【逆向学习记录】堆漏洞利用之Unlink

最新推荐文章于 2024-09-15 19:55:59 发布
最新推荐文章于 2024-09-15 19:55:59 发布
阅读量895 收藏 9
点赞数 1
分类专栏: 逆向学习记录 文章标签: unlink 堆漏洞 UAF 漏洞利用 逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhy025907/article/details/90346372
版权
本文详细介绍了堆漏洞中的Unlink操作,包括正常unlink的过程、利用过程及其检查。通过实例分析,阐述了如何在unlink后修改Free GOT表的值,并探讨了新版本libc的额外检查以及如何绕过这些检查。文章最后提到了Unlink在实际CTF挑战中的应用案例。
摘要由CSDN通过智能技术生成

1 概述

前面虽然学习了堆的chunk及调试了部分简单的案例,了解chunk的结构,但是针对堆的漏洞利用,还需要一个完整的实践来进一步的验证

参考:
ctf pwn中的unlink exploit堆利用
CTF-wifi–unlink
Linux堆溢出漏洞利用之unlink

2 Unlink操作

2.1 正常unlink的过程

在这里插入图片描述

P->fd->bk = P->bk.
P->bk->fd = P->fd.

2.2 利用过程

在ctf-wiki存在这么一句话,我开始的时候,思考了半天,也不知道什么意思,后来在这篇文章中发现一点蛛丝马迹Linux堆溢出漏洞利用之unlink,这篇文章中,有个free的图表,非常清晰

那么 unlink 具体执行的效果是什么样子呢?我们可以来分析一下

FD=P->fd = target addr -12
BK=P->bk = expect value
FD->bk = BK,即 *(target addr-12+12)=BK=expect value
BK->fd = FD,即 *(expect value +8) = FD = target addr-12
看起来我们似乎可以通过 unlink 直接实现任意地址读写的目的,但是我们还是需要确保 expect value +8 地址具有可写的权限。

