堆溢出和use after free的差异

最新推荐文章于 2024-07-21 22:49:01 发布
最新推荐文章于 2024-07-21 22:49:01 发布
阅读量6.8k 收藏 6
点赞数
分类专栏: 溢出 文章标签: heap exploit use after free

文章译自:http://www.thegreycorner.com/2010/03/difference-between-heap-overflow-and.html

由于水平有限,大家可以去看看原文,本篇文章在后面加了一些小程序,方便大家理解。


前几天,我收到一个来自我博客读者的问题,他想问下关于堆溢出和use after free 漏洞之间的区别。我想了一下,这将是个很好的话题,因此我写下了这篇文章。

        

现在,我在回答这个问题之前,我想先说下内存管理机制,以及一些相关的理论。

        

内存管理中有两种重要的数据结构——栈和堆。栈是一种后进先出的结构,主要用作存储函数的局部变量和一些函数调用的数据。栈工作时想一堆盘一样,以至于你只能从栈的顶部处加入数据,或者移除数据。如果你想移除掉顶部第二个“盘子”,你必须先把它上面的先移走。栈是一个非常简单的结构,在X86处理器中有寄存器和指令,以及汇编语言来管理和访问。

        

堆是进程用作存储全局变量或者是栈上空间不足以满足变量的大小进行存储的内存空间。堆在x86处理器和汇编语言中没有专用的寄存器和指令,而是高级别的函数进行管理的,这些函数一遍是由C语言写的,包含在windows,GNU/linux等系统中。

        

从溢出的角度来说,由于栈和堆管理的差异使得当 OllyDbg 等汇编级调试器比较栈和堆变化时,难以跟上堆的变化,并且是那些基于堆的溢出变的更加难以使用,相对于基于栈的溢出。然而,这些增加了对管理机制的复杂度,也同样会提供不同类型的可利用的漏洞出现。所以,除了在堆和栈中的缓冲区溢出之外,堆中还存在一种叫做 use after free的漏洞。

        

考虑到use after free 这种类型的漏洞的出现时由于堆管理机制额外引进的复杂的管理机制所造成。我们必须首先理解堆是如何工作的,理解use after free 和堆溢出的漏洞,并且了解它们之间的差异。我们将我们将使用Windows操作系统的堆管理方法作为一个例子。

        

 在windows 中,每个进程都有一个或者多个堆用作存储程序数据,包括默认的进程堆和其它的可动态申请指定大小的,。动态申请堆可通过HeapCreate() 函数申请。每个堆可以有任意大小的堆块,可以被malloc(), HeaoAlloc(), LocalAlloc(), GlobalAlloc() 或者RtkAllocateHeap()申请分配空间。

        

既然有申请空间,同样释放也是必不可少的,为了让内存空间能够重复利用,当不在需要时。HeapFree()和HeapReAlloc()等函数是用做在堆中释放和重新申请分配堆空间的。

        

当然还需要一个能够跟踪在堆中申请分配空间的函数或者方法。这些都可以在堆基址的一大片的数据结构中找到,并且有一个记录着每个堆块的入口地址,用做标识哪些堆块已经分配的。每个已分配和未分配的堆块都有一个块首,上面提到的各种堆管理函数,申请和释放空间时都要使用这些结构进行操作。同样的,基于堆的溢出也是利用这些相同的堆管理函数来控制CPU去破坏堆的结构。

        

 特别地,堆溢出是通过堆块的溢出和重写下一个堆块的块首进行工作的,而下一个堆块中可能包含其它的堆的入口地址或者已经释放的堆的节块(每个都包含前面所述的块首)。之后,当堆管理器操作堆块时(比如说申请一个新的堆块),使的操作的空间指向了重写的堆块,这个错位的块首是可以被头管理函数访问的,但这将产生一个异常,在合适的条件下可以被利用。如前所述,由于利用这些漏洞包含操作堆管理的函数,需要特别注意的是,如果这些函数发生了改变(如在windows xp sp2 中引进的安全移除功能),使得一些堆溢出的编的exp更加难以利用了(或者不可能了)。


 Useafter free 的利用操作与堆溢出略有不同。首先需要一个指向堆块的地址通过申请(通过HeapAlloc),然后释放(HeapFree),之后在释放操作之后再次使用。当这些被释放了的堆块被利用时,可能会出现控制进程执行的机会。

        

程序:

Example1:

