CTF之堆溢出-unlink原理探究

最新推荐文章于 2023-12-17 13:13:35 发布
最新推荐文章于 2023-12-17 13:13:35 发布
阅读量1w 收藏 17
点赞数 7
分类专栏: PWN CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33438733/article/details/73149417
版权

来干!来干!
转战堆溢出,这东东确实接触的很少,听说很神奇很细腻。我也是初次接触就和大家一起共同学习下,也填补下这方面的空白。

https://sploitfun.wordpress.com/2015/02/26/heap-overflow-using-unlink/

这篇文章讲的就是堆溢出的原理,不过全是英文,估计。。。慢慢看,不急。我就结合着它给的示例程序来分析下原理,以及如何利用堆溢出。如有不妥之处,还望及时批评指正!

/* 
 Heap overflow vulnerable program. 
 */
#include <stdlib.h>
#include <string.h>

int main( int argc, char * argv[] )
{
        char * first, * second;

/*[1]*/ first = malloc( 666 );
/*[2]*/ second = malloc( 12 );
        if(argc!=1)
/*[3]*/         strcpy( first, argv[1] );
/*[4]*/ free( first );
/*[5]*/ free( second );
/*[6]*/ return( 0 );
}

这就是存在堆溢出的程序了,很明显好不啦。

堆确实很难。整了好久没整出来。多亏了在师傅的帮助下,终于把unlink给整明白了。(为了记录下学习的过程,前面的内容我就不删了)

先来推荐几篇文章,主要是看一下原理,虽然我知道即使看懂了,但是利用它时还是一脸懵比。

http://www.freebuf.com/news/88660.html

http://www.freebuf.com/vuls/98404.html

这是一道很经典的unlink,希望从此叩开堆溢出的大门(需要程序的在下方留个言)
由于调试堆的题目需要注意很多细节,而这些细节对于一个有栈经验的选手来说应该不难懂,所以我就不会说的太明白。我主要是分析一下unlink那块代码。
按着我的习惯,先检查一下。
这里写图片描述
和堆有关的保护我也不清楚 ,我就不班门弄斧了。
试运行一下程序。这种结构很明显是个堆题。

