PWN_Heap_UUnlink

最新推荐文章于 2023-05-10 16:47:51 发布
最新推荐文章于 2023-05-10 16:47:51 发布
阅读量405 收藏 2
点赞数
分类专栏: Pwn 文章标签: python pwn2own 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56897090/article/details/119759936
版权
本文介绍了PWN_Heap_UUnlink这个基础的堆利用题目,详细阐述了其原理和exploit过程。通过利用堆块管理的UUnlink特性,逐步升级权限,从控制用户数据到篡改堆全局数据,最终实现GetShell。讲解了如何在堆free时修改标志位,合并堆块,并利用此方法控制堆的地址,获取libc函数调用的实际地址,以改变程序执行流程。
摘要由CSDN通过智能技术生成

UUnlink

文章目录

题目描述

基础的堆题目(创建、释放、修改)
带有off by one在写堆数据时

题目原理

此类uunlink题目有一定套路

  1. 整体上来说,就是不断将堆的控制权[[升级]],跳出去。
    1. 升级前:原本只能控制系统给定的堆块区域数据(称用户数据)
    2. 升级后:利用unlink将堆地址篡改为了堆管理区域(相当于获得了系统对于堆整体区域的管理)
  2. GetShell:
    1. 利用堆free时,检查该堆标志位为释放状态,随后glibc会将其与其他释放块进行向上合并
    2. 合并后,用户可直接控制堆的全局数据(跳出了仅仅只能控制用户数据区域的权限)
    3. fd = 0x00602300-0x18是固定的套路,相当于指向了堆块管理区域,里面包含了所有堆的地址储存
    4. 获得全局堆数据篡改权之后,将free@got改成puts@plt输出了程序真实调用libc函数的地址
    5. 通过计算偏移,得到system。再通过(4)同样的方法更改函数调用控制EIP

