软件安全实验——pre12(UAF漏洞预习)

最新推荐文章于 2024-03-08 20:44:25 发布
最新推荐文章于 2024-03-08 20:44:25 发布
阅读量581 收藏 3
点赞数 2
分类专栏: # 软件安全实验 文章标签: 指针 c++ c语言 UAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Onlyone_1314/article/details/119674196
版权

目录标题

1、名词解释:double free,UAF (Use After Free),RELRO(Relocation Read Only),Dangling pointer,Control Flow Guard

  Double Free其实就是一种在free时利用伪造chunk并且欺骗操作系统,达到修改内存的目的。
  Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞
  double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统。

  UAF:应用程序调用free()释放内存时,如果内存块小于256kb,dlmalloc并不马上将内存块释放回内存,而是将内存块标记为空闲状态。这么做的原因有两个:一是内存块不一定能马上释放会内核(比如内存块不是位于堆顶端),二是供应用程序下次申请内存使用(这是主要原因)。当dlmalloc中空闲内存量达到一定值时dlmalloc才将空闲内存释放会内核。如果应用程序申请的内存大于256kb,dlmalloc调用mmap()向内核申请一块内存,返回返还给应用程序使用。如果应用程序释放的内存大于256kb,dlmalloc马上调用munmap()释放内存。dlmalloc不会缓存大于256kb的内存块,因为这样的内存块太大了,最好不要长期占用这么大的内存资源。
  简单讲就是第一次申请的内存空间在释放过后没有进行内存回收,导致下次申请内存的时候再次使用该内存块,使得以前的内存指针可以访问修改过的内存。

  RELRO(RELocation Read-Only,只读重定位)让加载器将重定位表中加载时解析的符号标记为只读,这减少了GOT覆写攻击的面积。RELRO可以分为Partial RELRO(部分RELRO)和Full RELRO(完整RELRO)。开启Partial RELRO的话GOT表是可写的;开启FULL RELRO的话GOT表是只读的。从Fedora 23开始所有软件包都已启用了Full RELRO。开启-Wl,-z,relro选项即可开启Partial RELRO;开启-Wl,-z,relro,-z,now选项即可开启Full RELRO。

  Dangling pointer:指针指向非法的内存地址,那么这个指针就是悬挂指针,也叫野指针。意为无法正常使用的指针。
  一个指针所指的内存被释放后,这个指针就被悬空了。访问悬空指针,结果随机。可能导致程序功能不正常,也可能导致程序崩溃。如果受到影响的是其它功能,问题通常很难定位。

  Control Flow Guard(CFG)是一种高度优化的平台安全功能,旨在解决内存损坏漏洞。通过严格限制应用程序可以执行代码的位置,使得利用缓冲区溢出等漏洞执行任意代码变得更加困难。CFG扩展了以前的漏洞利用缓解技术,如/ GS,DEP和ASLR。
  CFG的编译和运行时支持的有效组合实现了控制流完整性,这严格限制了间接调用指令可以执行的位置。
编译器执行以下操作:
为编译的代码添加轻量级安全检查。
标识应用程序中作为间接调用的有效目标的函数集。
Windows内核提供的运行时支持:
有效维护标识有效间接调用目标的状态。
实现验证间接调用目标是否有效的逻辑。

2、阅读下面这三篇文章:

UAF学习–原理及利用
https://www.cnblogs.com/alert123/p/4918041.html

  在指针释放后再申请相同大小的内存,系统会将释放的地址进行分配,以提高系统运行速度,因此可以修改到被释放的内存数据,如果被释放的指针继续被使用,则会造成UAF漏洞。

  通过UAF漏洞,可能可以造成一些任意内存的修改,结合代码特点,可能会造成任意内存的读取或者,严重的能够造成任意命令的执行,获得shell。 取决于被释放的指针是怎么使用的

Linux内核提权漏洞的分析和利用(CVE-2016-0728)
http://www.freebuf.com/vuls/93799.html

通过UseAfterFree实现命令执行
https://bbs.pediy.com/thread-221537.htm

  modify_msg函数从用户读取数据,然后拷贝到对应的指针中,但此时使用的是一个已经释放的msg结构指针。当输入content时,会取content的长度作为大小分配内存,当分配内存大小等于msg结构大小(x86上是40字节,会将刚才释放的内存分配给content指针。此外由于msg结构指针刚好是40个字节,再给msg分配堆内存是,由于需要8字节对齐,而40个字节+8字节[prev_size+size],刚好8字节对齐,另外由于40字节,在堆中属于fastbin管理,不会发生合并,free后再分配时,就会返回相同的堆块)。
  接着会将用户输入的内容(content)拷贝到content指针中,即我们构造的恶意内容,覆盖了原来的Message中的char* author、char* title等地址内容。
  在循环代码中,modify_msg完之后可以继续进入modify_msg,此时msg中相关地址,如author、title和content地址已经变成free函数在got表中的位置,也就是我们输入的内容可以覆盖GOT表!我们把free函数的GOT表地址覆盖成system函数地址,下次在执行free函数时,就会执行system函数,从而达到命令执行。

