unlink函数_PWN-浅析unlink

最新推荐文章于 2023-07-01 20:30:00 发布
最新推荐文章于 2023-07-01 20:30:00 发布
阅读量678 收藏 2
点赞数
文章标签: unlink函数

a5d24f5e7dffe1e6eaf5ac92a5332a04.png

my blog:http://www.pwn4fun.com/

About the unlink

unlink,在CTF中是比较常见的知识点。

What’s the unlink

unlink_chunk函数用于将空闲的chunk从所在的bin中取出( 把一个双向链表中的空闲块拿出来),可以使用下图描述。

66e7ffd9f0e092b54d3e7e2d1e0860d6.png

可能触发unlink的情形:

  • malloc_consolidate()函数将fastbin中的空闲chunk整理到unsorted_bin时
  • malloc()函数将unsorted中的空闲chunk整理到smallbin或者largebin中
  • malloc()函数获取堆空间时

下面是源码:

/* Take a chunk off a bin list. */ static void unlink_chunk (mstate av, mchunkptr p) { //检查chunk的size和next_chunk的prev_size是否一致 if (chunksize (p) != prev_size (next_chunk (p))) malloc_printerr (“corrupted size vs. prev_size”); mchunkptr fd = p->fd; mchunkptr bk = p->bk; //检查fd和bk(双向链表完整性) if (__builtin_expect (fd->bk != p || bk->fd != p, 0)) malloc_printerr (“corrupted double-linked list”); fd->bk = bk; bk->fd = fd; if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL) { //检查largebin中next_size双向链表的完整性 if (p->fd_nextsize->bk_nextsize != p || p->bk_nextsize->fd_nextsize != p) malloc_printerr (“corrupted double-linked list (not small)”); if (fd->fd_nextsize == NULL) { if (p->fd_nextsize == p) fd->fd_nextsize = fd->bk_nextsize = fd; else { fd->fd_nextsize = p->fd_nextsize; fd->bk_nextsize = p->bk_nextsize; p->fd_nextsize->bk_nextsize = fd; p->bk_nextsize->fd_nextsize = fd; } } else { p->fd_nextsize->bk_nextsize = p->bk_nextsize; p->bk_nextsize->fd_nextsize = p->fd_nextsize; } } }

根据上面的源码,可以看到相应的检查。
首先是判断size是否相同,当前chunk的size以及next chunk的prev_size。if (chunksize (p) != prev_size (next_chunk (p))) malloc_printerr (“corrupted size vs. prev_size”);
其次是双向链表的完整性,检查fd、bk。if (__builtin_expect (fd->bk != p || bk->fd != p, 0))malloc_printerr (“corrupted double-linked list”);
也就是说,我们需要绕过两个check。
我自己的理解,unlink的检查是这样的,设在chunk0中伪造chunk,free(chunk1),根据prev_size位调节指针减去prev_size到fake_chunk的head部分,而是再根据fakechunk的size位继续调节指针+size,此时,按照正常情况应该到了nextchunk(chunk1)的prevsize位,因此我们在此伪造一个prev_size与fakechunk的size相同,即可绕过检查。当然,我认为,令size和prev_size相同,也是可以的。当然这样要求存在chunk overflow的情况。

How to use it

d85eda11e50aed9deebe5d508f9c8a6e.png

Example

Analysis

例题为:2014 HITCON stkof

首先IDA静态分析一下程序。

4cd3431c795d36bc84eef1f82b6c63a9.png

可以看到主要有三个功能:增、删、改。

首先看create:

8e64ecef8497d89542330180d1523848.png

有一个指针数组存放了chunk的地址,新建的chunk没有大小限制也没有数量限制。
值得注意的是,下标从1开始。
接下来是edit:

a4b43e2f0850dda775d805756dca92db.png


就是普通的修改,然后size自定义, 此处存在chunk overflow的情况。
最后是delete:

718f21b01fc9f7fd1d34bc4121d99537.png


UAF。
保护机制:

f247421b578c1319dca93948eb93de39.png


How to exploit
可以看到有堆块溢出以及UAF漏洞,可以新建两个chunk,在第一个chunk中伪造一个fake chunk绕过unlink检查进行unlink,最后修改GOT表leak libc以及get shell。
值得一提的是,因为程序没有进行setvbuf操作,所以输入和输出操作时,程序会申请缓冲区,有可能会影响我们的操作:

ca2be9cb10d057dfd4b2b66c37bb49c9.png


所以我们可以先去申请一个chunk申请缓冲区,以免影响操作。

626a55dca72a56104ba1fcee9cda297b.png

Start to exploit

9950b9cac298a346a325eb7781fd9d37.png


这样就ok了。
接下来伪造fake chunk并进行unlink。

84213c5acebec3034969b81c2f91c8ce.png


此时free了chunk3,注意溢出修改chunk3的head部分,要注意修改prev_inuse位,即0x90而非0x91,让系统相信我们伪造的fake chunk是free状态的。
这时,ptr = ptr – 0x18 = chunk[0] – 0x8
修改ptr中的指针指向GOT表。

