unlink

最新推荐文章于 2023-04-06 19:58:03 发布
最新推荐文章于 2023-04-06 19:58:03 发布
阅读量229 收藏
点赞数 1
分类专栏: ctf—pwn理论知识 文章标签: 安全 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64195960/article/details/125159236
版权

一、Unlink的过程

1)定义:在双向链表中取出一个chunk的操作

2)使用时间:

1、malloc

·在恰好大小的large chunk处取chunk时

·在比请求大小大的bin中取chunk时

2、Free

·后向合并,合并物理相邻低物理地址空闲chunk时

·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)

3、malloc_consolidate

·后向合并,合并物理相邻低地址空闲chunk时

·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)

4、realloc

前向扩展,合并物理相邻高地址空闲chunk(除top chunk)

3)两个check

具体的源码师傅们自行查看喽

下面摘录两个check(我用语言叙述一下)(这两个check也是后面利用的关键)

1、检测p的下一个chunk的pre_size是否等于p的size

2、检测p->fd->bk是否等于p p->bk->fd是否等于p(p的前一个的后一个和p的后一个的前一个都是自己)

然后就是双向链表里面取一个chunk的过程,可以参考ctfviki的图

二、利用思路

1)条件

  1. UAF ,可修改 free 状态下 smallbin 或是 unsorted bin 的 fd 和 bk 指针
  2. 已知位置存在一个指针指向可进行 UAF 的 chunk

2)效果

使得已指向 UAF chunk 的指针 ptr 变为 ptr - 0x18

3)思路

设指向可 UAF chunk 的指针的地址为 ptr

  1. 修改 fd 为 ptr - 0x18
  2. 修改 bk 为 ptr - 0x10
  3. 触发 unlink

ptr 处的指针会变为 ptr - 0x18。

三、例子

在heap exploitation上有一个 unsafe unlink

97ae4484097cec69eac02fc3bfb26957.png

1)check2的绕过

下面是我画的一张绕过check部分的理解图

如下面左右三张图,将chunk0-3到pre这四个字节看成一个chunk,将chunk0-2到size看成一个chunk

请注意我们目的是绕过第二个check 检测p->fd->bk是否等于p p->bk->fd是否等于p

如中间那张图,p->fd->bk就是chunk0的地址,同理p->bk->fd也是chunk0的地址

这里需要注意:fake_chunk只是我们伪造成chunk样子的chunk,真正检查的是chunk0

2)check1的绕过

将chunk2的pre_size修改为0x80,并且prev_inuse为修改为0

Q:为什么是0x80呢?不应该是0x90吗?