比如说我们将 target addr 设
最低0.47元/天 解锁文章
卦星
关注
专栏目录
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
渗透测试实战指南笔记
weixin_67830340的博客
04-07 2051
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5个选项,如下
溢出----Unlink
qq_42192672的博客
10-24 836
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink/                   http://www.anquan.us/static/drops/tips-16610.html 原理直接拷贝CTFWIKI的原话 这个直接看图挺容易懂得,有点像数据结构的链表操作 这个就是unlink的基本操...
Unlink漏洞利用总结
WateranFire的博客
09-21 427
一般是连续的smallbin或者unsortbin块(双向链表)a,b,a可以溢出,有一个指针p指向a。在a上伪造一个块: pre_size size fd : p - 3*SIZE_SZ bk : p - 2*SIZE_SZ 其中SIZE_SZ=sizeof(size_t) 此外还需让b的SIZE最低位被溢出修改为0,即PREV_INUSE为0,并将PREV_SIZE设置为伪造块的大小。 之后执行free(b),由于检测到PREV_INUSE为0,对a执行un.
溢出之unlink_地址任意写
最新发布
zhuo1358的博客
09-15 787
我们先来回顾一下方面的基础知识,我们知道,当我们free一个大小超过0x90的chunk时,会检查这个chunk物理意义上相邻的前一个chunk是否是空闲状态,如果是,两个chunk会合并成一个大的chunk来合理利用空间。这里的p64(0x30)是下一个chunk的pre_size域,p64(0x90)是下一个chunk的大小,目的是为了触发unlink和绕过检查(只有一个大于0x80的chunk释放时才会触发unlink):检查与被释放chunk相邻高地址的chunk的size的P标志位是否为0。
CTF(pwn) 利用 之 unlink 介绍
半岛铁盒的博客
07-01 944
unlink是链表中常见的操作,而我们需要利用这个过程 通过改变链表指针,使中间块拿出来 当前的unlink会有一个对链表的完整性检查的 // 由于 P 已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致(size检查) if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \ malloc_printerr ("corrupted size vs. prev_size");
unlink原理及利用
AFCC_的博客(Web_Dog)
02-27 1910
unlink是利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的块在物理上相邻时,会将他们合并,并将原来free的块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。但这里的前和后都是指在物理内存中的位置,而不是fd和bk链表所指向的块。 以当前的chunk为基准,将preivous free chunk合并到当前chunk称为向后合...
溢出的unlink利用方法
weixin_34277853的博客
03-08 403
藏在灌木丛中 · 2015/07/22 14:180x00 背景本文写给对溢出无的放矢的童鞋,分为如下几部分:一.经典的unlink利用方法简介 二.在当今glibc的保护下如何绕过进行unlink利用 复制代码建议阅读本文之前先对glibc的malloc.c有所了解你可以在这里在线看到所有的malloc.c的源码0x01 第一部分首先简要介绍一下chunk的结构我们可以在malloc.c中找...
学习打卡4:漏洞的利用技术与技巧与风水学习
一点涵的博客
09-10 2056
督促自己:2020-9-10 学习记录: 《逆向工程权威指南》上 ARM64 ARM64的CPU中可能运行于ARM模式,不可能运行于 Thmub 或者 Thmub-2 moshi ,所以它必须使用32位指令。 STP(Store Pair) 指令是把寄存器的值存储到内存中的任意地址,明确是sp寄存器时,是存储在栈中。 感叹号标志意味着其标注的运算会被优先执行。(这属于“预索引/pre-index”指令,对应“延迟索引/post-index”指令) 在ARM64中,X29寄存器时帧指针,X30起着LR的作用
Double free 漏洞复现与利用
vivid_moon的博客
05-29 5727
2018体系结构安全大作业申明:转载请注明出处选题:2015 年 0ctf 题题目描述:提供记事本功能的二进制文件,找出其漏洞,get shell第一章 操作说明为方便老师审核作业,本报告将操作说明放在第一章。操作流程如下:1 、安装 netcat 。2 、安装 pwntools 库。命令: pip install pwntools (安装过程中,一定要保证网络畅通,曾经因为网不好装这个库装了一个...
漏洞之简单的unlink利用
sunrise的博客
08-09 4442
unlink漏洞(small bin)        当块free时,会检查相邻的后面的块(地址更小的),或者前面的块(地址更大的),是否空闲,如果空闲,那么需要进行块合并操作。 空闲的块一般以双向链表的形式组织(fast bin是单向链表,此攻击不适用),如果刚刚释放的块要与前面或者后面空闲的块进行合并操作,那么需要将前或后的块从双向链表中摘下来,合并成更大的块插入到u...
Android中unlink利用学习
sdulibh的专栏
06-09 1157
前言 最近学习的管理,如何进行unlink利用。发现大多数文章在讲解利用unlink进行任意地址写时没有解释得很透彻(也可能是我比较愚钝吧(╯﹏╰)),看得是云里雾里:-(。。。。。直到看到了shellphish团队在github上的项目how2heap,才弄明白了利用unlink进行任意地址写的原理。于是自己在Android4.4模拟器上设计了一个Demo,用于练习unlink利用。下
PWN之利用-unlink攻击
susuate的博客
07-18 1752
环境配置 笔者使用ubuntu14.04.6_desktop_i386 国内镜像网站如下: http://mirrors.aliyun.com/ubuntu-releases/14.04/ glibc版本2.20 unlink攻击
unlink函数_Unlink漏洞简单分析
weixin_39529443的博客
12-15 271
0x1,溢出漏洞;0x2,闲聊:Unlink的难度不小,现在也只能勉强理解;关于unlink漏洞简单说一下1,第一个判断if(chunksize (p) != prev_size (next_chunk (p)))此判断所代表的含义为检查将从链表中卸下的chunk其size是否被恶意的修改。记录当前size的地方有两处一个是为当前chunk的size字段和下一个chunk(物理地址上...
初级溢出-unlink漏洞
weixin_34395205的博客
09-30 297
Linux下的unlink漏洞 参考文章:https://blog.csdn.net/qq_25201379/article/details/81545128 首先介绍一下Linux的块结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; INTERNAL_SIZE_T size; struct malloc_chunk *f...
漏洞-unlink
m0_52343643的博客
04-06 622
当一个块(非fastbin)释放时,libc会先看其相邻的块是否空闲,空闲的话就将这个相邻块从bins中取出,并与当前释放块合并,而这个bins中取出块的过程就是unlink
溢出-unlink
yms0211的博客
03-18 945
#有几张图出自hollk师傅的文章,原文链接:https://blog.csdn.net/qq_41202237/article/details/108481889# 溢出-unlink 对unlink的利用大概就是对chunk进行内存布局,然后借助unlink中对指针的操作来修改chunk中的指针 unlink的宏定义: #define unlink(AV, P, BK, FD) { FD = P->f
暑假集训——Hitcon_Trainning——lab11_bamboobox——unlink
qq_41667316的博客
07-15 440
UNLINK 思路 其实是艰辛的心路历程 这道题是昨天晚上这个时间就想到的思路 [虽然是道基础题但是是难得的一道没看别人exp就想到怎么写的题,当时觉得自己已经登顶了(bushi] 毕竟是一道套路题的确套路了我【微笑.jpg】 change_note这个函数里面没有检查输入长度,溢出。的几个漏洞里面,溢出我只会unlink,所以就顺着这个思路一直往下写了。 UNLINK 概念 合...
详细介绍Unlink的原理及分析
susu_xiaosu的博客
07-07 1994
并将原来free的块在原来的链表中解链,加入新的链表中其目的是把一个双向链表中的空闲块拿出来(例如 free 时和目前物理相邻的 free chunk 进行合并)比如说数组这类的.........等等。当我们实现unlink的时候就可以任意地址写,但是现实是残酷的,现在的unlink加了很多保护,我们先看一下定义。)中间把下标为3的chunk分割成了两个chunk,伪造fd和bk以及下一个chunk的头部使。因为FD和BK是被看作两个chunk那么fd和bk的位置是和普通的chunk一样的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值