堆利用之unlink

最新推荐文章于 2025-05-26 09:34:30 发布
最新推荐文章于 2025-05-26 09:34:30 发布
阅读量635 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: ctf pwn 文章标签: 堆利用 unlink ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chenzhenyu1983/article/details/80148001
本文详细介绍了堆内存管理中的unlink操作,以及如何通过篡改chunk头部进行堆利用,实现任意地址写。通过一个具体的实例,解释了如何构造chunk头部,使得在free过程中触发unlink,并控制内存布局以达到预期效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一 small bin,large bin等的内存结构
未分配的chunk
|  pre chunk size  |   size  |F|C|P|
|  fd       |         bk         |
presize: 前一个块的大小(如果前一个块是空闲的)
size:当前块的大小
F标志位:目前还没有用
C标志位:如果当前块已被分配,置1;否则,置0
P标志位:如果前一个块已被分配,置1,;否则,置0


二、unlink
久经辛苦终于看明白了。还是很精妙的。
unlink是free非fastbin时,会先检查该chunk前一个chunk是否为空闲,如果是空,则合并。
利用思路是溢出修改被free的chunk头部的pre chunk size和size中的p位为0,导致合并空闲chunk。并在相邻处伪造一个chunk头部。最终得到一个任意地址写。


实例说明
以how2heap的unsafe_unlink为例子说明,程序的注释已经去掉


uint64_t *g_fake_chunk; //a
int main()
{
int malloc_size = 0x80; //we want to be big enough not to use fastbins
int header_size = 2;
g_fake_chunk = (uint64_t*) malloc(malloc_size); //chunk0
uint64_t *chunk1_ptr  = (uint64_t*) malloc(malloc_size); //chunk1  b
g_fake_chunk[2] = (uint64_t) &g_fake_chunk-(sizeof(uint64_t)*3); //c