1ccf9f2141d309de37cc28bfa3543f5c.png

34febe8c4051bbecf38167921cf17166.png


然后修改GOT表的内容,因为数组指针下标从1开始(如下图)

9141095f9e20039e0557d8f3992f89a2.png


但是我们修改ptr的时候并不会绕过下标0。

5b4705e9b6fc9fcab20862f58a2df574.png

aa026cb8a62ebb136a09749d3d89e23a.png


leak successfully。

43feadc4b38d86411db371803ee2ca17.png


接下来就是常规get shell。

850b7e5f5c9aef62dd0949b3655f1e51.png

Reference:CTF-WIKI

weixin_39522103
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux unlink函数作用,unlink函数的作用
weixin_42525601的博客
05-10 1674
int unlink(const char *pathname)该函数用来删除pathname 指定的目录项,并将由pathname所引用的文件的链接数减一。但是文件的内容可能不会删除,如果此时有其他指向该文件的链接,则仍可通过其他链接访问文件。或是有进程打开了该文件,那么其内容也不会被删除所以当关闭一个文件时,内核首先检查打开该文件的进程,如果该数为0,然后检查其链接数,如果该数也是0,那么就删...
FlexGraphics_V_1.79_D4-XE10.2_Downloadly.ir
11-22
Version 1.7 ----------- - ADD: Delphi/CBuilder 10.2 Tokyo now supported. - ADD: Delphi/CBuilder 10.1 Berlin now supported. - ADD: Delphi/CBuilder 10 Seattle now supported. - ADD: Delphi/CBuilder XE8 ...
好好说话之unlink
hollk’s blog
09-17 5106
堆溢出的第三部分unlink,这可能是有史以来我做的讲解图最多的一篇文章了~~累死~~ 。可能做pwn的人都应该听过unlink,见面都要说声久仰久仰。学unlink的时候走了一些弯路,也是遇到了很多困扰的问题,会在后面的内容中做出标注。由于写的比较详细,所以字数依然还是一如既往的多,我会在适当的时候提醒向前回顾某一处知识点,也希望在看例题的时候能够跟着一起做一下 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
pwn学习】堆溢出(三)- Unlink和UAF
Morphy_Amo的博客
01-21 1562
堆溢出中的unlink和UAF
关于如何理解Glibc堆管理器(Ⅳ——从Unlink攻击理解指针与chunk寻址方式)
Tokameine的博客
08-01 456
本篇实为个人笔记,可能存在些许错误;若各位师傅发现哪里存在错误,还望指正。感激不尽。 若有图片及文稿引用,将在本篇结尾处著名来源。 参考文章: 在此先给出几篇可供参考的文章。笔者认为几位师傅所写的都比笔者所写要来得更加精炼。倘若您通过如下几篇文章已经能够完全理解Unlink为何,那么大可以不再阅读这篇冗长的文章。 安全客:https://www.anquanke.com/post/id/197481 看雪:https://bbs.pedi...
linux内核pwn,浅谈Linux Pwn Unlink机制
weixin_31361715的博客
04-29 484
unlink是堆溢出中的一种常见的利用形式,通过将双向列表中的空闲块拿出来与将要free的物理相邻的块进行合并。unlink对于最初接触的人来说机制比较难以理解,笔者会结合unlink的实现源码以及使用gdb调试对unlink进行阐述。unlink的触发当使用free函数释放正在使用的chunk时,会相应地检查其相邻的chunk是否为空闲,如果为空闲则会将相邻的chunk与free的chunk进行...
unlink 函数
sfhjy的专栏
10-21 1257
<br />头文件:#include <unistd.h> <br /> <br />函数接口:int unlink(const char* pathname); <br /> <br />说明:此函数删除目录项,并将由pathname所引用的文件的计数减1。如果该文件还有其他连接,则仍可以通过其他连接存取该文件的数据。只有当计数为0时,该文件的内容才可被删除。另一个条件也阻止删除文件的内容 -- 只要有进程打开了该文件,其内容也不能删除。 unlink的这种特性经常被程序用来确保即使在程序崩溃时,它所创建
Linux系统调用-- unlink函数详解
zhaozhanyong的专栏
05-17 4862
Linux系统调用-- unlink函数详解 功能描述:从文件系统中删除一个名称。如果名称是文件的最后一个连接,并且没有其它进程将文件打开,名称对应的文件会实际被删除。用法:#include int unlink(const char *pathname);参数:pathname:指向需解除连接的文件名。返回说明:成功执行时,返回0。失败返回-1,err
14-unlink函数和删除文件
网络安全
07-02 5496
