li>

泄露堆地址<\/strong>：<\/p>

利用 large bin 和 edit<\/code> 函数泄露 heap 地址。<\/li>
<\/ul>
<\/li>

触发 House of Einherjar<\/strong>：<\/p>

利用 off-by-null 修改下一个 chunk 的 PREV_INUSE<\/code> 位。<\/li>
伪造 fake chunk，构造 prev_size<\/code> 触发合并。<\/li>
<\/ul>
<\/li>

泄露 libc 地址<\/strong>：<\/p>

通过堆块重叠泄露 libc 地址。<\/li>
<\/ul>
<\/li>

获取 shell<\/strong>：<\/p>

修改 strlen<\/code> 的 GOT 表为 one_gadget<\/code>。<\/li>
<\/ul>
<\/li>
<\/ol>
5.3 EXP 关键点<\/h3>

伪造 fake chunk 并计算正确偏移。<\/li>
通过 show<\/code> 和 edit<\/code> 函数泄露地址。<\/li>
利用合并后的重叠 chunk 修改 fd<\/code> 指针，实现任意地址分配。<\/li>
<\/ul>

6. 防御与缓解<\/h2>

及时更新 Glibc<\/strong>：新版本 Glibc 增加了更多完整性检查。<\/li>
静态分析<\/strong>：检测 off-by-one 等溢出漏洞。<\/li>
堆布局随机化<\/strong>：使用 ASLR 增加预测难度。<\/li>
使用安全机制<\/strong>：如 FORTIFY_SOURCE<\/code>、堆保护机制（如 GLIBC_PTRACE_MACROS<\/code>）。<\/li>
<\/ol>

7. 总结<\/h2>
House of Einherjar 是一种利用堆合并机制的先进利用技术，其核心在于：<\/p>

通过溢出修改元数据，欺骗 Glibc 合并伪造 chunk。<\/li>
通过精心构造的 fake chunk 绕过 unlink 检查。<\/li>
结合其他漏洞（如信息泄露）实现完整利用。<\/li>
<\/ul>
掌握此技术需深入理解 Glibc 堆管理机制，建议通过实验环境（如 Ubuntu 18.04 + Glibc-2.27）反复调试以加深理解。<\/p>

附件：digtal_bomb.zip（需下载练习）<\/p>
<\/blockquote>