[pwn]堆:Use After Free

最新推荐文章于 2023-11-11 15:28:52 发布
最新推荐文章于 2023-11-11 15:28:52 发布
阅读量8.5k 收藏 3
点赞数 1
分类专栏: 二进制 ctf # ctf-pwn 文章标签: 安全 网络安全 pwn ctf 二进制安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Breeze_CAT/article/details/100588190
版权
二进制 同时被 3 个专栏收录
55 篇文章 15 订阅
订阅专栏
ctf
30 篇文章 2 订阅
订阅专栏
ctf-pwn
25 篇文章 4 订阅
订阅专栏

Use After Free:time_formatter writeup

UAF漏洞就是Use After Free,再释放后继续使用,Use After Free会引发各种奇怪的现象,根据场景的不同并没有一种统一的利用方式。下面看题目:time_formatter

日常惯例,先查看安全策略:
在这里插入图片描述
开启了canary、NX、ASLR,然后查看一下程序逻辑:
在这里插入图片描述
很常见的堆菜单,下面查看一下各种功能:
在这里插入图片描述
setformat的功能,首先是输入一个字符串并为它申请空间然后将全局变量ptr指向这个空间,函数中使用了strdup函数,这个函数的功能是将字符串拷贝到malloc的位置:
在这里插入图片描述
然后是filter函数(都是我改的名字),filter函数检测是否有规定范围外的字符,有的话就失败,重新来:
[外链图片转存失败(img-H107jeSx-1567783731649)(time_formatter_wp.assets/1567673565647.png)]
接下来是settime函数,就是输入一个数字,然后用一个全局变量保存它:
在这里插入图片描述
然后是setzone函数,直接读入一个字符串并为它申请空间,并使用一个全局变量保存它,但没有filter函数的检验
在这里插入图片描述
然后是printtime函数:
在这里插入图片描述
可见之前输入的format会被拼接入命令之中,存在命令注入,但setformat函数有filter检验,无法输入;,|等注入的字符。

接着往下看,exit函数:
在这里插入图片描述
exit函数中先将ptr和value两个全局变量指向的地址free掉,free掉之后也没有将悬挂指针清空,然后询问是否要退出,选否还可以继续玩,还有这种操作?所以这里存在UAF漏洞,但却没有double free,因为每次重新申请都会自动将指针指向新的空间,指针数量也不够double free+unlink利用。

利用思路:

先用setformat申请一段空间让ptr指向它,什么内容都行:
在这里插入图片描述
然后调用exit free掉这段空间,但ptr的指向并没有变,但不真正退出,选择n:
在这里插入图片描述
然后调用没有输入校验的setzone函数输入命令注入语句’;/bin/sh #(这里单引号是截断之前的单引号,类似sql注入:
在这里插入图片描述
那么现在ptr就指向命令注入的语句了,成功绕过了检测,然后调用printtime函数就能getshell,都不用写exp,直接手工操作就行,操作顺序如下:

