Unsafe Unlink:unlink利用

原创 于 2023-05-16 11:11:11 发布 · 689 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#链表 #数据结构 #java #漏洞

文章详细介绍了glibc堆管理器中的unlink操作,从宏到函数的转变,以及其在内存安全中的作用。它涉及到对chunk的双链表维护,以及如何通过unlink进行内存布局的操纵。文中还提到了一个2014年的HITCON栈溢出漏洞利用案例,展示了如何利用unlink实现任意地址写,并讨论了PartialRELRO下的漏洞利用策略。

Author:cxing
Date:2023年5月12日

GLIBC 2.35中的Unlink

众所周知,glibc的堆管理器主要用链表结构维护chunk,特别的对于bins中双向链表的脱链操作叫做unlink。在老版本的glibc中,unlink被定义为一个宏,而新版本glibc中unlink被定义为一个函数。
关于为什么会从宏变成函数,我个人猜测有两方面原因。一是函数有编译时检查,而宏没有;二是现代编译器对小函数的优化得很好了,可能直接类似宏展开,并不会有额外的函数调用开销。简言之,unlink的作用就是脱链,通常需要对双链表结构的bins取出时chunk时会调用unlink。
除了及早期的unlink,现在glibc中的unlink通常有两个检查。一个是对size字段的检查,一个是对fd和bk指针的检查。对size字段的检查并不难处理,难的是fd和bk指针的检查使,为了绕过该检查使得unlink attach的威力下降了一大截。


/* Take a chunk off a bin list.  */
static void
unlink_chunk (mstate av, mchunkptr p)
{
   
   
  if (chunksize (p) != prev_size (next_chunk (p)))
    malloc_printerr ("corrupted size vs. prev_size");

  mchunkptr fd = p->fd;
  mchunkptr bk = p->bk;

  if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
    malloc_printerr ("corrupted double-linked list");

  fd->bk = bk;
  bk->fd = fd;
  if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
    {
   
   
      if (p->fd_nextsize->bk_nextsize != p
	  || p->bk_nextsize->fd_nextsize != p)
	malloc_printerr ("corrupted double-linked list (not small)");

      if (fd->fd_nextsize == NULL)
	{
   
   
	  if (p->fd_nextsize == p)
	    fd->fd_nextsize = fd->bk_nextsize = fd;
	  else
	    {
   
   
	      fd->fd_nextsize = p->fd_nextsize;
	      fd->bk_nextsize = p->bk_nextsize;
	      p->fd_nextsize->bk_nextsize = fd;
	      p->bk_nextsize->fd_nextsize = fd;
	    }
	}
      else
	{
   
   
	  p->fd_nextsize->bk_nextsize = p->bk_nextsize;
	  p->bk_nextsize->fd_nextsize = p->fd_nextsize;
	}
    }
}

漫步unlink

通常 unsafe unlink都是向前合并,因此你需要找到如下图所示的内存布局或者构造出如下图所示的内存布局,你才能进行unsafe unlink。
而现代unsafe unlink已经不像曾经那么强大了,其最终结果是向S写入S-3,即[S]=S-3。但是许多讲unlink都在说可以任意地址写是怎么回事?我认为这个说法导致了很多人学习unlink很费劲,本质上unsfae link并不能任意地址写,只能如我上句所说进行[S]=S-3的写入操作。那么如何才能任意地址写呢?
想要unsafe unlink的基础上进行任意地址写,需要劫持一个可以进行写操作的指针变量,因此若我们能够通过控制S指针从S-3开始往高地址覆写,直到劫持一个可以可控的进行写操作的指针为止,我们才算完成任意地址写,例如S+1是一个有写操作的指针,那么我们覆盖到S+1劫持该指针就能任意地址写了。
mmexport1683771745034.png

static void
unlink_chunk (mstate av, mchunkptr p)
{
   
   
  if (chunksize (p) != prev_size (next_chunk (p)))
    malloc_printerr ("corrupted size vs. prev_size");

