Linux堆溢出漏洞利用之unlink

最新推荐文章于 2023-08-01 21:37:12 发布
最新推荐文章于 2023-08-01 21:37:12 发布
阅读量4.9k 收藏 10
点赞数 1
分类专栏: 系统安全 漏洞安全 文章标签: 漏洞 unlink 阿里聚安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AliMobileSecurity/article/details/51595245
版权
本文详细解析了Linux堆溢出漏洞利用中的unlink技术,介绍了其基本知识,包括向后合并和向前合并操作。通过覆盖chunk header,攻击者可以利用unlink机制在free函数调用时执行shellcode。同时,文章讨论了针对unlink的防御技术,如Double Free检测、next size非法检测和双链表冲突检测。尽管现代系统已对此类攻击有所防范,但理解unlink攻击原理对深入学习Linux内存管理和安全至关重要。
摘要由CSDN通过智能技术生成

Linux堆溢出漏洞利用之unlink

作者:走位@阿里聚安全


0 前言

之前我们深入了解了glibc malloc的运行机制(文章链接请看文末),下面就让我们开始真正的堆溢出漏洞利用学习吧。说实话,写这类文章,我是比较怂的,因为我当前从事的工作跟漏洞挖掘完全无关,学习这部分知识也纯粹是个人爱好,于周末无聊时打发下时间,甚至我最初的目标也仅仅是能快速看懂、复现各种漏洞利用POC而已…鉴于此,后续的文章大致会由两种内容构成:1)各种相关文章的总结,再提炼;2)某些好文章的翻译及拓展。本文两者皆有,主要参考文献见这里

1 背景介绍

首先,存在漏洞的程序如下:


在代码[3]中存在一个堆溢出漏洞:如果用户输入的argv[1]的大小比first变量的666字节更大的话,那么输入的数据就有可能覆盖掉下一个chunk的chunk header——这可以导致任意代码执行。而攻击的核心思路就是利用glibc malloc的unlink机制。

上述程序的内存图如下所示:


2 unlink技术原理

2.1 基本知识介绍

unlink攻击技术就是利用”glibc malloc”的内存回收机制,将上图中的second chunk给unlink掉,并且,在unlink的过程中使用shellcode地址覆盖掉free函数(或其他函数也行)的GOT表项。这样当程序后续调用free函数的时候(如上面代码[5]),就转而执行我们的shellcode了。显然,核心就是理解glibc malloc的free机制。


在正常情况下,free的执行流程如下文所述:

PS: 鉴于篇幅,这里主要介绍非mmaped的chunks的回收机制,回想一下在哪些情况下使用mmap分配新的chunk,哪些情况下不用mmap?

一旦涉及到free内存,那么就意味着有新的chunk由allocated状态变成了free状态,此时glibc malloc就需要进行合并操作——向前以及(或)向后合并。这里所谓向前向后的概念如下:将previous free chunk合并到当前free chunk,叫做向后合并;将后面的free chunk合并到当前free chunk,叫做向前合并。

