【逆向学习记录】堆漏洞利用之Unlink

最新推荐文章于 2023-04-06 19:58:03 发布
最新推荐文章于 2023-04-06 19:58:03 发布
阅读量883 收藏 9
点赞数 1
分类专栏: 逆向学习记录 文章标签: unlink 堆漏洞 UAF 漏洞利用 逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhy025907/article/details/90346372
版权
本文详细介绍了堆漏洞中的Unlink操作,包括正常unlink的过程、利用过程及其检查。通过实例分析,阐述了如何在unlink后修改Free GOT表的值,并探讨了新版本libc的额外检查以及如何绕过这些检查。文章最后提到了Unlink在实际CTF挑战中的应用案例。
摘要由CSDN通过智能技术生成

1 概述

前面虽然学习了堆的chunk及调试了部分简单的案例,了解chunk的结构,但是针对堆的漏洞利用,还需要一个完整的实践来进一步的验证

参考:
ctf pwn中的unlink exploit堆利用
CTF-wifi–unlink
Linux堆溢出漏洞利用之unlink

2 Unlink操作

2.1 正常unlink的过程

在这里插入图片描述

P->fd->bk = P->bk.
P->bk->fd = P->fd.

2.2 利用过程

在ctf-wiki存在这么一句话,我开始的时候,思考了半天,也不知道什么意思,后来在这篇文章中发现一点蛛丝马迹Linux堆溢出漏洞利用之unlink,这篇文章中,有个free的图表,非常清晰

那么 unlink 具体执行的效果是什么样子呢?我们可以来分析一下

FD=P->fd = target addr -12
BK=P->bk = expect value
FD->bk = BK,即 *(target addr-12+12)=BK=expect value
BK->fd = FD,即 *(expect value +8) = FD = target addr-12
看起来我们似乎可以通过 unlink 直接实现任意地址读写的目的,但是我们还是需要确保 expect value +8 地址具有可写的权限。

