how2heap 5.unsafe_unlink

最新推荐文章于 2023-06-22 09:48:05 发布
最新推荐文章于 2023-06-22 09:48:05 发布
阅读量581 收藏 2
点赞数
分类专栏: how2heap 文章标签: 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44680480/article/details/105352814
版权
本文详细分析了glibc 2.25中unsafe_unlink.c的实现,通过伪造堆块和修改内存状态,绕过链表检查,探讨了如何在free过程中触发堆块合并时的unlink操作,并讨论了可能的安全风险。
摘要由CSDN通过智能技术生成

64位系统以下各字段均为8字节,32位系统为4字节。
在这里插入图片描述
在这里插入图片描述
glibc2.26及以上版本有tcache机制。咱目前也不太懂,快刀斩乱麻,glibc2.25的实验在Ubuntu16.04上做,glibc版本信息如下:
在这里插入图片描述

5. unsafe_unlink.c

运行结果:
在这里插入图片描述
分析:
题外话,观察到,对于同一个可执行文件unsafe_unlink,每次运行打印的地址不同,而每次调试则相同。希望以后理解。
伪造的堆块为chunk0,就是下图红框中的内容。可以看到,它舍弃了分配的堆块的首部两个单元。
chunk0_ptr[2] = (uint64_t) &chunk0_ptr-(sizeof(uint64_t)*3);
chunk0_ptr[3] = (uint64_t) &