最低0.47元/天 解锁文章
阿里安全
关注
专栏目录
溢出----Unlink
qq_42192672的博客
10-24 816
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink/                   http://www.anquan.us/static/drops/tips-16610.html 原理直接拷贝CTFWIKI的原话 这个直接看图挺容易懂得,有点像数据结构的链表操作 这个就是unlink的基本操...
漏洞之unlink1
08-04
unlink 漏洞利用技巧的核心就在下面这几行代码:SP00F|版权属于我个人所有,你可以用于学习,但不可以用于商业目的漏洞利用的技巧就是覆盖相邻(下一个或下下
Linux下的伪造漏洞利用技术(new unlink)
weixin_30265103的博客
09-14 76
感觉markdown的文件格式看起来更清晰一些就写成附加的形式了。Download 更正:这种利用方式不叫House of Mind,是我搞混了。 转载于:https://www.cnblogs.com/Ox9A82/p/5873652.html...
初级溢出-unlink漏洞
weixin_34395205的博客
09-30 281
Linux的unlink漏洞 参考文章:https://blog.csdn.net/qq_25201379/article/details/81545128 首先介绍一下Linux块结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; INTERNAL_SIZE_T size; struct malloc_chunk *f...
linux溢出unlink的一个简单例子及利用
weixin_30883777的博客
08-02 253
  最近认真学习了下linux的管理及溢出利用,做下笔记;作者作为初学者,如果有什么写的不对的地方而您又碰巧看到,欢迎指正。   本文用到的例子下载链接https://github.com/ctfs/write-ups-2014/tree/master/hitcon-ctf-2014/stkof   首先总结一下linux的分配管理。的基本结构见上一篇文章,这里不再赘述。 ...
linux溢出实验和一些tips
一个码农的笔记
09-26 4823
首先我的实验环境和教程均来自http://staff.ustc.edu.cn/~sycheng/ssat/,我这里讲的是《缓冲区溢出溢出》这个课程的实验 实验开始,首先你要准备好环境,我的操作系统是BOF_debian2.4.18,你可以在https://pan.baidu.com/share/link?uk=447211&shareid=2477082370#list/path=%2F&pa
【逆向学习记录】漏洞利用之Unlink
卦星的专栏
05-19 881
1 概述 前面虽然学习了的chunk及调试了部分简单的案例,了解chunk的结构,但是针对漏洞利用,还需要一个完整的实践来进一步的验证 参考: ctf pwn中的unlink exploit利用 CTF-wifi–unlink Linux溢出漏洞利用之unlink 2 Unlink操作 2.1 正常unlink的过程 P->fd->bk = P->bk. P->...
linux溢出学习之unsafe unlink
jmp esp
12-10 3387
示例代码来源:https://github.com/Escapingbug/how2heap/blob/master/unsafe_unlink.c#include <stdio.h> #include <stdlib.h> #include <string.h> #include <stdint.h> uint64_t *chunk0_ptr;int main() { printf("We
溢出漏洞简介
这里没人
05-14 8403
简介 这次来介绍一下溢出漏洞。不过这次的溢出漏洞比较复杂,不像栈溢出一样容易理解。所以这一次的内容会比较多。我尽量详细的介绍溢出漏洞,以及相关的知识。 首先,关于神马是溢出。简而言之就是在上产生的溢出。一般我们使用malloc等函数申请的内存都会储存在段上。并且由操作系统来管理已经使用和剩余内存,完成内存分配以及回收等等的操作。而溢出便是因为程序员的粗心大意,造成了读入的数据超过...
CTF-PWN-note-service2 (中shellcode执行)
SuperGate的博客
11-18 569
checksec Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: PIE enabled RWX: Has RWX segments 发现没有开启NX,因此很有可能是要我们将sh...
编写"优美"的SHELLCODE
jincm的专栏
12-31 2844
编写"优美"的SHELLCODE 作者:watercloud   主页:http://www.nsfocus.com 日期:2002-1-4     SHELLCODE的活力在于其功能,如果在能够完成功能的前提下又能比较"优美",那么就 更能体现shellcode的魅力. 个人认为shellcode的优美能在两个地方表现:     shellcode本身应该尽量的短小.
在不知道libc的情况下getshell&&qctf_2018_noleak
azraelxuemo的博客
04-02 273
文章目录qctf_2018_noleak题目分析deleteeditcheckSec攻击思路考虑怎么把地址尽量靠近malloc_hook如何把main_arena地址写进去修改为malloc_hook修改malloc_hook为我们bss地址并填入shellcodegetshellallpayload 这个题也真是开了眼了,完全就不知道libc,但最后也是打出来了 qctf_2018_noleak qctf_2018_noleak 题目分析 delete 没有清空 edit 随便溢出 checkSe
【二进制安全漏洞:Double Free原理
最新发布
Juruo@Security
08-01 1234
【二进制安全】Double Free原理
【学习笔记】CTF PWN选手的养成(三)
prettyX的博客
12-04 1288
atum大佬视频的总结 第三章 课时2 漏洞的利用技巧 0X01 基础知识 1、操作系统中的内存布局(Linux) 内核空间&用户空间,、栈等;cat /proc/pid/maps 要了解ELF文件结构 2、什么是? 数据结构:父节点总大于/小于子节点的特殊的完全二叉树 操作系统:程序在运行时动态申请和释放的内存空间(malloc,realloc,free,new,d...
Double free(hows2heap)
fanghuapyk的博客
04-23 1679
1.fastbin_dup fast bin fast bin主要是用来存放一些小的内存,使用fastbin可以提高小内存的分配效率,在默认情况下,对于SIZE_SZ为4B(32位)的平台,小于64B(字节)的chunk分配请求,和对于SIZE_SZ为8B(64位)的平台,小于128B的chunk分配请求首先会在fast bin中查找是否有所需大小的chunk存在,如果存在,就会直接返回内存资源,如果不存在,才会到其他bins中去查找。 fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过 f
【逆向学习记录】Tcachebin CISCN_2019_PWN17 Write up
卦星的专栏
09-01 1002
1 概述 这几天做了一个libc2.27的题目,了解到tcachebin的基础内容,发现利用这个tcachebin,反而导致漏洞更好利用了 2 tchchebin 3 CTF题目 题目1:CISCN2019_pwn6 参考:pwn6_exp 题目2:CISCN2019_pwn17 4 解题思路 4.1 题目解析 1,输入内容,基本上没有任何内容提示 2、反编译查看 1、存在一个check,绕过这...
CTF二进制快速入门笔记01
kelxLZ的博客
11-30 1497
常见的二进制程序漏洞溢出溢出,UAF,这个UAF比较经常被问到 上述漏洞怎么利用 一、栈溢出 1.1 基础栈结构 进入函数时: CALLXXX PUSH retadddr(call的下一条指令,目的:知道怎么回来) JMP XXX 进入到XXX PUSH RBP(保存栈基址,好恢复) MOV RBP,RSP(栈底抬上去) SUB RSP,XXh(抬高栈顶给局部函数预留空间) 退出函数时: leave mov rsp,rbp(把rsp弄回来) pop rbp(把rb..
malloc崩溃
yunlianglinfeng的专栏
02-24 5055
malloc崩溃
漏洞利用:理解unlink机制与技巧
"漏洞之unlink1 - 一篇关于Linux环境下glibc库中管理漏洞的分析和利用技术的文章,作者SP00F强调了unlink操作在内存管理中的关键作用,以及如何通过覆盖相邻chunk的prev_inuse位来触发漏洞利用。文章适合于学习...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值