unlink机制及结合heap exploitation进行理解

最新推荐文章于 2024-07-19 17:37:28 发布
最新推荐文章于 2024-07-19 17:37:28 发布
阅读量148 收藏
点赞数
分类专栏: pwn 文章标签: java servlet html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62326489/article/details/125742982
版权

1malloc.c源码


#!c
1413    /* Take a chunk off a bin list */
1414    #define unlink(AV, P, BK, FD) {                                            
1415        FD = P->fd;                                                                      
1416        BK = P->bk;                                                                      
1417        if (__builtin_expect (FD->bk != P || BK->fd != P, 0))                      
1418          malloc_printerr (check_action, "corrupted double-linked list", P, AV);  
1419        else {                                                                      
1420            FD->bk = BK;                                                              
1421            BK->fd = FD;                                                              
1422            if (!in_smallbin_range (P->size)                                      
1423                && __builtin_expect (P->fd_nextsize != NULL, 0)) {                      
1424                if (__builtin_expect (P->fd_nextsize->bk_nextsize != P, 0)              
1425                    || __builtin_expect (P->bk_nextsize->fd_nextsize != P, 0))    
1426                  malloc_printerr (check_action,                                      
1427                                   "corrupted double-linked list (not small)",    
1428                                   P, AV);                                              
1429                if (FD->fd_nextsize == NULL) {                                      
1430                    if (P->fd_nextsize == P)                                      
1431                      FD->fd_nextsize = FD->bk_nextsize = FD;                      
1432                    else {                                                              
1433                        FD->fd_nextsize = P->fd_nextsize;                              
1434                        FD->bk_nextsize = P->bk_nextsize;                              
1435                        P->fd_nextsize->bk_nextsize = FD;                              
1436                        P->bk_nextsize->fd_nextsize = FD;                              
1437                      }                                                              
1438                  } else {                                                              
1439                    P->fd_nextsize->bk_nextsize = P->bk_nextsize;                      
1440                    P->bk_nextsize->fd_nextsize = P->fd_nextsize;                      
1441                  }                                                                      
1442              }                                                                      
1443          }                                                                              
1444    }
1445    
1446    /*

2.检查机制

                                                                  
       if (__builtin_expect (FD->bk != P || BK->fd != P, 0))                      
          malloc_printerr (check_action, "corrupted double-linked list", P, AV);

按照上面检测的源码要求p->fd->bk=p且p->bk->fd=p

3连接方式

这边直接用的星盟师傅讲课时的图

 4利用方式demo

这边利用方式比较容理解的话还是heap exploitation

代码的地址

https://github.com/DhavalKapil/heap-exploitation

代码的截图

 

 

这一段是定义结构体,然后后面的那一部分都是一些初始化,注意这里我们修改的都是mem指针,也就意味要空出前面的size和pre size的位置,所以如果我们用的大小为0x80,实际的大小应为0x90

 

然后具体的利用方式

1绕过保护

 这段代码不是很清楚(因为是截图),主要的功能是构造一个fake chunk并且能绕过之前说的检测机制,具体原理如下

数据结构和具体位置

pre size    +0

size           +1

fd             +2

bk             +3

有上面截图的代码可知fd的值为&chunk1-3,按照检查机制p->fd->bk=&chunk1-3+3=&chunk1,即完美的满足了监测机制,同理p->bk->fd=&chunk1-2+2=&chunk1

 2利用源码

这一段代码将堆中的对前一个chunk判断是否被占用的数值 设置为0,当我们后面free时将会与前一个进行合并执行源码中的

        else {                                                                      
1420            FD->bk = BK;                                                              
1421            BK->fd = FD;

 此时chunk1会指向&chunk1-3的位置,原因仍然是按照上面的计算方法 

fd->bk=chunk1-3+3=chunk1=bk=chunk1-2

同理 bk->fd=chunk1-2+2=chunk1=fd=chunk1-3

此时chunk1【3】=chunk1+3=chunk1

此时chunk1[3]=chunk1[0]=chunk1

 

所以对chunk1【0】修改就会改变chunk1[3]的值,最后的输出结果将会变为hacked,即达到了一个脱链的功能

 

 