大灬白
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞分析UAF Lab(自用、记录)
weixin_48392428的博客
05-24 641
漏洞分析UAF Lab(自用、记录)1 实验概述1.1 实验前准备--阅读以下三篇文章1.2 实验要求1.3 简单介绍UAF1.4 UAF漏洞发生的根本原因2. 攻击过程2.1 攻击uaf.c程序获得root shell2.1.1 分析uaf.c代码2.1.2 进行攻击2.2 攻击uaf2.cpp程序获得root shell2.2.1 分析uaf2.cpp代码2.2.2 进行攻击3 题目源代码 1 实验概述 1.1 实验前准备–阅读以下三篇文章 UAF学习–原理及利用. Linux内核提权漏洞分析和利用(
漏洞挖掘——实验13 UAF Attack Lab
一半西瓜的博客
04-17 1822
题目 Lab UAF Attack Lab 解答 Lab UAF Attack Lab Task1:UAF 攻击思路:把shellcode放入环境变量,由于vuln的释放和ptr1的重新申请,利用uaf漏洞把shellcode的地址覆盖在vuln->clean保存的原cleanMemory位置上。这样在之后再调用vuln->clean时,实际调用的就是我们的s...
UAF漏洞学习
weixin_30443895的博客
03-25 1142
  产生原因:   UAF漏洞的成因是一块堆内存被释放了之后又被使用。又被使用指的是:指针存在(悬垂指针被引用)。这个引用的结果是不可预测的,因为不知道会发生什么。由于大多数的堆内存其实都是C++对象,所以利用的核心思路就是分配堆去占坑,占的坑有自己构造的虚表。   分析方式:   触发UAF漏洞需要一系列的操作,而不是像传统的溢出一个操作就会导致溢出。IE浏览器的DOM标签由一个对象来...
软件安全实验——lab12UAF(Use after free):C++指针利用)
Onlyone_1314的博客
08-18 1147
目录标题Task1:针对UAF.c的攻击(1)环境准备工作(2)获得shellcode在环境变量的地址(3)攻击Task2: 针对uaf2.cpp的攻击(1)编译程序(2)找到m变量的地址(3)找到虚函数表(4)查看虚函数表的内容(5)攻击题外话:只after一次,就会出现段错误 Task1:针对UAF.c的攻击 源代码: #include <stdio.h> typedef struct s{ int id; char name[20]; void (*clean)(void
漏洞学习笔记——UAF漏洞
谈成(C/C++)
04-30 1373
UAF即为Use After Free。也就是使用了已经被释放的内存,最终导致内存崩溃或任意代码被执行的漏洞UAF漏洞常见于浏览器,如IE、Chrome、Firefox等。 当分配有内存的指针被释放后,如果指针没有及时置空。那么此时的指针就被称为“悬挂指针”,也就是俗称的野指针。引用此类指针就会出现各种意外情况。举例以下代码。 #include "stdafx.h" #include <stdlib.h> #include <tchar.h> #include <windo
FUZE:辅助生成内核UAF漏洞利用.pdf
08-08
软件提供商常常根据漏洞可利用性来安排漏洞修复优先级。但是确定漏洞可利用性通常耗费大量时间和人工分析。为解决这个问题,我们可以采用漏洞利用自动生成技术(AEG)。但在实际已有的技术并不能应用于解决内核...
深入分析Chrome浏览器textbook UAF漏洞 .pdf
09-05
Chrome浏览器的textbook Use-After-Free (UAF)漏洞是一种严重的安全问题,它涉及到WebAudio模块的内存管理缺陷。在2020年3月,研究人员发现了一个非垃圾回收对象的UAF漏洞,该对象由PartitionAlloc内存分配器分配...
2017年度安全报告--应用漏洞.pdf
08-08
Struts2 S2-045/S2-046 漏洞 Struts2 S2-052 漏洞 DotNetNuke CVE-2017-9822 漏洞 IIS 6.0 WebDAV CVE-2017-7269 漏洞 FFmpeg 安全问题 Nginx CVE-2017-7529 漏洞 ...CVE-2017-16943 Exim-UAF 漏洞
未初始化UAF漏洞
04-26
释放重引用(UAF)或者未初始化漏洞题目,
UAF42 滤波设计软件
02-18
UAF42 滤波设计软件
CVE 2013-3897 - UAF 漏洞分析学习学习
weixin_30493321的博客
09-08 222
个人笔记 学习来源 于网络 如有雷同 纯属巧合~~~~~~ 堆喷射的学习在这里 堆喷射 只是说 如果能找到IE 或者 控件插件的漏洞 可以控制程序的流程,执行我们想要的功能,但还不是一个意义上的“漏洞”,只能算是一种捷径吧,现在已经有不用堆喷射实现EXP的例子了。 首先曾经很困扰我的是 heap 回溯保护开启页堆开启它是在 分析之前,不知道在哪里断下时候才用的...
软件安全实验——pre6(整数溢出、堆溢出、栈溢出漏洞预习
Onlyone_1314的博客
07-29 877
