unlink

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!

**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.

HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

코드

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c

/* Take a chunk off a bin list.  */
static void
unlink_chunk (mstate av, mchunkptr p)
{
if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr ("corrupted size vs. prev_size");

mchunkptr fd = p->fd;
mchunkptr bk = p->bk;

if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
malloc_printerr ("corrupted double-linked list");

fd->bk = bk;
bk->fd = fd;
if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
{
if (p->fd_nextsize->bk_nextsize != p
|| p->bk_nextsize->fd_nextsize != p)
malloc_printerr ("corrupted double-linked list (not small)");

// Added: If the FD is not in the nextsize list
if (fd->fd_nextsize == NULL)
{

if (p->fd_nextsize == p)
fd->fd_nextsize = fd->bk_nextsize = fd;
else
// Link the nexsize list in when removing the new chunk
{
fd->fd_nextsize = p->fd_nextsize;
fd->bk_nextsize = p->bk_nextsize;
p->fd_nextsize->bk_nextsize = fd;
p->bk_nextsize->fd_nextsize = fd;
}
}
else
{
p->fd_nextsize->bk_nextsize = p->bk_nextsize;
p->bk_nextsize->fd_nextsize = p->fd_nextsize;
}
}
}

그래픽 설명

unlink 프로세스에 대한 훌륭한 그래픽 설명을 확인하세요:

https://ctf-wiki.mahaloz.re/pwn/linux/glibc-heap/implementation/figure/unlink_smallbin_intro.png

보안 검사

청크의 지정된 크기가 다음 청크에 표시된 prev_size와 동일한지 확인합니다.
또한 P->fd->bk == P 및 P->bk->fw == P인지 확인합니다.
청크가 작지 않은 경우, P->fd_nextsize->bk_nextsize == P 및 P->bk_nextsize->fd_nextsize == P인지 확인합니다.

누수

unlink된 청크는 할당된 주소를 정리하지 않으므로, 이를 읽을 수 있는 접근 권한이 있으면 흥미로운 주소를 누출할 수 있습니다:

Libc 누수:

P가 이중 연결 리스트의 머리에 위치하면, bk는 libc의 malloc_state를 가리킵니다.
P가 이중 연결 리스트의 끝에 위치하면, fd는 libc의 malloc_state를 가리킵니다.
이중 연결 리스트에 무료 청크가 하나만 포함되어 있을 때, P는 이중 연결 리스트에 있으며, fd와 bk 모두 malloc_state 내부의 주소를 누출할 수 있습니다.

힙 누수:

P가 이중 연결 리스트의 머리에 위치하면, fd는 힙의 사용 가능한 청크를 가리킵니다.
P가 이중 연결 리스트의 끝에 위치하면, bk는 힙의 사용 가능한 청크를 가리킵니다.
P가 이중 연결 리스트에 있으면, fd와 bk 모두 힙의 사용 가능한 청크를 가리킵니다.

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!

**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.

HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.