名字被注册了诶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一道题彻底理解 Pwn Heap Unlink
Ms08067安全实验室
12-20 848
基本原理unlink是一个宏操作,用于将某一个空闲 chunk 从其所处的双向链表中脱链,我们来利用unlink 所造成的漏洞时,其实就是对进行 unlink chunk 进行内存布局,...
CTF之堆溢出-unlink原理探究
热门推荐
BadRer的博客
06-12 1万+
来干!来干! 转战堆溢出,这东东确实接触的很少,听说很神奇很细腻。我也是初次接触就和大家一起共同学习下,也填补下这方面的空白。 https://sploitfun.wordpress.com/2015/02/26/heap-overflow-using-unlink/ 这篇文章讲的就是堆溢出的原理,不过全是英文,估计。。。慢慢看,不急。我就结合着它给的示例程序来分析下原理,以及如何利用堆溢出。
Unlink
kelxLZ的博客
07-03 1577
Author:ZERO-A-ONE Date:2021-07-03 一、unlink的原理 简介:俗称脱链,就是将链表头处的free堆块unsorted bin中脱离出来然后和物理地址相邻的新free的堆块合并成大堆块(向前合并或者向后合并),再放入到unsorted bin中 危害原理:通过伪造free状态的fake_chunk,伪造fd指针和bk指针,通过绕过unlink的检测实现unlink,unlink就会往p所在的位置写入p-0x18,从而实现任意地址写的漏洞 漏洞产生原因:off.
探索堆内存的世界:Heap Exploitation
gitblog_00005的博客
05-14 238
探索堆内存的世界:Heap Exploitation 项目地址:https://gitcode.com/DhavalKapil/heap-exploitation 1、项目介绍 Heap Exploitation 是一本专门为那些想要深入理解堆内存工作原理,特别是对glibc的malloc和free函数实现感兴趣的技术爱好者和安全研究人员编写的书籍。它以简洁明了的方式,从基础知识出发,带你走进复杂...
我又pwn啦——理论篇 unlink
m0_64195960的博客
06-20 549
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地址空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk时·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
堆溢出-unlink
yms0211的博客
03-18 865
#有几张图出自hollk师傅的文章,原文链接:https://blog.csdn.net/qq_41202237/article/details/108481889# 堆溢出-unlink 对unlink的利用大概就是对chunk进行内存布局,然后借助unlink中对指针的操作来修改chunk中的指针 unlink的宏定义: #define unlink(AV, P, BK, FD) { FD = P->f
unlink原理及利用
AFCC_的博客(Web_Dog)
02-27 1756
unlink是利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的堆块在物理上相邻时,会将他们合并,并将原来free的堆块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。但这里的前和后都是指在物理内存中的位置,而不是fd和bk链表所指向的堆块。 以当前的chunk为基准,将preivous free chunk合并到当前chunk称为向后合...
Linux下堆溢出利用1-unlink基本原理
haibiandaxia的博客
08-08 942
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成asdfffffsdfsafasf如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的
Heap Exploitation(简体中文)1
08-03
Heap Exploitation(简体中文)1》是一本针对想要深入理解堆内存,特别是glibc的'malloc'和'free'实现的书籍。这本书主要分为两个部分:一是堆内存的详细描述,二是堆利用技术的介绍。以下是关键知识点的详细说明: ...
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
PHP unlink与rmdir删除目录及目录下所有文件实例代码
10-18
主要介绍了PHP unlink与rmdir删除目录及目录下所有文件的实例代码,需要的朋友可以参考下
Linux unlink函数和删除文件的操作方法
01-09
在Linux系统中,`unlink`函数是用于删除文件或软链接的关键函数。...了解其工作原理对于系统管理员和开发者来说是必要的,因为它可以帮助我们更好地理解和管理文件的生命周期,以及在必要时进行数据恢复。
linux内核pwn,浅谈Linux Pwn Unlink机制
weixin_31361715的博客
04-29 490
unlink是堆溢出中的一种常见的利用形式,通过将双向列表中的空闲块拿出来与将要free的物理相邻的块进行合并。unlink对于最初接触的人来说机制比较难以理解,笔者会结合unlink的实现源码以及使用gdb调试对unlink进行阐述。unlink的触发当使用free函数释放正在使用的chunk时,会相应地检查其相邻的chunk是否为空闲,如果为空闲则会将相邻的chunk与free的chunk进行...
linux堆溢出学习之unsafe unlink
jmp esp
12-10 3325
示例代码来源:https://github.com/Escapingbug/how2heap/blob/master/unsafe_unlink.c#include <stdio.h> #include <stdlib.h> #include <string.h> #include <stdint.h> uint64_t *chunk0_ptr;int main() { printf("We
heap 漏洞 unlink
samohyes的博客
06-05 524
看了好久没看懂、、、一知半解,把链接放这里,慢慢看内存管理机制https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.680125d6KB9x2z&amp;articleid=334漏洞利用http://manyface.github.io/2016/05/19/AndroidHeapUnlinkExploitPractic...
【PWN-HEAP】Unlink学习笔记
SWEET0SWAT的博客
09-02 779
题目练习 HITCON2016 bamboobox 反编译情况: 程序分析
Heap-Unlink一谈
qq_41252520的博客
08-12 409
前话 原理在这就不说了,很多博主说得都非常的详细,我也是从他们那里学到的。本篇主要就是讲解常见的Unlink利用。主要分为有泄漏操作和无泄漏操作。 有泄漏操作就是能够输出堆中的信息,无泄漏就是不能泄露堆中的信息。 有泄漏操作 ZCTF-2016-note2 【保护】: RELRO保护一定要非常注意,如果是这种情况下(部分开启),说明任意函数的got表都可写;如果是完全开启(FULL)...
Java内存模型
最新发布
weixin_44267758的博客
07-19 306
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 564
JVM-垃圾回收与内存分配
深入理解堆内存与 heap 漏洞利用
"heap-exploitation.pdf 是一本关于堆内存利用技术的书籍,主要探讨了glibc库中的malloc和free函数实现,以及堆溢出攻击的相关知识,旨在帮助读者理解堆内存的内部工作原理和安全漏洞利用。" 本书首先深入浅出地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值