最低0.47元/天 解锁文章

200万优质内容无限畅学
Linux文件和目录管理命令----unlink命令
redrose2100的博客
01-12 3411
unlink命令是Linux系统中一个用于删除文件的命令。与常见的rm命令不同,unlink命令不会将文件放入回收站,而是直接删除文件,并且不会提示用户确认操作,因此需要谨慎使用。
ctf-pwn利用unlink exploit(入门)
Vicl1fe的博客
09-17 1239
首先:阅读本文需要一定的基础知识。 参考链接:传送门 传送门 题目链接:传送门 Unlink unlink技术原理参考这个网址:传送门 现在看下面的代码。上面有题目链接。我的测试环境是ubuntu14和pwndbg。 #include <unistd.h> #include <stdlib.h> #include <string.h> #include &lt...
C 语言unlink 函数
黑夜中的斗狼
09-02 1143
相关函数:link, rename, remove 头文件:#include 定义函数:int unlink(const char * pathname); 函数说明:unlink()会删除参数pathname 指定的文件. 如果该文件名为最后连接点, 但有其他进程打开了此文件, 则在所有关于此文件的文件描述词皆关闭后才会删除. 如果参数pathname 为一符号连接, 则此连
unlink知识点和手法
最新发布
2401_88087539的博客
05-26 718
pwn新手小白,写完题后整理的一点点思路,有任何问题各位师傅可以提出,接收批评指正
漏洞-unlink
m0_52343643的博客
04-06 743
当一个块(非fastbin)释放时,libc会先看其相邻的块是否空闲,空闲的话就将这个相邻块从bins中取出,并与当前释放块合并,而这个bins中取出块的过程就是unlink
unlink 入门
qq_42220888的博客
08-03 335
关于ctf pwn unlink学习
Unlink
yjh_fnu_ltn的博客
07-18 1013
下面我们首先介绍一下 unlink 最初没有防护时的利用方法,然后介绍目前利用 unlink 的方式。
漏洞之unlink1
08-04
本文将深入探讨一种名为"unlink1"的漏洞利用技巧,以及其在特定环境下的应用。 首先,我们要了解内存分配管理的基础。在Linux系统中,glibc库提供了动态内存分配的功能,其中涉及到的主要数据结构是chunk,用于...
溢出之unlink_地址任意写
zhuo1358的博客
09-15 947
我们先来回顾一下方面的基础知识,我们知道,当我们free一个大小超过0x90的chunk时,会检查这个chunk物理意义上相邻的前一个chunk是否是空闲状态,如果是,两个chunk会合并成一个大的chunk来合理利用空间。这里的p64(0x30)是下一个chunk的pre_size域,p64(0x90)是下一个chunk的大小,目的是为了触发unlink和绕过检查(只有一个大于0x80的chunk释放时才会触发unlink):检查与被释放chunk相邻高地址的chunk的size的P标志位是否为0。
【逆向学习记录】漏洞利用Unlink
卦星的专栏
05-19 960
1 概述 前面虽然学习了的chunk及调试了部分简单的案例,了解chunk的结构,但是针对的漏洞利用,还需要一个完整的实践来进一步的验证 参考: ctf pwn中的unlink exploit利用 CTF-wifi–unlink Linux溢出漏洞利用unlink 2 Unlink操作 2.1 正常unlink的过程 P->fd->bk = P->bk. P->...
pwn 入门之unlink
清霂的博客
04-11 275
目录stkof stkof #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "stkof" context(os="linux", arch=arch, log_level="debug") content = 0 #elf elf = ELF(filename) fgets_addr=0x0000000000400D16 fill_addr=0x00000000004009E8 free_got=elf.got['
溢出-unlink
yms0211的博客
03-18 1033
#有几张图出自hollk师傅的文章,原文链接:https://blog.youkuaiyun.com/qq_41202237/article/details/108481889# 溢出-unlinkunlink利用大概就是对chunk进行内存布局,然后借助unlink中对指针的操作来修改chunk中的指针 unlink的宏定义: #define unlink(AV, P, BK, FD) { FD = P->f
Unlink
weixin_42492218的博客
05-10 475
¶ZCTF 2016 的一道题目,考点是 safe unlink利用。¶题目是一个 notepad,提供了创建、删除、编辑、查看笔记的功能1.New note5.Quit保护如下所示NX : YesPIE : No¶程序 New 功能用来新建笔记,笔记的大小可以自定只要小于 1024 字节。int new()所有的笔记 malloc 出来的指针存放在 bss 上全局数组 bss_ptr 中,这个数组最多可以存放 8 个 heap_ptr。
unlink
Judy889的专栏
05-17 245
转自:[url]http://blog.youkuaiyun.com/zhaozhanyong/archive/2010/05/17/5599858.aspx[/url] Linux系统调用-- unlink函数详解 功能描述: 从文件系统中删除一个名称。如果名称是文件的最后一个连接,并且没有其它进程将文件打开,名称对应的文件会实际被删除。 用法: #include ...
heap 漏洞 unlink
samohyes的博客
06-05 587
看了好久没看懂、、、一知半解,把链接放这里,慢慢看内存管理机制https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.680125d6KB9x2z&amp;articleid=334漏洞利用http://manyface.github.io/2016/05/19/AndroidHeapUnlinkExploitPractic...
【pwnable.kr】 unlink
weixin_30340745的博客
07-16 260
pwnable.kr 第一阶段的最后一题! 这道题目就是溢出的经典利用题目,不过是把块的分配与释放操作用C++重新写了一遍,可参考《C和C++安全编码一书》//不是广告 #include <stdio.h> #include <stdlib.h> #include <string.h> typedef struct tagOBJ{ ...
CTF(pwn) 利用unlink 介绍
半岛铁盒的博客
07-01 1014
unlink是链表中常见的操作,而我们需要利用这个过程 通过改变链表指针,使中间块拿出来 当前的unlink会有一个对链表的完整性检查的 // 由于 P 已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致(size检查) if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \ malloc_printerr ("corrupted size vs. prev_size");
unlink()
wsclinux的专栏
11-28 611
头文件:#include
漏洞利用:理解unlink机制与技巧
"漏洞之unlink1 - 一篇关于Linux环境下glibc库中管理漏洞的分析和利用技术的文章,作者SP00F强调了unlink操作在内存管理中的关键作用,以及如何通过覆盖相邻chunk的prev_inuse位来触发漏洞利用。文章适合于学习...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值