  1. 输入1,选择set format

  2. 输入回车,什么也不输入

  3. 输入5,退出

  4. 输入n,不真的退出

  5. 输入3,选择set zone

  6. 输入’;/bin/sh # ,然后回车确定

  7. 输入4,选择print time

  8. 获得shell:
    在这里插入图片描述

breezeO_o
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc
Use After Free
kelxLZ的博客
07-05 1621
Author:ZERO-A-ONE Date:2021-07-05 一、概念 Use after free:顾名思义,某块内存在释放后还能被用户使用;一般存在于,free后没有将指针置为NULL,导致野指针的存在 二、例题 2.1 hacknote 我们先检查一下这个程序 (base) syc@ubuntu:~/Desktop/unlink/hacknote$ checksec hacknote [*] '/home/syc/Desktop/unlink/hacknote/hacknote' .
好好说话之Use After Free
hollk’s blog
09-28 4609
到了Use After Free啦,总体来说这种手法并不复杂,特征也很明显,就是在静态分析阶段观察释放chunk之后指针是否置空。本以为参加hw会往后拖更,没想到这么快就写完了。如果前面一直跟着学的话这部分也应该难不到你,我会在接下来的Fastbin Attack等你,加油~
ERROR: AddressSanitizer: heap-use-after-free on address
CFY1226的博客
06-15 5437
悬挂指针”(Dangling Pointer)是一种常见的编程错误,它发生在当一个指针指向的内存已经被释放或者已经超出范围时。在这种情况下,指针仍然存在,但它所指向的内存可能已经被操作系统重新分配给其他地方,或者根本就不能访问。如果试图通过悬挂指针访问这块内存,就可能会导致未定义的行为,比如程序崩溃或者数据损坏。在最开始的写法中,我们把root delete掉了,再调用root->right就会出现内存报错。内存错误"heap-use-after-free",这是因为在C++中,当使用。
关于LC的heap-use-after-free问题
qq_39255924的博客
02-20 2146
今天在做LC934.最短的桥这题的时候遇到了heap-use-after-free问题。题目意思很简单,给一个01矩阵表示地图,地图里有且仅有两个由若干值为1的相连格子组成的岛屿,两个岛屿之间的距离大于等于1,让求两个岛屿之间的最短距离。于是我决定dfs标记第一个岛屿,并记录岛屿边缘格子,然后以边缘格子为开始一圈一圈向外进行多源bfs扩展,每扩展一圈两岛屿见距离加一,直至与另一个岛屿相遇。 这是代码: class Solution { constexpr static int direction[4
利用 - Use After Free
yms0211的博客
03-22 962
利用 - Use After Free 概述: Use after free ,直译过来就是在释放后再利用,那么是怎么在释放后再利用的呢? 其实这个释放后再利用主要是因为在程序中原本指向某些函数或块的指针在块被free或函数结束后指针本身确没有被置空,那么这个没有被置空的指针所在的块虽然被释放了,但是我们却还可以通过程序内对块内部的操作来执行这个指针指向的函数。 #以下的内容截取自CTF-wiki# 块被释放后一般有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后
攻防世界pwn题:forgot.doc
07-13
攻防世界pwn题:forgot.doc
pwn:Pwn技术的集合
05-13
wn Pwn技术的集合
browser_pwn:浏览器pwn,现在主要工作
03-22
browser_pwn 浏览器pwn,现在主要工作。 v8_pwn v8开发 jsc_pwn 对jsc的利用
pwn_exp:pwn exps
04-19
pwn_exp pwn exps
做leetcode过程中遇到heap-use-after-free问题的解决方法
cncxycpp的博客
05-11 1万+
heap-use-after-free 背景:leetcode 25 K个一组翻转链表 用了很长时间解决这个问题,过程中心态甚至有一点小小波动。 问题截图: 问题解释:在释放后使用,意思是我使用了释放后的空间吗??(看了程序没有发现问题) 由于之前没有遇到过类似问题,所以选择了在网上寻找答案,看看有没有遇到相同问题的同学分享经验: 发现有位同学分享的是delete之后再次使用空间,就会报相同错,可是我并没有使用delete。 再找了一会发现没有能利用的,大多是对于这个错误的解释和工具使用方法,所以
内存安全问题之 use-after-free 漏洞的介绍
最新发布
SAP 资深技术专家 Jerry Wang 的技术分享
11-11 187
"Use-after-free"漏洞指的是在释放(free)了某块内存后,程序继续使用了已释放的内存区域,可能导致严重的安全问题。总的来说,"use-after-free"漏洞是一种严重的计算机安全威胁,因为它允许攻击者在内存释放后操纵已被标记为可用的内存,从而执行恶意代码。这样的情况下,如果程序继续访问已经释放的内存区域,就会出现"use-after-free"漏洞。随着对漏洞的研究和意识的增强,有许多工具和技术被开发出来来检测和修复"use-after-free"漏洞。
use-after-free漏洞-hacknote
qq_43390703的博客
10-17 1101
hacknote 经典的use-after-free漏洞。 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存
UAF (use after free) 漏洞
guilanl的专栏
03-22 4454
Use After Free   如上代码所示,指针p1申请内存,打印其地址,值 然后释放p1 指针p2申请同样大小的内存,打印p2的地址,p1指针指向的值 Gcc编译,运行结果如下:   p1与p2地址相同,p1指针释放后,p2申请相同的大小的内存,操作系统会将之前给p1的地址分配给p2,修改p2的值,p1也被修改了。 由此我们可以知道: 1.在f
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 2万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
Linux内存管理 (22)内存检测技术(slub_debug/kmemleak/kasan)
铁匠的七寸宫
10-29 1586
Linux常见的内存访问错误有: 越界访问(out of bounds) 访问已经释放的内存(use after free) 重复释放 内存泄露(memory leak) 栈溢出(stack overflow) 不同的工具有不同的侧重点,本章主要从slub_debug、kmemleak、kasan三个工具介绍。 kmemleak侧重于内存泄露问题发现。 slub_debug和kasan有一定的重复,部分slub_debug问题需要借助slabinfo去发现;kasan更快,所有问题独立上
【力扣报错】heap use after free
wayupwayup的博客
10-11 576
力扣报错
溢出----Use After Free
qq_42192672的博客
10-23 4716
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 不得不说有些被坑的感觉,Off-By-One也太难了,问了下大神,我觉得还是先把这个弄懂,那篇学习记录我就先咕咕咕了 以下截图来自CTFWIKI,感觉说的概念挺明确的 从这里我深刻体会到了栈和的不同,以及的困难,没有EIP给我直接...
ModuleNotFoundError: No module named 'pwn'
09-15
根据你的描述,你遇到了一个ModuleNotFoundError: No module named 'pwn'的错误。这个错误是由于你没有安装pwn模块导致的。你可以按照以下步骤来解决这个问题: 1. 首先,确保你已经安装了Python和pip。你可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值