最低0.47元/天 解锁文章
坚强的女程序员
关注
  • 7
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
Linux下溢出利用1-unlink基本原理
haibiandaxia的博客
08-08 931
这里写自定义目录标欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标,有助于目录的生成asdfffffsdfsafasf如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的
初级溢出-unlink漏洞
weixin_34395205的博客
09-30 272
Linux下的unlink漏洞 参考文章:https://blog.csdn.net/qq_25201379/article/details/81545128 首先介绍一下Linux的块结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; INTERNAL_SIZE_T size; struct malloc_chunk *f...
CTF-PWN--【溢出相关概括基本流程及first-fit演示与】
llovewuzhengzi的博客
11-17 345
中写入的字节数超过本身可使用的字节数(可使用的字节数不一定等于申请的字节数,是因为管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),所以可能覆盖到相邻高地址的下一个块。chunkdata段地址对应的chunk与topchunk不相邻,相当于free(chunkdata段地址),malloc(size)相差容得下一个最小chunk,则切割chunk两部分,free掉chunkdata段地址对应的chunk的size-size的部分。一个三目运算符 a?
ctf溢出
m0_49959202的博客
11-01 1014
文章目录溢出1.介绍2.示例3.小结3.1 寻找分配函数3.1.1 malloc3.1.2 calloc3.1.3 relloc3.2 寻找危险函数函数3.3 确定填充长度 溢出 1.介绍 溢出指的是程序向某个块中写入的字节数超过了块本身可使用的字节数(块本身可使用的字节数>用户申请的字节数),因此导致了溢出,并覆盖到物理相邻的高地址的下一个块。 原理和栈溢出基本一样,不过溢出很难像栈溢出一样直接控制程序指向流程。一般溢出的策略为: 覆盖与其物理相邻的下一个chunk内容。
linux内核pwn,浅谈Linux Pwn Unlink机制
weixin_31361715的博客
04-29 490
unlink溢出中的一种常见的利用形式,通过将双向列表中的空闲块拿出来与将要free的物理相邻的块进行合并。unlink对于最初接触的人来说机制比较难以理解,笔者会结合unlink的实现源码以及使用gdb调试对unlink进行阐述。unlink的触发当使用free函数释放正在使用的chunk时,会相应地检查其相邻的chunk是否为空闲,如果为空闲则会将相邻的chunk与free的chunk进行...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ctf-all-in-one
最新发布
01-30
ctf-all-in-one
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
CTF工具之JD-gui(reverse).rar
09-16
CTF工具之JD-gui(reverse)
0ctfbabyheap2017WP——溢出fastbin attack初探
GeekCmore的博客
02-18 482
从栈溢出进入溢出,漏洞利用的复杂度上了一个大台阶,主要是因为 ptmalloc 内存管理器对于管理设计了复杂的数据结构和算法,要想进入溢出的学习,就必须厘清它们之间的关系。本文将从一个经典的例子——0ctfbabyheap2017 来介绍一个初级的 fastbin attack 以初探溢出攻击。
ctfwiki溢出总结
eeeeeight的博客
04-12 842
溢出小总结 Column: Apr 12, 2021 Tags: Pwn, summary 开头的一些碎碎念: 除了fastbin大小的chunk,其余物理相邻topchunk的chunk在free之后都会合并进topchunk 利用malloc_hook通常是在main_arena-0x23-8的位置有个0x7f可以被识别为fakechunk(free_hook还不会,悲) Uaf: 被free之后,指向其的指针未被置空导致fd与bk之类的关键信息可以被编辑, 还有一种就是double free之类的
【pwn学习】溢出(三)- Unlink和UAF
Morphy_Amo的博客
01-21 1634
溢出中的unlink和UAF
CTF PWN之heap入门 unlink
L2329794714的博客
09-09 1639
unlink的利用需要申请连续的chunk,为了方便我们先要让IO两个缓冲区都申请了,即程序执行至少以此IO输出,一次IO此输入(这里可以让程序执行一遍创建块的流程实现),后面再创建两个相邻的块,后面一个大小大于0x80,再前一个块里伪造一个释放状态的chunk,并利用溢出改写后一个chunk的P_size(伪造chunk的大小包括chunk头),和size(in_user为为0),然后free后面的chunk来触发前合并,从而进行unlink。P:为要取出的chunk指针(指向chunk头的)
我又pwn啦——理论篇 unlink
m0_64195960的博客
06-20 549
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地址空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk时·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
【pwn | 知识】关于unlink的体会 [ZJCTF EasyHeap]
ethan18的博客
08-15 240
当进行unlink的时候,正如同它的名字,它是会被从这个链表中取出来的(unlink也就是取消自己的link状态了)主要的思路就是通过创建3个chunk,将第一个chunk通过edit函数来修改chunk内容和下一个chunk的头部,变成一个伪造的空闲chunk,然后free第2个chunk,这会导致第一个chunk被unlink。在我看来,unlink原理是,当你free了一个chunk的时候,如果你的物理相邻的chunk如果是空闲状态,那么这个空闲的chunk就会被合并,形成一个更大的chunk。
CTF(pwn) 利用 之 unlink 介绍
半岛铁盒的博客
07-01 880
unlink是链表中常见的操作,而我们需要利用这个过程 通过改变链表指针,使中间块拿出来 当前的unlink会有一个对链表的完整性检查的 // 由于 P 已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致(size检查) if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \ malloc_printerr ("corrupted size vs. prev_size");
漏洞-unlink
m0_52343643的博客
04-06 479
当一个块(非fastbin)释放时,libc会先看其相邻的块是否空闲,空闲的话就将这个相邻块从bins中取出,并与当前释放块合并,而这个bins中取出块的过程就是unlink
Pwn Unlink攻击技术原理以及例
红叶的博客
12-17 1028
现在有这么三个chunk,其中我们已经构造好了Unlink的Payload。乍一看可能有点一头雾水,那么如果我们把这段看成一个chunk结构体呢?反之,另一个也是这个道理。glibc 2.23中的unlink宏源码是这样的。,这段恰好满足我们的unlink需求。,也就是我们的fake_chunk。,我们直接查看这个fd指向了哪里。,P是fake_chunk,也就是。这块指针位于bss段内,是。P是fake_chunk,即可获得我们的fd和bk。complete,或者说。指向的都是同一个地方。
ctf工具之binwalk--windows下(misc).rar
07-30
binwalk是一款用于分析和提取嵌入在二进制文件中的文件和数据的工具。对于CTF比赛来说,binwalk可以帮助我们进行文件的分析和提取,从而更好地理解目并解决问。 在Windows下使用binwalk,我们首先需要在官方网站(https://github.com/ReFirmLabs/binwalk)下载并安装binwalk的Windows版本。安装完成后,我们可以在命令行中使用binwalk命令进行操作。 拿到CTF目中的misc.rar文件后,我们可以使用binwalk来分析该文件。在命令行中,我们输入以下命令: binwalk misc.rar binwalk会对该文件进行分析,并将分析结果显示在命令行中。它会检测并提取出文件中的隐藏信息,并尝试识别文件中可能存在的其他类型文件(如图像、压缩包等)。 除了显示分析结果外,binwalk还支持提取文件中的隐藏文件。我们可以使用以下命令来提取隐藏文件: binwalk -e misc.rar 这会将隐藏在misc.rar中的文件提取到当前目录中。我们可以通过查看提取出的文件来获得进一步的线索或解答。 总之,binwalk是一款强大的CTF工具,它可以帮助我们分析和提取嵌入在二进制文件中的文件和数据。在Windows下使用binwalk可以通过命令行进行操作,从而更好地解决CTF比赛中的问

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值