#include <stdio.h>
#include <unistd.h>
#define BUFSIZER1 512
#define BUFSIZER2 ((BUFSIZER1/2) - 8)
int main(int argc, char **argv) {
char *buf1R1;
char *buf2R1;
char *buf2R2;
char *buf3R2;
buf1R1 = (char *) malloc(BUFSIZER1);               //申请空间
buf2R1 = (char *) malloc(BUFSIZER1);               //申请空间
free(buf2R1);                                                 //释放
buf2R2 = (char *) malloc(BUFSIZER2);
buf3R2 = (char *) malloc(BUFSIZER2);
strncpy(buf2R1, argv[1], BUFSIZER1-1);             //这里释放之后,又利用了buf2R1
free(buf1R1);
free(buf2R2);
free(buf3R2);
}

Example2:

char* ptr = (char*)malloc (SIZE);
if (err) {
abrt = 1;
free(ptr);
}
...
if (abrt) {
logError("operation aborted before commit", ptr);
}
当一个错误发生时,立即释放指针。但是这个指针又错误的用在logError函数那。



tai_yang_feng
关注
专栏目录
溢出----Use After Free
qq_42192672的博客
10-23 4798
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 不得不说有些被坑的感觉,Off-By-One也太难了,问了下大神,我觉得还是先把这个弄懂,那篇学习记录我就先咕咕咕了 以下截图来自CTFWIKI,感觉说的概念挺明确的 从这里我深刻体会到了栈和的不同,以及的困难,没有EIP给我直接...
LeetCode面试题 02.03. 删除中间节点——报错: AddressSanitizer: heap-use-after-free
qq_43531377的博客
01-20 2318
项目场景: 实现一种算法,删除单向链表中间的某个节点(即不是第一个或最后一个节点),假定你只能访问该节点。 示例: 输入:单向链表a->b->c->d->e->f中的节点c 结果:不返回任何数据,但该链表变为a->b->d->e->f 问题描述: free(node->next); 加这句将出现AddressSanitizer: heap-use-after-free报错,不加将存在一个无用节点node->next浪费内存(但好像无法解决)
ERROR: AddressSanitizer: heap-use-after-free on address
CFY1226的博客
06-15 7772
悬挂指针”(Dangling Pointer)是一种常见的编程错误,它发生在当一个指针指向的内存已经被释放或者已经超出范围时。在这种情况下,指针仍然存在,但它所指向的内存可能已经被操作系统重新分配给其他地方,或者根本就不能访问。如果试图通过悬挂指针访问这块内存,就可能会导致未定义的行为,比如程序崩溃或者数据损坏。在最开始的写法中,我们把root delete掉了,再调用root->right就会出现内存报错。内存错误"heap-use-after-free",这是因为在C++中,当使用。
element 使用过程中遇到的问题及解决方法
qq_39025670的博客
10-31 5168
记录一些使用element框架的疑问与坑 使用版本:2.12.0 1.element 表格某项格式化formatter 这里有个问题:当鼠标移动到表格上时,会再次触发formatter,而这个是没有必要的,我们只需格式化一次,但不知道它这么做的原因是啥。span-method配置也是这种问题 2.element-ui表格合并span-method 表格合并这块需要自己写合并规则,有一点...
【C++报错已解决】`Use-After-Free`
最新发布
鸽芷咕的博客
07-21 426
在软件开发中,`Use-After-Free` 是一个常见的问题,它发生在程序继续使用已经释放或不再有效的内存时。这种情况可能导致未定义的行为,包括程序崩溃。今天,我们将探讨如何解决 `Use-After-Free` 报错,确保你的程序更加健壮和稳定。🚀
利用 - Use After Free
yms0211的博客
03-22 1108
利用 - Use After Free 概述: Use after free ,直译过来就是在释放后再利用,那么是怎么在释放后再利用的呢? 其实这个释放后再利用主要是因为在程序中原本指向某些函数或块的指针在块被free或函数结束后指针本身确没有被置空,那么这个没有被置空的指针所在的块虽然被释放了,但是我们却还可以通过程序内对块内部的操作来执行这个指针指向的函数。 #以下的内容截取自CTF-wiki# 块被释放后一般有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后
关于LC的heap-use-after-free问题
qq_39255924的博客
02-20 2269