这里写目录标题一级目录1、阅读Basic Integer Overflows 这篇文章,大概描述整数溢出的原因和危害。2、阅读堆溢出的文章Once upon a free()...3、(一定要做)上网搜索利用jmp esp或者call esp来进行栈溢出的文章并且仔细阅读,解释这种技术的优点。 一级目录 1、阅读Basic Integer Overflows 这篇文章,大概描述整数溢出的原因和危害。 http://www.phrack.org/issues.html?issue=60&id=10#
linux_kernel_uaf漏洞利用实战
weixin_30666753的博客
08-03 386
前言 好像是国赛的一道题。一个 linux 的内核题目。漏洞比较简单,可以作为入门。 题目链接: 在这里 正文 题目给了3个文件 分配是 根文件系统 , 内核镜像, 启动脚本。解压运行 boot.sh 即可。 vmware 需要开启一个选项。 使用 lsmod 可以找到加载的内核模块,以及它的加载地址。 多次启动发现,地址都没有变化,说明没有开启 kaslr ,从 boot.sh 查看 q...
软件安全实验——pre5(缓冲区溢出漏洞预习
Onlyone_1314的博客
07-22 441
这里写目录标题1、解释gcc参数-fno-stack-protector的含义,gcc的参数里面与stack overflow相关的还有哪些?2、(一定要看)非常仔细地阅读Smashing The Stack For Fun And Profit.3、阅读下面两篇文章的同时,熟悉一下gdb基本操作,看汇编设断点查看内存之类的基本操作了解一点。4、解释linux用root执行下面这条命令sysctl -w kernel.exec-shield=1的含义和用途。 1、解释gcc参数-fno-stack-prot
【2020年奇安信秋招安全方向笔试题解析】
怡红群芳的博客
05-12 740
所以,在给出的选项,正确的命令用于在服务器上起反向隧道是A:ssh -fN -R 1.1.1.1:22:localhost:22 root@1.1.1.1 这条命令会在远程主机1.1.1.1上监听22端口,并将收到的连接转发到本地的22端口,实现反向隧道。所以,在给出的选项,用于Windbg双机内核调试的正确模式是D:串行端口。C. enable page heap:这是一个开启 Page Heap 的选项,可以用于检测UAF等堆溢出错误, Output 详细的错误报告,这是一个正确选项
堆利用(uaf
最新发布
2302_79813730的博客
03-08 949
use after free,释放后使用UAF漏洞全称为use after free ,即利用已经被free掉的堆块被再次利用,该漏洞的存在是因为程序编写者在free堆块部分没有将该堆块的fd指针改为0,进而导致该堆块可以被申请回来,那么被free的堆块有下面三种情况:1. 堆块free后,其对应指针被设置为NULL,即再次被调用该堆块时就会发生错误;2.堆块free后,对应指针没有被设置为NULL,即还可以调用会该堆块,当我们申请一个比该堆块小于等于的size时。
Gcc链接选项
热门推荐
自定义安装golang
12-06 1万+
关于gcc链接选项可以通过页面https://gcc.gnu.org/onlinedocs/gcc/Link-Options.html#index-z。一般通过-Wl,option来传递参数给链接器。 -soname -soname用于指定动态链接库名字,用法:-Wl,-soname,libxxx.so。 --gc-sections --gc-sections表示依赖库不使用的sectio...
Double Free浅析(泄露堆地址的一种方法)
omnispace的博客
04-18 7171
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞。double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像和普通的堆溢出伪造chunk然后free触发unlink...
XSS漏洞概述
qq_35773551的博客
06-20 1480
XSS漏洞概述XSS漏洞概述跨站脚本(Cross Site Scripting)攻击,一直是非常热门的WEB漏洞,在OWASP的TOP10里面排前三。没有对web前端的输入边界进行严格的过滤是XSS漏洞形成的主要原因。攻击着可以通过构造脚本语句使得输入的内容被当作HTML的一部分来执行,当用户访问到该页面时,就会触发该恶意脚本,从而获取用户的敏感数据(比如cookie数据)。XSS漏洞发生在web...
uaf pwn hacknote
09-26
根据提供的引用内容,hacknote程序存在Use After Free(UAF漏洞UAF是一种内存安全漏洞,它发生在程序试图使用已经被释放的内存区域时。在hacknote程序,delete_note函数释放了note对象的内存,但没有将对应的指针设置为NULL。这就导致在之后的操作,如果再次访问已释放的内存,就会发生UAF漏洞。 攻击者可以利用UAF漏洞来实现攻击,例如修改已经被释放的内存的内容,控制程序的执行流程,实现任意代码执行、信息泄露等攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值