低版本下的unlink漏洞攻击

最新推荐文章于 2024-05-17 14:57:23 发布
最新推荐文章于 2024-05-17 14:57:23 发布
阅读量407 收藏
点赞数
文章标签: pwn c语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/130813481
版权

重新做了一下低版本的unlink漏洞攻击,有了新的感悟,发现其实以前根本没搞明白

#define unlink(AV, P, BK, FD) {                                            
    FD = P->fd;                               
    BK = P->bk;
	//检查p和其前后的chunk是否构成双向链表
    if (__builtin_expect (FD->bk != P || BK->fd != P, 0))           
      malloc_printerr (check_action, "corrupted double-linked list", P, AV);  
    else 
    {                            
        FD->bk = BK;                           
        BK->fd = FD;

这是unlink前两个相邻堆块合并前的unlink的操作
在此操作之前,会检查释放的堆块的pre_size和前一个chunk的size是否匹配得上,然后再去看自己得size位得in_use位是否是置为零的。

还是以bamboobox的题目为例,真的重做一遍发现,又理解了许多。
这里我先写下我做题(低版本)这种unlink漏洞利用的理解:
首先unlink操作是发生在unsortedbin里的,也就是说我们构造的堆块必须要大小要是大于等于0x80(包括chunk头的话实际上是0x90,这是最起码的),然后就是构造假的chunk,注意注意,unlink的漏洞利用的条件是,首先最最最起码要有一个off by one的漏洞,接着就是构造一个假的chunk,最重要的是构造它的fd,bk指针,还要去修改下一个chunk的presize位和假chunk的size对得上,注意注意,假chunk的size位的in_use位要为1。

(4条消息) 【PWN-HEAP】Unlink学习笔记_pwn heap unlink_Tr@cer的博客-CSDN博客

另外贴上这位大佬的博客,里面的调试信息非常得清楚。

然后谈谈我的理解,这个假chunk的fd bk指针的构造需要特定的地址才能绕过unlink的检测的
先下个结论:首先要找到合适的地址,按照ctfwiki上面的说法是,选取的地址必须是指向一个chunk。可以去试试,不满足这个条件就会报错,耐心调试就行

