PWN_Heap_UUnlink

最新推荐文章于 2022-08-03 16:56:21 发布
最新推荐文章于 2022-08-03 16:56:21 发布
阅读量361 收藏 1
点赞数
分类专栏: Pwn 文章标签: python pwn2own 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56897090/article/details/119759936
版权

UUnlink

文章目录

题目描述

基础的堆题目(创建、释放、修改)
带有off by one在写堆数据时

题目原理

此类uunlink题目有一定套路

  1. 整体上来说,就是不断将堆的控制权[[升级]],跳出去。
    1. 升级前:原本只能控制系统给定的堆块区域数据(称用户数据)
    2. 升级后:利用unlink将堆地址篡改为了堆管理区域(相当于获得了系统对于堆整体区域的管理)
  2. GetShell:
    1. 利用堆free时,检查该堆标志位为释放状态,随后glibc会将其与其他释放块进行向上合并
    2. 合并后,用户可直接控制堆的全局数据(跳出了仅仅只能控制用户数据区域的权限)
    3. fd = 0x00602300-0x18是固定的套路,相当于指向了堆块管理区域,里面包含了所有堆的地址储存
    4. 获得全局堆数据篡改权之后,将free@got改成puts@plt输出了程序真实调用libc函数的地址
    5. 通过计算偏移,得到system。再通过(4)同样的方法更改函数调用控制EIP