比如说我们将 target addr 设
最低0.47元/天 解锁文章
卦星
关注
专栏目录
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
Unlink漏洞利用总结
WateranFire的博客
09-21 412
一般是连续的smallbin或者unsortbin块(双向链表)a,b,a可以溢出,有一个指针p指向a。在a上伪造一个块: pre_size size fd : p - 3*SIZE_SZ bk : p - 2*SIZE_SZ 其中SIZE_SZ=sizeof(size_t) 此外还需让b的SIZE最低位被溢出修改为0,即PREV_INUSE为0,并将PREV_SIZE设置为伪造块的大小。 之后执行free(b),由于检测到PREV_INUSE为0,对a执行un.
溢出----Unlink
qq_42192672的博客
10-24 818
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink/                   http://www.anquan.us/static/drops/tips-16610.html 原理直接拷贝CTFWIKI的原话 这个直接看图挺容易懂得,有点像数据结构的链表操作 这个就是unlink的基本操...
CTF(pwn) 利用 之 unlink 介绍
半岛铁盒的博客
07-01 932
unlink是链表中常见的操作,而我们需要利用这个过程 通过改变链表指针,使中间块拿出来 当前的unlink会有一个对链表的完整性检查的 // 由于 P 已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致(size检查) if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \ malloc_printerr ("corrupted size vs. prev_size");
unlink原理及利用
AFCC_的博客(Web_Dog)
02-27 1862
unlink是利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的块在物理上相邻时,会将他们合并,并将原来free的块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。但这里的前和后都是指在物理内存中的位置,而不是fd和bk链表所指向的块。 以当前的chunk为基准,将preivous free chunk合并到当前chunk称为向后合...
溢出的unlink利用方法
weixin_34277853的博客
03-08 394
藏在灌木丛中 · 2015/07/22 14:180x00 背景本文写给对溢出无的放矢的童鞋,分为如下几部分:一.经典的unlink利用方法简介 二.在当今glibc的保护下如何绕过进行unlink利用 复制代码建议阅读本文之前先对glibc的malloc.c有所了解你可以在这里在线看到所有的malloc.c的源码0x01 第一部分首先简要介绍一下chunk的结构我们可以在malloc.c中找...
漏洞之简单的unlink利用
sunrise的博客
08-09 4412
unlink漏洞(small bin)        当块free时,会检查相邻的后面的块(地址更小的),或者前面的块(地址更大的),是否空闲,如果空闲,那么需要进行块合并操作。 空闲的块一般以双向链表的形式组织(fast bin是单向链表,此攻击不适用),如果刚刚释放的块要与前面或者后面空闲的块进行合并操作,那么需要将前或后的块从双向链表中摘下来,合并成更大的块插入到u...
学习打卡4:漏洞的利用技术与技巧与风水学习
一点涵的博客
09-10 1994
督促自己:2020-9-10 学习记录: 《逆向工程权威指南》上 ARM64 ARM64的CPU中可能运行于ARM模式,不可能运行于 Thmub 或者 Thmub-2 moshi ,所以它必须使用32位指令。 STP(Store Pair) 指令是把寄存器的值存储到内存中的任意地址,明确是sp寄存器时,是存储在栈中。 感叹号标志意味着其标注的运算会被优先执行。(这属于“预索引/pre-index”指令,对应“延迟索引/post-index”指令) 在ARM64中,X29寄存器时帧指针,X30起着LR的作用
Double free 漏洞复现与利用
vivid_moon的博客
05-29 5671
2018体系结构安全大作业申明:转载请注明出处选题:2015 年 0ctf 题题目描述:提供记事本功能的二进制文件,找出其漏洞,get shell第一章 操作说明为方便老师审核作业,本报告将操作说明放在第一章。操作流程如下:1 、安装 netcat 。2 、安装 pwntools 库。命令: pip install pwntools (安装过程中,一定要保证网络畅通,曾经因为网不好装这个库装了一个...
刷洞1--74cms3.5后台任意文件删除漏洞
river
05-04 1272
干了这么多年,突然觉得自己跟安全离的越来越远,真正的网络安全和代码安全息息相关,包括传统的审计、逆向漏洞以及新型的AI安全研究。还是安安心心写代码,调漏洞吧,要不然也枉在这个行业工作。 对于小白来说,我还是从老版本的cms开始,借助大牛们的博客开始吧。http://0day5.com/archives/3981/ 使用74cms3.5 后台任意文件删除 elseif($act == ...
Android中unlink利用学习
sdulibh的专栏
06-09 1145
前言 最近学习的管理,如何进行unlink利用。发现大多数文章在讲解利用unlink进行任意地址写时没有解释得很透彻(也可能是我比较愚钝吧(╯﹏╰)),看得是云里雾里:-(。。。。。直到看到了shellphish团队在github上的项目how2heap,才弄明白了利用unlink进行任意地址写的原理。于是自己在Android4.4模拟器上设计了一个Demo,用于练习unlink利用。下
PWN之利用-unlink攻击
susuate的博客
07-18 1704
环境配置 笔者使用ubuntu14.04.6_desktop_i386 国内镜像网站如下: http://mirrors.aliyun.com/ubuntu-releases/14.04/ glibc版本2.20 unlink攻击
unlink函数_Unlink漏洞简单分析
weixin_39529443的博客
12-15 258
0x1,溢出漏洞;0x2,闲聊:Unlink的难度不小,现在也只能勉强理解;关于unlink漏洞简单说一下1,第一个判断if(chunksize (p) != prev_size (next_chunk (p)))此判断所代表的含义为检查将从链表中卸下的chunk其size是否被恶意的修改。记录当前size的地方有两处一个是为当前chunk的size字段和下一个chunk(物理地址上...
初级溢出-unlink漏洞
weixin_34395205的博客
09-30 282
Linux下的unlink漏洞 参考文章:https://blog.csdn.net/qq_25201379/article/details/81545128 首先介绍一下Linux的块结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; INTERNAL_SIZE_T size; struct malloc_chunk *f...
漏洞-unlink
最新发布
m0_52343643的博客
04-06 555
当一个块(非fastbin)释放时,libc会先看其相邻的块是否空闲,空闲的话就将这个相邻块从bins中取出,并与当前释放块合并,而这个bins中取出块的过程就是unlink
溢出-unlink
yms0211的博客
03-18 917
#有几张图出自hollk师傅的文章,原文链接:https://blog.csdn.net/qq_41202237/article/details/108481889# 溢出-unlink 对unlink的利用大概就是对chunk进行内存布局,然后借助unlink中对指针的操作来修改chunk中的指针 unlink的宏定义: #define unlink(AV, P, BK, FD) { FD = P->f
暑假集训——Hitcon_Trainning——lab11_bamboobox——unlink
qq_41667316的博客
07-15 430
UNLINK 思路 其实是艰辛的心路历程 这道题是昨天晚上这个时间就想到的思路 [虽然是道基础题但是是难得的一道没看别人exp就想到怎么写的题,当时觉得自己已经登顶了(bushi] 毕竟是一道套路题的确套路了我【微笑.jpg】 change_note这个函数里面没有检查输入长度,溢出。的几个漏洞里面,溢出我只会unlink,所以就顺着这个思路一直往下写了。 UNLINK 概念 合...
linux溢出学习之unsafe unlink
jmp esp
12-10 3388
示例代码来源:https://github.com/Escapingbug/how2heap/blob/master/unsafe_unlink.c#include <stdio.h> #include <stdlib.h> #include <string.h> #include <stdint.h> uint64_t *chunk0_ptr;int main() { printf("We
漏洞利用:理解unlink机制与技巧
"漏洞之unlink1 - 一篇关于Linux环境下glibc库中管理漏洞的分析和利用技术的文章,作者SP00F强调了unlink操作在内存管理中的关键作用,以及如何通过覆盖相邻chunk的prev_inuse位来触发漏洞利用。文章适合于学习...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值