堆溢出 pawnable.kr Unlink

最新推荐文章于 2023-04-06 19:58:03 发布
最新推荐文章于 2023-04-06 19:58:03 发布
阅读量1.7k 收藏 2
点赞数 1
分类专栏: 安全 文章标签: pwn pwnable unlink 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nibiru_holmes/article/details/60880434
版权

题目地址:http://pwnable.kr/play.php

按题目提示连接  ssh unlink@pwnable.kr -p2222 (pw: guest)

ls    发现和之前的题目一样: 三个文件分别是 flag,unlink,unlink.c

先查看unlink.c  源码如下:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
typedef struct tagOBJ{
        struct tagOBJ* fd;
        struct tagOBJ* bk;
        char buf[8];
}OBJ;

void shell(){
        system("/bin/sh");
}

void unlink(OBJ* P){
        OBJ* BK;
        OBJ* FD;
        BK=P->bk;
        FD=P->fd;
        FD->bk=BK;
        BK->fd=FD;
}
int main(int argc, char* argv[]){
        malloc(1024);
        OBJ* A = (OBJ*)malloc(sizeof(OBJ));
        OBJ* B = (OBJ*)malloc(sizeof(OBJ));
        OBJ* C = (OBJ*)malloc(sizeof(OBJ));

        // double linked list: A <-> B <-> C
        A->fd = B;
        B->bk = A;
        B->fd = C;
        C->bk = B;

        printf("here is stack address leak: %p\n", &A);
        printf("here is heap address leak: %p\n", A);
        printf("now that you have leaks, get shell!\n");
        // heap overflow!
        gets(A->buf);

        // exploit this unlink!
        unlink(B);
        return 0;
}


很明显是模拟的 Unlink 堆溢出漏洞,和题目一致,不知道这个可以先去看看这篇文章 :http://www.evil0x.com/posts/24617.html


在 gets(A->buf)   处有堆溢出,我们可以通过这个来改写A,B,C的堆空间内容。

重点当然是在unlink上 , unlink(B)做的其实就是将 B 从双向链表中取出来。

在这个双向链表中,fd指向前一个节点,bk指向后一个节点。

unlink() 所作的就是:   

(B->fd)->bk=B->bk

(B->bk)->fd=B->fd

因为 OBJ 结构体的第一个成员就是fd  所以上式  ==   *(*B+4) = *(B+4) 

                                                                                 