Exp


#coding=utf8
from pwn import *
context.log_level = 'debug'
context(arch='amd64', os='linux')
local = 1
elf = ELF('./uunlink')
if local:
    p = process('./uunlink')
    libc = elf.libc
else:
    p = remote('172.16.229.161',7001)
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
#onegadget64(libc.so.6)  0x45216  0x4526a  0xf02a4  0xf1147
sl = lambda s : p.sendline(s)
sd = lambda s : p.send(s)
rc = lambda n : p.recv(n)
ru = lambda s : p.recvuntil(s)
ti = lambda : p.interactive()
def bk(addr
最低0.47元/天 解锁文章
Ch1lkat
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
一道Unlink pwn题 (非常好玩)
qq_41071646的博客
06-12 611
这个题目具体出处我现在还不知道 是某个学姐问我的 但是这个题确实很好玩 本来这个题我思路很多 但是 发现好多东西都限制特别多 加上我最近 很多事情都很烦心 (一堆考试 要复习 英语四级什么的还没有准备) 然后就把题 扔给 gou ri的负责人 但是不得不说这个题确实是我想复杂了 没有想到unlink 并且 unlink 我确实不太熟悉~~ 然后这个题目 运行库是 2.23 但是我...
pwn 堆入门之unlink
清霂的博客
04-11 204
目录stkof stkof #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "stkof" context(os="linux", arch=arch, log_level="debug") content = 0 #elf elf = ELF(filename) fgets_addr=0x0000000000400D16 fill_addr=0x00000000004009E8 free_got=elf.got['
我又pwn啦——理论篇 unlink
m0_64195960的博客
06-20 549
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地址空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk时·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
Unlink
kelxLZ的博客
07-03 1564
Author:ZERO-A-ONE Date:2021-07-03 一、unlink的原理 简介:俗称脱链,就是将链表头处的free堆块unsorted bin中脱离出来然后和物理地址相邻的新free的堆块合并成大堆块(向前合并或者向后合并),再放入到unsorted bin中 危害原理:通过伪造free状态的fake_chunk,伪造fd指针和bk指针,通过绕过unlink的检测实现unlink,unlink就会往p所在的位置写入p-0x18,从而实现任意地址写的漏洞 漏洞产生原因:off.
[BUUOJ刷题记录]hitcon2014_stkof 一道Unlink例题
zylxixixi的博客
10-01 291
check一下开启的安全防护,并没有开启PIE 拿到题进行IDA反编译,可以看到有四个函数,对应四种操作,逐个分析。 allocate函数创建一个自定义大小的堆 edit函数自定大小修改堆块的内容,容易产生堆溢出 delete函数就是free堆块 还有一个没有意义的函数 这里比较重要的点是存储堆块地址的数组地址 整体思路为: 申请四个堆块,大小分别为0x1000,0x90,0x80,0x10 一般来说题目会使用setbuf来关闭缓冲区,但由于本题并没有采用s...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
pwn_journey
03-15
pwn_journey 我一直对二进制开发很着迷。 想象一下,能够控制程序的功能,并使其执行应有的功能吗? 对我而言,这是真正的骇客。 所以我想学习它。 该存储库是我进行铺砌的旅程和经验。 您为什么不建立博客呢? 使用...
unlink 入门
qq_42220888的博客
08-03 250
关于ctf pwn unlink学习
PWN之堆利用-unlink攻击
susuate的博客
07-18 1639
环境配置 笔者使用ubuntu14.04.6_desktop_i386 国内镜像网站如下: http://mirrors.aliyun.com/ubuntu-releases/14.04/ glibc版本2.20 unlink攻击
unlink快速入门
abelxu
11-12 3100
0x01 正常unlink 当一个bin从记录bin的双向链表中被取下时,会触发unlink。常见的比如:相邻空闲bin进行合并,malloc_consolidate时。unlink的过程如下图所示(来自CTFWIKI)主要包含3个步骤,就是这么简单。 根据p的fd和bk获得双向链表的上一个chunk FD和下一个chunk BK 设置FD->bk=BK 设置BK->fd=FD 下面看一下unlink的源码。 #安装源码 apt install glibc-source #下面目录下有一个
CTF(pwn) 堆利用 之 unlink 介绍
半岛铁盒的博客
07-01 880
unlink是链表中常见的操作,而我们需要利用这个过程 通过改变链表指针,使中间堆块拿出来 当前的unlink会有一个对链表的完整性检查的 // 由于 P 已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致(size检查) if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \ malloc_printerr ("corrupted size vs. prev_size");
unlink使用的时候需要注意的问题。
Phoenix_FuliMa
03-22 768
进程用open或create创建一个文件,然后立即调用unlink,因为该文件仍是打开的,所以不会将其内容删除掉,只有当进程关闭该文件或终止时,该文件的内容才会被删除。
删除文件提示更改文件权限提示:Operation not permitted
AKmumu的专栏
09-17 3881
一些文件看上去可能一切正常,但当您尝试删除的时候,居然也会报错,就象下边一样:     [root@linux236 root]# ls -l 1.txt     -rw-r——r—— 1 root root 0 Aug 5 23:00 1.txt     [root@linux236 root]# rm -rf 1.txt     rm: cannot unlink `1.txt
unlink函数 与 remove函数
热门推荐
linlin2178的专栏
02-26 1万+
1. 查看 unlink 在帮助手册中的说明: unlink() deletes  a name from the filesystem. If that name was the last link to a file and no processes have the file open the file is deleted and the space it was using is ma
PWN unlink [pwnable.kr]CTF writeup题解系列14(包含本地解决方法)
重新启程
01-06 696
先看看题目内容: 这个题目是比较经典的unlink题目,网上已经有很多wp介绍了做法,我这里就不多阐述,只是把我对在不同操作系统版本下的理解和大家说一下。 我先把服务器的操作系统相关组件的版本和我自己本机用的docker的操作系统相关组件的版本信息列举一下: pwnable.kr # Linux prowl 4.4.179-0404179-generic #20190427043...
DASCTF 6月部分pwn wp
starssgo的博客
06-27 1089
感觉质量挺高的,有点昏迷, 目录Memory-Monster-IVoooooordereasyheapspringboardsecret写在最后 Memory-Monster-IV 这个题我是真的服了,恶心了我一天时间,最后还是没出,知道是要改got表,而且每次只能改一个字节,第一次改后变成ret之类的无用函数,我是不想说啥,没复现出来,贴下作者的分析把: http://taqini.space/2020/06/26/DASCTF-June-Memory-Monster-IV-200pt/ 我感觉能学到的东
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值