今天在做LC934.最短的桥这题的时候遇到了heap-use-after-free问题。题目意思很简单,给一个01矩阵表示地图,地图里有且仅有两个由若干值为1的相连格子组成的岛屿,两个岛屿之间的距离大于等于1,让求两个岛屿之间的最短距离。于是我决定dfs标记第一个岛屿,并记录岛屿边缘格子,然后以边缘格子为开始一圈一圈向外进行多源bfs扩展,每扩展一圈两岛屿见距离加一,直至与另一个岛屿相遇。 这是代码: class Solution { constexpr static int direction[4
eu-16-Wen-Use-After-Use-After-Free-Exploit-UAF-By-Generating
08-29
【 eu-16-Wen-Use-After-Use-After-Free-Exploit-UAF-By-Generating 】这篇内容主要探讨了网络安全中的一个重要问题:Use-After-Free (UAF) 漏洞的利用和防御策略。作者Guanxing Wen是一名在Pangu LAB工作的安全研究...
linux 溢出 pwn 指南,新手科普 | CTF PWN溢出总结
weixin_36467693的博客
05-16 962
学习汇总序言自从加入RTIS交流群, 在7o8v师傅,gd大佬的帮助下,PWN学习之路进入加速度。下面是八周学习的总结,基本上是按照how2heap路线走的。由于八周内容全写,篇幅太长,这里只讲述每道PWN题所用到的一个知识点。第一节(fastbin_dup_into_stack)知识点利用fastbin之间,单链表的连接的特性, 溢出修改下一个free chunk的地址, 造成任意地址写.例子:...
信息安全_数据安全_eu-16-Wen-Use-After-Use-After-Fr.pdf
08-22
对于“use-after-free”漏洞,其利用过程与溢出类似。通过精心安排的内存布局,使易受攻击的对象在“free”后被释放,并用可控的Vector数据占据。当悬挂指针的成员函数被调用时,就可实现完全可控的内存写入,...
UAF (use after free) 漏洞
guilanl的专栏
03-22 4491
Use After Free   如上代码所示,指针p1申请内存,打印其地址,值 然后释放p1 指针p2申请同样大小的内存,打印p2的地址,p1指针指向的值 Gcc编译,运行结果如下:   p1与p2地址相同,p1指针释放后,p2申请相同的大小的内存,操作系统会将之前给p1的地址分配给p2,修改p2的值,p1也被修改了。 由此我们可以知道: 1.在f
Linux 安全缓解机制总结
panhewu9919的博客
06-28 6069
学习资料: linux-kernel-defence-map A Decade of Linux Kernel Vulnerabilities, their Mitigation and Open Problems-2017 The State of Kernel Self Protection-2018 PaX/Grsecurity 代码分析——各种安全机制 Linux每个版本对应的安全更新 linux安全机制的论文 防护研究团队: SELinux (NSA)、AppArmor
Use After Free
冷却
03-19 1098
/* * Author: leng_que * Date: 2015-03-19 * Description: 简单的演示了UAF漏洞的原理 */ #include #include #include int main(void) { char* buf_use = (char*)malloc(32); printf("buf_use's addr = [0
use after free 漏洞的利用方法(栈然后rop)
thesum的专栏
12-20 1129
http://drops.wooyun.org/papers/4077
document节点和element节点的属性和操作
SORYUSHIKINAMI的博客
05-03 3049
JavaScript这门语言通过Document类型来表示文档。在浏览器中,**用document来表示整个HTML或者XML文档**。**document节点是文档的根节点,其它节点都是它的子节点**。只要浏览器开始载入HTML文档,这个节点对象就存在了,可以直接调用。 document节点: - 子节点: 对于HTML文档来说,document对象一般有两个子节点。 1)第一个是docume...
【4】缓冲区溢出 两次tfree产生溢出可能(类似双向链表删除)
如梦如幻的博客
04-29 2390
出现漏洞的原因,是先为p与q均申请了一段空间,这样它们都得到了对应的指针值,而后释放后,又为p申请了1024的空间,并且可以覆盖到q原本的地址,这样我们利用覆盖的原本的q的空间,构造q的chunk,在之后进行tfree的时候,使得返回地址的内容修改为payload的基址,从而达到溢出目的 简而言之就是构造了个位于返回地址的指针指向payload
LeetCode 报错解决 heap-buffer-overflow Heap-use-after-free Stack-buffer-overflow Global-buffer-overflow
热门推荐
个人博客
03-24 5万+
文章目录前言Heap-buffer-overflowHeap-use-after-freeStack-buffer-overflowGlobal-buffer-overflow 前言 在做LeetCode题时发现一个有趣的事情。 对于C语言来说,如果直接访问超出Index的数组,会报错: int main(int argc, char **argv) { int array [100];...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值