  mchunkptr fd = p->fd;
  mchunkptr bk = p->bk;

  if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
    malloc_printerr ("corrupted double-linked list");

  fd->bk = bk;
  bk->fd = fd
最低0.47元/天 解锁文章
how2heap的unsafe_unlink(包含stkof和wheelofrobots)
eeeeeight的博客
03-25 302
unsafe_unlink Tags: Pwn, learning experience 例子: 先讲解一下how2heap中给出的例子: 它最终的效果是让全局变量ptr上存储的值变为ptr-0x18, 其unlink过程可以被分解成为如下步骤: (1)寻找堆溢出, (2)伪造chunk, (3)执行unlink (1)寻找堆溢出就是找一个溢出点之类的漏洞使其修改两个连续chunk中的第二个chunk (2)伪造chunk, 除了在第一个chunk中布置fake_fd和fake_bk外, 还要在第二个chu
利用unsafe unlink
蚁景网安学院
06-24 450
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
5.unsafe_unlink
06-08 303
源代码  1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <string.h> 4 #include <stdint.h> 5 6 7 uint64_t *chunk0_ptr; 8 9 int main() 10 { 11 ...
unsafe_unlink(详解)
m0_52249553的博客
04-07 506
how2heap调试
how2heap 5.unsafe_unlink
WHOISjxb的博客
04-06 656
64位系统以下各字段均为8字节,32位系统为4字节。 glibc2.26及以上版本有tcache机制。咱目前也不太懂,快刀斩乱麻,glibc2.25的实验在Ubuntu16.04上做,glibc版本信息如下: 5. unsafe_unlink.c 运行结果: 分析: 题外话,观察到,对于同一个可执行文件unsafe_unlink,每次运行打印的地址不同,而每次调试则相同。希望以后理解。 伪...
linux堆溢出学习之unsafe unlink
jmp esp
12-10 3492
示例代码来源:https://github.com/Escapingbug/how2heap/blob/master/unsafe_unlink.c#include <stdio.h> #include <stdlib.h> #include <string.h> #include <stdint.h> uint64_t *chunk0_ptr;int main() { printf("We
unlink原理及利用
AFCC_的博客(Web_Dog)
02-27 2179
unlink利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的堆块在物理上相邻时,会将他们合并,并将原来free的堆块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。但这里的前和后都是指在物理内存中的位置,而不是fd和bk链表所指向的堆块。 以当前的chunk为基准,将preivous free chunk合并到当前chunk称为向后合...
利用学习之unlink
Hpasserby的博客
10-03 618
原理 unlink是内存操作中的一个宏, 用来从双向链表中取出一个free chunk,其过程中的指针操作存在任意写的漏洞。 源码: /* Take a chunk off a bin list */ // unlink p #define unlink(AV, P, BK, FD) { // 由于 ...
heap 漏洞 unlink
samohyes的博客
06-05 600
看了好久没看懂、、、一知半解,把链接放这里,慢慢看内存管理机制https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.680125d6KB9x2z&amp;articleid=334漏洞利用http://manyface.github.io/2016/05/19/AndroidHeapUnlinkExploitPractic...
unlink学习
weixin_45427676的博客
04-14 633
unlink原理 unlink这种利用方式源于glibc堆管理的一种特性,即当free一个chunk时,若该chunk处于双向链表中,则会检测其相邻块是否空闲,若处于空闲状态,则会将该空闲块从双向链表中取出,然后合并,这个取出操作就是unlinkunlink其实就是删除双向链表中的目标结点,这个删除过程本质上是对其前后结点的指针重新赋值,若我们对其指针进行巧妙的设置,则可能控制任意内存地址空间,...
利用unlink