  在阅读此篇之前,需要对linux下的硬链接和软链接非常熟悉,如果不熟悉的话可以参考先参考这篇文章:https://blog.csdn.net/q1007729991/article/details/53424961 1. unlink函数   对于硬链接来说,unlink 用来删除目录项,并把 inode 引用计数减 1,这两步也是一个原子过程。直到 inode 引用计数为 0,才会真正删...
corrupted double-linked list: 0x086a6c50(内存问题)
ligare的博客
05-20 9262
新增了一段代码,程序就直接异常了,但是新增的代码没什么问题。但是在qt里面只显示异常也看不出是什么原因导致的,在终端运行了下,就提示有这个错误了,上网搜了一下,是内存的问题,通常有以下容易犯的内存问题: 1.内存重复释放,出现double free时,通常是由于这种情况所致(我检查了下自己的代码,发现有个对象重复释放了两次,删掉其中的一个地方,代码就OK了)。 2.内存泄露,分配的内存忘了释放。 3.内存越界使用,使用了不该使用的内存: char buf[32] = {0}; for(int i=0;
unlink函数_堆利用之 unlink
weixin_39736047的博客
12-11 658
1 知识补充什么是unlinkunlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来。哪里用到unlinkunlink()常用于free()中进行 chunk 的整理,可以对空闲 chunk 进行前向合并和后向合并。当被free()的 chunk 的 P 位为 0 时,说明被free()的 chunk 的前一个 chunk 为空,于是对前一个 chunk 进行 unlink...
Linux unlink函数和删除文件的操作方法
01-09
1. unlink函数   对于硬链接来说,unlink 用来删除目录项,并把 inode 引用计数减 1,这两步也是一个原子过程。直到 inode 引用计数为 0,才会真正删除文件。   对于软链接来说,unlink 直接删除软链接,而不...
DES_PC--k.rar_fprintf
09-23
if (pfile() == 0) unlink(inname) else fprintf(stderr, "%s: I/O Error -- File unchanged\n", inname) fclose(outfile) fclose(infile) } exit(0)
npm报错error code EPERM, error syscall unlink,errno -4048解决
01-08
安装报错信息 24741 error code EPERM 24742 error syscall unlink ...24745 error Error: EPERM: operation not permitted, unlink 'E:\workspaces\multiplatform\node_modules\.staging\regexpp-c7c4
文件删除与数据安全性:深入了解 unlink 函数
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
07-01 802
文件删除与数据安全性:深入了解 unlink 函数
C语言之unlink函数
yekui006的博客
03-06 456
功能:删除一个名字(某些情况下删除这个名字所指向的文件) 头文件:#include<unistd.h> 函数原型: int unlink(const char* pathname); 功能详解:unlink从文件系统中中删除一个名字,若这个名字是指向这个文件的最后一个链接,并且没有进程处于打开这个文件的状态,则删除这个文件,释放这个文件占用的空间。 如果这个名字是指向这个文件的最后一个链接,但有某个进程处于打开这个文件的状态,则暂时不删除这个文件,要等到打开这个文件的进程关闭这个文
我又pwn啦——理论篇 unlink
m0_64195960的博客
06-20 540
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地址空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk时·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
Linux下unlink函数的使用
热门推荐
judgejames的博客
11-05 4万+
一、头文件 #include<unistd.h> 二、函数原型 int unlink(const char *pathname); 三、函数介绍 unlink()函数功能即为删除文件。执行unlink()函数会删除所给参数指定的文件。 注意: 执行unlink()函数并不一定会真正的删除文件,它先会检查文件系统中此文件的连接数是否为1,如果不是1说明此文件还有其他链接对象,因此只对此文件的连接数进行减1操作。若连接数为1,并且在此时没有任何进程打开该文件......
f_unlink函数
最新发布
07-27
f_unlink函数是一个C语言中的文件操作函数,它用于删除指定的文件。该函数的原型为: ```c int f_unlink(const char *filename); ``` 参数`filename`是一个字符串,表示要删除的文件的路径和名称。 调用f_unlink...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值