堆栈上的舞蹈之释放重引用（UAF） 漏洞原理实验分析

0x01 前言

• 释放重引用的英文名名称是 Use After Free，也就是著名的 UAF 漏洞的全称。从字面意思可以看出 After Free 就是释放后的内存空间，Use 就是使用的意思，使用释放后的内存空间。该漏洞的历史可以追溯到 2005 年，当时第一个 UAF 漏洞编号为 CVE-2005-4360，到 2008 年之后结合有关技术已经能稳定的利用了
• 鉴于 UAF 漏洞的特殊性(需要精确的控制堆内存空间的覆盖)，所以该漏洞较为成功的利用多出现在浏览器中，因为浏览器可以运行 JavaScript 代码来申请堆空间，而其他软件利用起来则非常的困难

0x02 UAF 漏洞原理

• 很多程序员在编写程序的时候会使用 new 或者 malloc 等方式动态的申请堆空间来存放数据，之后再使用 delete 或者 free 来释放掉。一般来说这样的方式并不会出现什么问题，但是如果程序员粗心，二次使用释放后堆空间的悬挂指针，那么就会造成安全隐患
• 举个例子

#include <stdio.h>
#define size 32
 
int main(int argc, char **argv)
{
    
	// 申请两个 char 类型的指针 
	char *buf1; char *buf2;
	
	// 动态申请一个大小为 size 的堆空间 
	buf1 = (char *)malloc(size);
	
	// 打印出 buf1 的指针指向的地址 
	printf("buf1: 0x%p\n", buf1);
	
	// 释放 buf1 的堆 
	free(buf1);
	
	// 动态申请一个大小为 size 的