chenzhenyu1983的博客
04-30 653
一 small bin,large bin等的内存结构 未分配的chunk |  pre chunk size  |   size  |F|C|P| |  fd       |         bk         | presize: 前一个块的大小(如果前一个块是空闲的) size:当前块的大小 F标志位:目前还没有用 C标志位:如果当前块已被分配,置1;否则,置0 P标志位:如果前一个块已被...
我又pwn啦——理论篇 unlink
m0_64195960的博客
06-20 723
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地址空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk时·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
Heap-Unlink一谈
qq_41252520的博客
08-12 496
前话 原理在这就不说了,很多博主说得都非常的详细,我也是从他们那里学到的。本篇主要就是讲解常见的Unlink利用。主要分为有泄漏操作和无泄漏操作。 有泄漏操作就是能够输出堆中的信息,无泄漏就是不能泄露堆中的信息。 有泄漏操作 ZCTF-2016-note2 【保护】: RELRO保护一定要非常注意,如果是这种情况下(部分开启),说明任意函数的got表都可写;如果是完全开启(FULL)...
CTF之堆溢出-unlink原理探究
BadRer的博客
06-12 1万+
来干!来干! 转战堆溢出,这东东确实接触的很少,听说很神奇很细腻。我也是初次接触就和大家一起共同学习下,也填补下这方面的空白。 https://sploitfun.wordpress.com/2015/02/26/heap-overflow-using-unlink/ 这篇文章讲的就是堆溢出的原理,不过全是英文,估计。。。慢慢看,不急。我就结合着它给的示例程序来分析下原理,以及如何利用堆溢出。
漏洞之简单的unlink利用
sunrise的博客
08-09 4695
unlink漏洞(small bin)        当堆块free时,会检查相邻的后面的堆块(地址更小的),或者前面的堆块(地址更大的),是否空闲,如果空闲,那么需要进行堆块合并操作。 空闲的堆块一般以双向链表的形式组织(fast bin是单向链表,此攻击不适用),如果刚刚释放的堆块要与前面或者后面空闲的堆块进行合并操作,那么需要将前或后的堆块从双向链表中摘下来,合并成更大的堆块插入到u...
Linux (x86) Exploit 开发系列教程之九 使用 unlink 的堆溢出
热门推荐
龙哥盟
05-02 4万+
使用 unlink 的堆溢出 译者:飞龙 原文:Heap overflow using unlink 预备条件: 理解 glibc malloc 这篇文章中,让我们了解如何使用 unlink 技巧成功利用堆溢出。但是在了解它之前,首先让我们看看漏洞程序:/* Heap overflow vulnerable program. */ #include <stdlib.h> #in
CTF用户态pwn总结(二) Unlink
weixin_41918450的博客
09-26 1823
CTF用户态pwn总结(二) Unlink unlink是CTF中非常常见的一种题型 unlink时的一些性质 unlink是在free掉一个chunk的时候,如果与之相邻的chunk是free状态,并且不是投票chunk时,会将chunk从原来的链表unlink,并触发合并,fast bin并不会触发合并,只有当满足条件触发fast bin合并时,即当申请的chunk大小大于fast bins...
unlink的使用
Passion
07-31 734
#include #include #include #include #include #include #include /* 使用unlink删除一个临时文件,先打开一个文件,当关闭文件时自动删除 */ int main(int argc,char* argv[]) { int fd; //打开一个文件 fd = open("tmpfile",O_CREAT|O_R
Linux堆溢出漏洞利用unlink
AliMobileSecurity的博客
06-06 5077
本文详细介绍了unlink攻击技术的核心原理,虽然上述介绍的unlink漏洞利用技术已经失效,但是还是有必要认真学习,因为它一方面可以进一步加深我们对glibc malloc的堆栈管理机制的理解,另一方面也为后续的各种堆溢出攻击技术提供思路。
eperm: operation not permitted,unlink
最新发布
03-23
npm config set unsafe-perm true --global ``` 此命令允许 NPM 脚本以 root 权限运行,从而规避部分权限限制[^3]。 ##### 方法三:清理 NPM 缓存 有时缓存会引发不必要的错误,可以通过如下方式清除缓存: ```bash...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值