Exp


#coding=utf8
from pwn import *
context.log_level = 'debug'
context(arch='amd64', os='linux')
local = 1
elf = ELF('./uunlink')
if local:
    p = process('./uunlink')
    libc = elf.libc
else:
    p = remote('172.16.229.161',7001)
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
#onegadget64(libc.so.6)  0x45216  0x4526a  0xf02a4  0xf1147
sl = lambda s : p.sendline(s)
sd = lambda s : p.send(s)
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
def bk(addr
最低0.47元/天 解锁文章
Ch1lkat
关注
专栏目录
一道Unlink pwn题 (非常好玩)
qq_41071646的博客
06-12 636
这个题目具体出处我现在还不知道 是某个学姐问我的 但是这个题确实很好玩 本来这个题我思路很多 但是 发现好多东西都限制特别多 加上我最近 很多事情都很烦心 (一堆考试 要复习 英语四级什么的还没有准备) 然后就把题 扔给 gou ri的负责人 但是不得不说这个题确实是我想复杂了 没有想到unlink 并且 unlink 我确实不太熟悉~~ 然后这个题目 运行库是 2.23 但是我...
pwn 堆入门之unlink
清霂的博客
04-11 233
目录stkof stkof #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "stkof" context(os="linux", arch=arch, log_level="debug") content = 0 #elf elf = ELF(filename) fgets_addr=0x0000000000400D16 fill_addr=0x00000000004009E8 free_got=elf.got['
我又pwn啦——理论篇 unlink
m0_64195960的博客
06-20 592
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地址空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk时·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
Unlink
kelxLZ的博客
07-03 1649
Author:ZERO-A-ONE Date:2021-07-03 一、unlink的原理 简介:俗称脱链,就是将链表头处的free堆块unsorted bin中脱离出来然后和物理地址相邻的新free的堆块合并成大堆块(向前合并或者向后合并),再放入到unsorted bin中 危害原理:通过伪造free状态的fake_chunk,伪造fd指针和bk指针,通过绕过unlink的检测实现unlink,unlink往p所在的位置写入p-0x18,从而实现任意地址写的漏洞 漏洞产生原因:off.
​Unlink
最新发布
weixin_42492218的博客
05-10 420
¶ZCTF 2016 的一道题目,考点是 safe unlink 的利用。¶题目是一个 notepad,提供了创建、删除、编辑、查看笔记的功能1.New note5.Quit保护如下所示NX : YesPIE : No¶程序 New 功能用来新建笔记,笔记的大小可以自定只要小于 1024 字节。int new()所有的笔记 malloc 出来的指针存放在 bss 上全局数组 bss_ptr 中,这个数组最多可以存放 8 个 heap_ptr。
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
[BUUOJ刷题记录]hitcon2014_stkof 一道Unlink例题
zylxixixi的博客
10-01 347
check一下开启的安全防护,并没有开启PIE 拿到题进行IDA反编译,可以看到有四个函数,对应四种操作,逐个分析。 allocate函数创建一个自定义大小的堆 edit函数自定大小修改堆块的内容,容易产生堆溢出 delete函数就是free堆块 还有一个没有意义的函数 这里比较重要的点是存储堆块地址的数组地址 整体思路为: 申请四个堆块,大小分别为0x1000,0x90,0x80,0x10 一般来说题目使用setbuf来关闭缓冲区,但由于本题并没有采用s...
unlink 入门
qq_42220888的博客
08-03 297
关于ctf pwn unlink学习
PWN之堆利用-unlink攻击
susuate的博客
07-18 1738
环境配置 笔者使用ubuntu14.04.6_desktop_i386 国内镜像网站如下: http://mirrors.aliyun.com/ubuntu-releases/14.04/ glibc版本2.20 unlink攻击
unlink快速入门
abelxu
11-12 3315
0x01 正常unlink 当一个bin从记录bin的双向链表中被取下时,触发unlink。常见的比如:相邻空闲bin进行合并,malloc_consolidate时。unlink的过程如下图所示(来自CTFWIKI)主要包含3个步骤,就是这么简单。 根据p的fd和bk获得双向链表的上一个chunk FD和下一个chunk BK 设置FD->bk=BK 设置BK->fd=FD 下面看一下unlink的源码。 #安装源码 apt install glibc-source #下面目录下有一个
CTF(pwn) 堆利用 之 unlink 介绍
半岛铁盒的博客
07-01 942
unlink是链表中常见的操作,而我们需要利用这个过程 通过改变链表指针,使中间堆块拿出来 当前的unlink有一个对链表的完整性检查的 // 由于 P 已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致(size检查) if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \ malloc_printerr ("corrupted size vs. prev_size");
unlink使用的时候需要注意的问题。
Phoenix_FuliMa
03-22 792
进程用open或create创建一个文件,然后立即调用unlink,因为该文件仍是打开的,所以不将其内容删除掉,只有当进程关闭该文件或终止时,该文件的内容才被删除。
删除文件提示更改文件权限提示:Operation not permitted
AKmumu的专栏
09-17 3943
一些文件看上去可能一切正常,但当您尝试删除的时候,居然也报错,就象下边一样:     [root@linux236 root]# ls -l 1.txt     -rw-r——r—— 1 root root 0 Aug 5 23:00 1.txt     [root@linux236 root]# rm -rf 1.txt     rm: cannot unlink `1.txt
unlink函数 与 remove函数
热门推荐
linlin2178的专栏
02-26 1万+
1. 查看 unlink 在帮助手册中的说明: unlink() deletes  a name from the filesystem. If that name was the last link to a file and no processes have the file open the file is deleted and the space it was using is ma
PWN unlink [pwnable.kr]CTF writeup题解系列14(包含本地解决方法)
重新启程
01-06 762
先看看题目内容: 这个题目是比较经典的unlink题目,网上已经有很多wp介绍了做法,我这里就不多阐述,只是把我对在不同操作系统版本下的理解和大家说一下。 我先把服务器的操作系统相关组件的版本和我自己本机用的docker的操作系统相关组件的版本信息列举一下: pwnable.kr # Linux prowl 4.4.179-0404179-generic #20190427043...
DASCTF 6月部分pwn wp
starssgo的博客
06-27 1249
感觉质量挺高的,有点昏迷, 目录Memory-Monster-IVoooooordereasyheapspringboardsecret写在最后 Memory-Monster-IV 这个题我是真的服了,恶心了我一天时间,最后还是没出,知道是要改got表,而且每次只能改一个字节,第一次改后变成ret之类的无用函数,我是不想说啥,没复现出来,贴下作者的分析把: http://taqini.space/2020/06/26/DASCTF-June-Memory-Monster-IV-200pt/ 我感觉能学到的东
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值