cccsl_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux堆溢出漏洞利用之unlink
AliMobileSecurity的博客
06-06 4911
本文详细介绍了unlink攻击技术的核心原理,虽然上述介绍的unlink漏洞利用技术已经失效,但是还是有必要认真学习,因为它一方面可以进一步加深我们对glibc malloc的堆栈管理机制的理解,另一方面也为后续的各种堆溢出攻击技术提供思路。
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
漏洞unlink1
08-04
unlink 漏洞利用技巧的核心就在下面这几行代码:SP00F|版权属于我个人所有,你可以用于学习,但不可以用于商业目的漏洞利用的技巧就是覆盖相邻(下一个或下下
Linux常用命令——unlink命令
AI的博客
01-16 2605
用于系统调用函数unlink去删除指定的文件。和rm命令作用一样,都是删除文件。系统调用函数unlink去删除指定的文件。文件:指定要删除的文件。
linux_pwn(4)--unlink&&hitcon2014_stkof&&hitcontraining_bamboobox
azraelxuemo的博客
03-08 4367
文章目录What is unlinkunsorted bin释放时候的关键源码接下来就是要绕过unlink checkpwn题思路例题保护机制add函数delete函数edit函数开始做题准备框架调试总结 What is unlink unlink其实是unsorted bin在free的时候的一个操作,他的本意其实也是合并空闲的块方便下一次分配,但往往我们可以通过unlink欺骗unsoted bin的空闲块管理链表,产生任意地址写的效果 unsorted bin释放时候的关键源码 else if (!c
漏洞之简单的unlink利用
sunrise的博客
08-09 4235
unlink漏洞(small bin)        当堆块free时,会检查相邻的后面的堆块(地址更小的),或者前面的堆块(地址更大的),是否空闲,如果空闲,那么需要进行堆块合并操作。 空闲的堆块一般以双向链表的形式组织(fast bin是单向链表,此攻击不适用),如果刚刚释放的堆块要与前面或者后面空闲的堆块进行合并操作,那么需要将前或后的堆块从双向链表中摘下来,合并成更大的堆块插入到u...
每天回顾linux命令(unlink
热门推荐
课前的博客
11-06 1万+
unlink命令 unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样。语法 unlink FILEFILE 要删除的文件。eg:root@68fc0a9bc6dd:/home/wzm/testuniq# ls testfile.txt root@68fc0a9bc6dd:/home/wzm/testuniq# unlink testfile.txt root@6
PWN之堆利用-unlink攻击
susuate的博客
07-18 1606
环境配置 笔者使用ubuntu14.04.6_desktop_i386 国内镜像网站如下: http://mirrors.aliyun.com/ubuntu-releases/14.04/ glibc版本2.20 unlink攻击
堆溢出——unlink漏洞攻击(bamboobox)
fzucaicai的博客
03-22 734
当要free掉某个堆块时,如果其地址的chunk是空闲的,那么这里的P就是被释放掉的堆块的地址减去自己的pre_size里的数值,这样就可以指向地址的chunk的chunk头了,通过堆溢出修改掉被释放的chunk的pre_size和size,就可以达到释放该chunk时,unlink调用的P是是指向假chunk的chunk头。1.首先检查被合并的chunk的大小是否正确,程序会先检查被合并的chunk的size是否与其物理相连的下一个chunk的presize是否相符。
PHP unlink与rmdir删除目录及目录下所有文件实例代码
10-18
主要介绍了PHP unlink与rmdir删除目录及目录下所有文件的实例代码,需要的朋友可以参考下
Linux unlink函数和删除文件的操作方法
01-09
1. unlink函数   对于硬链接来说,unlink 用来删除目录项,并把 inode 引用计数减 1,这两步也是一个原子过程。直到 inode 引用计数为 0,才会真正删除文件。   对于软链接来说,unlink 直接删除软链接,而不...
node.js中的fs.unlink方法使用说明
10-25
主要介绍了node.js中的fs.unlink方法使用说明,本文介绍了fs.unlink的方法说明、语法、接收参数、使用实例和实现源码,需要的朋友可以参考下
比大小(打擂台)(C语言)
m0_67184754的博客
05-14 212
【代码】比大小(打擂台)(C语言)
c语言:递归与迭代
qq_58761784的博客
05-14 1088
它却没有得出结果,这是为什么呢,因为,函数在内部多次调用了自己,产生了大量的重复计算,导致计算量巨大,代码执行效率非常,让计算机也无法快速得出结果,这个例子告诉我们,递归是有使用条件的 ,如果要设计一个需要重复计算的程序,不能无脑使用递归,而是首先要思考递归能不能用,是否能让代码简洁的同时,更加高效,那么此类例子我们如何解决呢?可以看到,很快就得到了结果,但是答案是错误的,因为要求的数太大,一个字节无法表示,但是我们可以很直观的看见两者的差别,在这这样一个例子中,使用迭代会优于使用递归。
手撕C语言题典——链表的中间节点
Antigonos的博客
05-14 400
链表的中间节点同样也是力扣上一道简单题,适合刚学过单链表的我们更好的理解链表相关知识~
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
安全+大模型应用系列之RSAC的Dropzone AI的分析
最新发布
si1ence的博客
05-17 397
从Dropzone AI广泛的认可度来看,国外对该思路的认可度较好,前期在国内项目验证的时候客户也非常感兴趣。但是目前国内的安全产品、安全平台较为封闭、无法像国外产品能够广泛直接对接、或许是当前制约国内的安全GPT广泛推广的一个阻碍; 安全+大模型的产品的逐渐按照多能力的安全专家(全能)的能力和价值去规划、应该是一个受客户认可的正确方向。
介绍下unlink函数
06-14
`unlink()` 函数是 C 标准库中的一个函数,用来删除指定的文件。它的函数原型如下: ...以上代码将会删除当前目录下名为 `example.txt` 的文件。如果删除成功则输出 `文件删除成功`,否则输出 `文件删除失败`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值