最低0.47元/天 解锁文章
intfre
关注
专栏目录
溢出----Unlink
qq_42192672的博客
10-24 818
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink/                   http://www.anquan.us/static/drops/tips-16610.html 原理直接拷贝CTFWIKI的原话 这个直接看图挺容易懂得,有点像数据结构的链表操作 这个就是unlink的基本操...
pwn学习】溢出(三)- Unlink和UAF
Morphy_Amo的博客
01-21 1898
溢出中的unlink和UAF
pwnable.kr】 unlink
weixin_30340745的博客
07-16 219
pwnable.kr 第一阶段的最后一题! 这道题目就是溢出的经典利用题目,不过是把块的分配与释放操作用C++重新写了一遍,可参考《C和C++安全编码一书》//不是广告 #include <stdio.h> #include <stdlib.h> #include <string.h> typedef struct tagOBJ{ ...
pwnalb.kr之unlink
Yale的博客
06-19 330
前言: 这道题目应该是pwnable.kr上Toddler’s Bottle最难的题目了,涉及到相对比较难的利用的问题,所以拿出来分析。 登录 看看源程序 程序中有几点要注意的地方: 1.定义的OBJ结构体中一个指针4字节,buf[]数组8字节 2.Unlink()的过程其实就是双向链表中摘下中间那一块的过程 3.主函数中malloc了三个结构体,并通过指针连成了双向链表A<->B<->C 4.打印出A的栈地址,地址,这两个地址这里记做stack,hep,待会儿在分析中会用到
全面剖析Pwnable.kr unlink
Bill
08-10 2116
   最近一直在学习方面的知识,unlink是CTF中考察方面知识的重点.于是就拿一道简单的例题来剖析一下.方面的PWN对内存的分配和回收机制要求比较高,也是CTF中压轴题. 目录: 知识简介 漏洞分析 漏洞利用 Write Up及相关链接 知识简介: 为了节约内存,被使用之后的chunk和未使用的chunk的内存布局不相同,但是都用了相同的大小,于是free...
pwnable之unlink
pwd_3的博客
09-29 677
问题分析程序自己写了一个实现unlink的程序,没有任何check,并且存在溢出经典的unlink attack,这里就不介绍了。//unlink bk_chunk = p->bk fd_chunk = p->fd bk_chunk->fd = fd_chunk fd_chunk->bk = bk_chunksolv.pyfrom pwn import * context.log_level =
PWN unlink [pwnable.kr]CTF writeup题解系列14(包含本地解决方法)
重新启程
01-06 742
先看看题目内容: 这个题目是比较经典的unlink题目,网上已经有很多wp介绍了做法,我这里就不多阐述,只是把我对在不同操作系统版本下的理解和大家说一下。 我先把服务器的操作系统相关组件的版本和我自己本机用的docker的操作系统相关组件的版本信息列举一下: pwnable.kr # Linux prowl 4.4.179-0404179-generic #20190427043...
node.js中的fs.unlink方法使用说明
10-25
在fs模块中,fs.unlink方法用于删除文件。 使用fs.unlink方法之前,首先需要引入fs模块。通过require方法引入fs模块,例如var fs = require('fs')。引入模块后,fs unlink方法可以被调用执行删除文件的操作。fs....
漏洞之unlink1
08-04
"unlink1"漏洞利用的核心在于通过溢出覆盖相邻chunk的prev_inuse位,从而触发合并操作。当这个位被覆盖后,系统在执行free时可能会错误地认为两个chunk可以合并,进而执行`unlink`。此时,攻击者可以通过篡改相邻...
初级溢出-unlink漏洞
weixin_34395205的博客
09-30 282
Linux下的unlink漏洞 参考文章:https://blog.csdn.net/qq_25201379/article/details/81545128 首先介绍一下Linux的块结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; INTERNAL_SIZE_T size; struct malloc_chunk *f...
babyfengshui 溢出的入门题
qq_41071646的博客
02-11 1715
本文 参考资料 https://github.com/firmianay/CTF-All-In-One 感谢 作者的 无私奉献 若是侵权 请联系 本人 本人会修改或删除 这道题 其实我也是看这篇文章才撸会的 怎么说呢 这个题 本来 我也是有点迷糊的 补了一些 溢出的资料 就懂了许多 这里我是结合资料 来写的 本人也是一个菜虾 要是哪里不对 还请指教 ...
(栈)溢出之unlink
jiuweideqixu的博客
08-12 368
Daddy! how can I exploit unlink corruption? ssh unlink@pwnable.kr -p2222 (pw: guest) 源代码如下: #include <stdio.h> #include <stdlib.h> #include <string.h> typedef struct tagOBJ{ struct tagOBJ* fd; struct tagOBJ* bk; .
heap 漏洞 unlink
samohyes的博客
06-05 535
看了好久没看懂、、、一知半解,把链接放这里,慢慢看内存管理机制https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.680125d6KB9x2z&amp;articleid=334漏洞利用http://manyface.github.io/2016/05/19/AndroidHeapUnlinkExploitPractic...
漏洞-unlink
最新发布
m0_52343643的博客
04-06 557
当一个块(非fastbin)释放时,libc会先看其相邻的块是否空闲,空闲的话就将这个相邻块从bins中取出,并与当前释放块合并,而这个bins中取出块的过程就是unlink
溢出——unlink漏洞攻击(bamboobox)
fzucaicai的博客
03-22 819
当要free掉某个块时,如果其低地址的chunk是空闲的,那么这里的P就是被释放掉的块的地址减去自己的pre_size里的数值,这样就可以指向低地址的chunk的chunk头了,通过溢出修改掉被释放的chunk的pre_size和size,就可以达到释放该chunk时,unlink调用的P是是指向假chunk的chunk头。1.首先检查被合并的chunk的大小是否正确,程序会先检查被合并的chunk的size是否与其物理相连的下一个chunk的presize是否相符。
c语言 unlink,unlink 漏洞笔记
weixin_39806948的博客
05-24 695
前导知识malloc_chunk 结构struct malloc_chunk {INTERNAL_SIZE_T prev_size; /* Size of previous chunk (if free). */INTERNAL_SIZE_T size; /* Size in bytes, including overhead. */struct malloc_...
Unlink漏洞利用总结
WateranFire的博客
09-21 413
一般是连续的smallbin或者unsortbin块(双向链表)a,b,a可以溢出,有一个指针p指向a。在a上伪造一个块: pre_size size fd : p - 3*SIZE_SZ bk : p - 2*SIZE_SZ 其中SIZE_SZ=sizeof(size_t) 此外还需让b的SIZE最低位被溢出修改为0,即PREV_INUSE为0,并将PREV_SIZE设置为伪造块的大小。 之后执行free(b),由于检测到PREV_INUSE为0,对a执行un.
漏洞挖掘中块的unlink
董哥的黑板报
08-08 1077
一、unlink的概念 双向链表中移除/添加一个chunk时,会发生断链的操作,这个断链的过程就叫做unlink 注意事项:unlink不发生在fastbin和smallbin中,所以fastbin和smallbin容易产生漏洞 二、可能发生的场景 malloc时: 从恰好大小合适的largebin中获取chunk,发生unlink 从比malloc要求大的largebin中取chunk...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值