最低0.47元/天 解锁文章
bmsk
关注
专栏目录
how2heapunsafe_unlink(包含stkof和wheelofrobots)
eeeeeight的博客
03-25 244
unsafe_unlink Tags: Pwn, learning experience 例子: 先讲解一下how2heap中给出的例子: 它最终的效果是让全局变量ptr上存储的值变为ptr-0x18, 其unlink过程可以被分解成为如下步骤: (1)寻找堆溢出, (2)伪造chunk, (3)执行unlink (1)寻找堆溢出就是找一个溢出点之类的漏洞使其修改两个连续chunk中的第二个chunk (2)伪造chunk, 除了在第一个chunk中布置fake_fd和fake_bk外, 还要在第二个chu
5.unsafe_unlink
06-08 267
源代码  1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <string.h> 4 #include <stdint.h> 5 6 7 uint64_t *chunk0_ptr; 8 9 int main() 10 { 11 ...
Unsafe Unlink:unlink利用
AIwenIPgeolocation的博客
05-16 590
Date:2023年5月12日。
unsafe_unlink(详解)
m0_52249553的博客
04-07 339
how2heap调试
堆利用之unsafe unlink
蚁景网安学院
06-24 302
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
how2heap glibc 2.27
qq_46441427的博客
10-10 744
fastbin dup 展示了glibc2.27里利用double free进行的fastbin attack #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { setbuf(stdout, NULL); printf("This file demonstrates a simple double-free attack with fastbins.\n"); pri
linux堆溢出学习之unsafe unlink
jmp esp
12-10 3388
示例代码来源:https://github.com/Escapingbug/how2heap/blob/master/unsafe_unlink.c#include <stdio.h> #include <stdlib.h> #include <string.h> #include <stdint.h> uint64_t *chunk0_ptr;int main() { printf("We
堆利用之unlink
chenzhenyu1983的博客
04-30 584
一 small bin,large bin等的内存结构 未分配的chunk |  pre chunk size  |   size  |F|C|P| |  fd       |         bk         | presize: 前一个块的大小(如果前一个块是空闲的) size:当前块的大小 F标志位:目前还没有用 C标志位:如果当前块已被分配,置1;否则,置0 P标志位:如果前一个块已被...
heap 漏洞 unlink
samohyes的博客
06-05 535
看了好久没看懂、、、一知半解,把链接放这里,慢慢看内存管理机制https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.680125d6KB9x2z&amp;articleid=334漏洞利用http://manyface.github.io/2016/05/19/AndroidHeapUnlinkExploitPractic...
how2heap总结
Juny0117的博客
12-07 755
今天,让我们来总结下how2heap,之前粗略过了一下,但最近发现还是有很多细节不太清楚,于是现在回头来重新调试下how2heap。 就按顺序来吧。 0x01 fastbin_dup: 源码: 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 ...
How2Heap笔记(一)
kelxLZ的博客
01-21 2711
Author:ZERO-A-ONE Date:2021-01-21 ​ “how2heap”是shellphish团队在Github上开源的堆漏洞系列教程。上面有很多常见的堆漏洞教学示例,实现了以下技术: File Technique Glibc-Version Patch Applicable CTF Challenges first_fit.c Demonstrating glibc malloc’s first-fit behavior. calc_tcache_idx..
how2heap注意点总结-上
九层台
03-11 944
1.chunk的申请机制,在申请chunk的时候满足first-fit算法(从unsorted bin中遍历遇到第一个比需要chunk大的chunk切割,然后遍历unsorted bin链对应chunk放入对应位置) (所需chunk大小大于small bin或者small bin中没有找到恰好满足的chunk大小,或者fastbin中没有找到合适的chunk大小会引起fast bins遍历合并放...
how2heap 1-4
WHOISjxb的博客
04-06 603
文章目录1. First_fit.c2. Fastbin_dup.c 64位系统以下各字段均为8字节,32位系统为4字节。 glibc2.26及以上版本有tcache机制。咱目前也不太懂,快刀斩乱麻,glibc2.25的实验在Ubuntu16.04上做,glibc版本信息如下: 1. First_fit.c 运行结果: 分析: 新版的how2heap这里改为0x512、0x256(十六进制...
语雀how2heap
wulou4hao的博客
12-08 330
fastbin_dup_into_stack部分 此语句能够得到 stack_var 的地址 令我不解 同理此语句可完成如此功能 令我不解
how2heap总结-上
hl1293348082的专栏
04-07 709
0x00 前言 "how2heap"是shellphish团队在Github上开源的堆漏洞系列教程. 我这段时间一直在学习堆漏洞利用方面的知识,看了这些利用技巧以后感觉受益匪浅. 这篇文章是我学习这个系列教程后的总结,在此和大家分享.我会尽量翻译原版教程的内容,方便英语不太好的同学学习。 源码部分我的可能和原版教程不一样,改动的地方我是为了方便自己理解,所以还是建议大家看这篇总结之前去看原版教程。 不过在学习这些技巧之前,建议大家去看一看华庭写的"Glibc内存管理-Ptmalloc2源码分析"
how2heap 深入学习(1)
CoLin的pwn小屋
02-10 2840
how2heap glibc 2.23学习
how2heap—glibc 2.23—unsafe_unlink.c
最新发布
xy_369的博客
06-22 201
①:p 是高地址的 chunk ,if 判断中首先检测 P 的 Size 字段的 P 位是否为 0 ,是则说明物理相邻的低地址 chunk 为 free chunk ,可以向后合并,然后就获取 p 的 Prev_size,将 p 的 Prev_size 加到 p 的 Size 就算把物理相邻的低地址 chunk 合并了,然后将 p 指向被合并的低地址 chunk ,再利用 unlink 将其从 bin 中删除就算完成了向后合并。②:第一句检测过后,会执行 FD = P->fd;BK = P->bk;
how2heap 深入学习(8)
CoLin的pwn小屋
03-21 2973
how2heap 2.27学习
heap5.c: 外部内存堆管理与vPortDefineHeapRegions的使用
此外,heap5.c 与其他版本(如 heap_1.c, heap_2.c, heap_3.c 和 heap_4.c)提供了不同的内存管理实现方式,这些版本可能有不同的设计策略或优化方法。在实际应用中,用户可以根据项目需求选择适合的内存管理方案,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值