A:在malloc chunk1的时候给的是mem指针,也就是fake chunk是从size之后开始写的

qwq-123
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
unlink函数_PWN-浅析unlink
weixin_39522103的博客
12-11 702
my blog:http://www.pwn4fun.com/About the unlinkunlink,在CTF是比较常见的知识点。What’s the unlinkunlink_chunk函数用于将空闲的chunk从所在的bin取出( 把一个双向链表的空闲块拿出来),可以使用下图描述。可能触发unlink的情形:malloc_consolidate()函数将fastbin的空闲chu...
unlink函数_堆利用之 unlink
weixin_39736047的博客
12-11 691
1 知识补充什么是unlinkunlink 用来将一个双向链表(只存储空闲的 chunk)的一个元素取出来。哪里用到unlinkunlink()常用于free()进行 chunk 的整理,可以对空闲 chunk 进行前向合并和后向合并。当被free()的 chunk 的 P 位为 0 时,说明被free()的 chunk 的前一个 chunk 为空,于是对前一个 chunk 进行 unlink...
关于如何理解Glibc堆管理器(Ⅳ——从Unlink攻击理解指针与chunk寻址方式)
Tokameine的博客
08-01 482
本篇实为个人笔记,可能存在些许错误;若各位师傅发现哪里存在错误,还望指正。感激不尽。 若有图片及文稿引用,将在本篇结尾处著名来源。 参考文章: 在此先给出几篇可供参考的文章。笔者认为几位师傅所写的都比笔者所写要来得更加精炼。倘若您通过如下几篇文章已经能够完全理解Unlink为何,那么大可以不再阅读这篇冗长的文章。 安全客:https://www.anquanke.com/post/id/197481 看雪:https://bbs.pedi...
【堆漏洞-unlink
m0_52343643的博客
04-06 525
当一个堆块(非fastbin)释放时,libc会先看其相邻的堆块是否空闲,空闲的话就将这个相邻堆块从bins取出,并与当前释放堆块合并,而这个bins取出堆块的过程就是unlink
【堆漏洞-Off_by_one】
m0_52343643的博客
04-06 1286
缓冲区溢出的一种,只能溢出一个字节普通 off_by_one ,修改堆上指针通过溢出修改堆块头,制造堆块重叠,达到泄露与改写目的-(1) 扩展被释放堆块-(2) 扩展已分配堆块-(3) 收缩被释放堆块-常见的漏洞场景1、 for循环多接收了一个字符2、 strcpy与strlen的行为不一致,strlen不计算入‘ \x00 ’,strcpy会把‘ \x00 ’一同复制3、判断字符串结束符为‘ \n ’,而不是‘ \x00 ’版本问题。
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
phpunlink()、mkdir()、rmdir()等方法的使用介绍
10-27
`unlink()`, `mkdir()`, 和 `rmdir()` 是三个关键的函数,用于处理文件和目录的操作。下面将详细介绍这三个函数的用法和注意事项。 1. **unlink() 函数**: `unlink()` 用于删除指定的文件。其基本语法是 `unlink...
堆漏洞之unlink1
08-04
《深入理解堆漏洞:以unlink1为例》 堆漏洞是一种常见的软件安全问题,尤其是在C语言编程,由于程序员对内存管理不当,可能导致严重的安全风险。本文将深入探讨一种名为"unlink1"的堆漏洞利用技巧,以及其在特定...
Linux unlink函数和删除文件的操作方法
01-09
在Linux系统,`unlink`函数是用于删除文件或软链接的关键函数。它遵循特定的规则来决定何时真正从磁盘上移除文件内容。理解`unlink`的工作原理有助于我们更好地掌握Linux文件系统的操作。 1. **unlink函数**: `...
【pwn学习】堆溢出(三)- Unlink和UAF
Morphy_Amo的博客
01-21 1776
堆溢出的unlink和UAF
Coredump-N: corrupted double-linked list
mzhan017的博客
02-27 813
可以看到是这一行的调用。查看unlink_chunk函数的汇编,出现coredump时的地址是 817ab,这里可以通过寄存器esi的值算出来;这种没有什么好 的办法,只能通过加-g,使用Valgrind 调试程序,看看问题到底出现在哪里?从逻辑上看,就是双向链表出现了逻辑错误。也就是内存使用上有错误,溢出等。这里可以看出来,在做exit退出时出现了异常;另一种耗时的方法就是看代码,不可取。
Linux下堆溢出利用1-unlink基本原理
haibiandaxia的博客
08-08 962
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成asdfffffsdfsafasf如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的
堆利用之unlink
chenzhenyu1983的博客
04-30 580
一 small bin,large bin等的内存结构 未分配的chunk |  pre chunk size  |   size  |F|C|P| |  fd       |         bk         | presize: 前一个块的大小(如果前一个块是空闲的) size:当前块的大小 F标志位:目前还没有用 C标志位:如果当前块已被分配,置1;否则,置0 P标志位:如果前一个块已被...
how2heap 深入学习(9)
CoLin的pwn小屋
04-17 963
how2heap 深入学习之 2.31的那些检查
16 malloc 虚拟内存分配的调试(1)
970655147的专栏
04-02 942
呵呵 在 c 语言 malloc 应该是初学者必须了解的一个函数了吧但凡 涉及到堆内存分配的相关, 必定会使用到 malloc, realloc, calloc 这几个函数其 malloc 最常见, 也是最 实用在 HotspotVM 也经常会看到 malloc 的身影我们这里 来调试一下 malloc 的相关的一些场景本文主要的主题有四个1. malloc(20) 申请内存, 然后 brk 传递的参数是 132K2. malloc 第一次内存分配 和 第二次内存分配。
jarvisoj(level6)--unlink
九层台
09-21 1580
unlink其实就是把chunk从bin链拉出来然后跟前面或者后面的chunk合并。 参考https://ctf-wiki.github.io/ctf-wiki/pwn/linux/heap/unlink/。 则当我们free(Q)时 glibc 判断这个块是 small chunk。 判断前向合并,发现前一个 chunk 处于使用状态,不需要前向合并。 判断后向合并,发现后一个 chunk ...
2015第一届强网杯
weixin_30301449的博客
03-25 656
第一届强网杯pwn题 shellman 首先看看题目的大致信息,看看哪里会出现问题。 list函数,首先可以看到一些关于内存块的信息,其堆表的基址在bss段,在堆有一个类似于堆块的结构,三个64位数据作为一个堆块的标识,第一个数据位应该是标识当前是否有堆块,为1则表示有堆块,为0则没有,第三个数据应该就是这个堆块标识对应的堆的地址,可以从该地址直接访问堆的数据。其堆块数目也存...
TCACHE STASHING UNLINK ATTACK
qq_51474381的博客
05-08 180
1.源码分析 /* If a small request, check regular bin. Since these "smallbins" hold one size each, no searching within bins is necessary. (For a large request, we need to wait until unsorted chunks are processed to find best fit. But for s
unlink pwn
最新发布
08-25
在计算机安全领域,"unlink"是一种常见的堆溢出攻击利用技术。它利用了"Use-After-Free"漏洞,该漏洞在释放内存后仍然使用该内存的指针。 在具体的实现,"unlink"攻击需要使用全局变量,并进行多次写入。攻击者通过修改堆上的数据结构,使得被释放的堆块的前后指针指向了攻击者想要控制的地址。 下面是"unlink"攻击的主要步骤: 1. 攻击者需要一个全局指针变量p,该变量指向一个堆块。 2. 攻击者通过修改p的fd和bk指针,将p链接到自身的前后堆块上。 3. 攻击者检查p->fd->bk和p->bk->fd是否都指向p,如果不是,则意味着堆块链表被破坏,攻击失败。 4. 如果上述检查通过,攻击者将p->fd->bk指向p的前一个堆块,将p->bk->fd指向p的后一个堆块,完成"unlink"操作。 5. 攻击者可以利用这个被解链的堆块进行任意的内存写入或执行其他操作,从而实现对程序的控制。 总结起来,"unlink"攻击利用了堆溢出漏洞的"Use-After-Free"漏洞,并通过修改堆块的前后指针来实现对程序的控制。这是一种常见的攻击技术,需要仔细的堆结构分析和理解。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [【pwn学习】堆溢出(三)- Unlink和UAF](https://blog.csdn.net/Morphy_Amo/article/details/122631424)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [pwn unlink](https://blog.csdn.net/qq_37433000/article/details/103500857)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值