pwnable.kr uaf

最新推荐文章于 2020-06-19 20:38:02 发布
最新推荐文章于 2020-06-19 20:38:02 发布
阅读量397 收藏
点赞数 2
分类专栏: PWN练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r250414958/article/details/100588407
版权

在这里插入图片描述
看题目就知道这是一道让我们熟悉uaf漏洞的题,由于我本人也是第一次接触uaf的概念,所以第一次会把概念了解详细一点,还是先从题目入手
在这里插入图片描述
为了方便学习我们先看源码

#include <fcntl.h>
#include <iostream> 
#include <cstring>
#include <cstdlib>
#include <unistd.h>
using namespace std;

class Human{
private:
	virtual void give_shell(){
		system("/bin/sh");
	}
protected:
	int age;
	string name;
public:
	virtual void introduce(){
		cout << "My name is " << name << endl;
		cout << "I am " << age << " years old" << endl;
	}
};

class Man: public Human{
public:
	Man(string name, int age){
		this->name = name;
		this->age = age;
        }
        virtual void introduce(){
		Human::introduce();
                cout << "I am a nice guy!" << endl;
        }
};

class Woman: public Human{
public:
        Woman(string name, int age){
                this->name = name;
                this->age = age;
        }
        virtual void introduce(){
                Human::introduce();
                cout << "I am a cute girl!" << endl;
        }
};

int main(int argc, char* argv[]){
	Human* m = new Man("Jack", 25);
	Human* w = new Woman("Jill", 21);

	size_t len;
	char* data;
	unsigned int op;
	while(1){
		cout << "1. use\n2. after\n3. free\n";
		cin >> op;

		switch(op){
			case 1:
				m->introduce();
				w->introduce();
				break;
			case 2:
				len = atoi(argv[1]);
				data = new char[len];
				read(open(argv[2], O_RDONLY), data, len);
				cout << "your data is allocated" << endl;
				break;
			case 3:
				delete m;
				delete w;
				break;
			default:
				break;
		}
	}

	return 0;	
}

首先第一个问题什么是uaf?

#include <stdio.h>
#include <stdlib.h>
void main(void){
	int* p1;
	int* p2;
	p1 = (int*)malloc(sizeof(int));
	*p1 = 100;
	printf("p1: \t address:%X \t value=%d\n", (int)p1, *p1);
	free(p1);//释放内存
	*p1 = 100;
	printf("p1: \t address:%X \t value=%d\n", (int)p1, *p1);


	//接着申请同样大小的内存空间
	p2 = (int*)malloc(sizeof(int));
	*p2 = 50;
	printf("p2: \t address:%X \t value=%d\n", (int)p2, *p2);
	printf("p1: \t address:%X \t value=%d\n", (int)p1, *p1);
	free(p2);
}

这个程序就很好的说明了问题,运行结果

p1: 	 address:7115260 	 value=100
p1: 	 address:7115260 	 value=100
p2: 	 address:7115260 	 value=50
p1: 	 address:7115260 	 value=50

这个结果就引出了两个问题
1.p1释放后为什么还能使用?
2.p2再申请内存的地址和p1是一样的?

这两个问题其实是有关联的
1.首先p1释放后只是释放了p1指向的内存,并没有释放p1指针本身,也没有将指针设置为NULL,所以p1还是指向被释放的地址,也就造成了我们常说的悬空指针(Dangling pointer),但是为什么p1还能再使用而不崩溃触发访问异常(0xC0000005)呢?这就跟第二个问题有关联。
2.系统的内存管理机制,当然一个系统的内存管理非常庞大且复杂,我们只需要知道大部分系统的内存管理都是追求高效的内存分配器,所以在某些情况下内存被free后不会马上释放回内核,而是保留给应用程序重新申请。这使得被我们free掉的任意内存,在紧接着下一次分配的过程中,有很大肯能被重新分配使用。也就是p1为什么被释放掉后还能被使用,以及p2申请的地址和p1被释放掉的地址是一样的。(有兴趣的可以去查询:dllmalloc、ptmalloc、<深入解析windows系统>)

但这只是简单的说明了uaf的基本原理,但是我们在真正的利用中是怎么去利用的呢?http://huntcve.github.io/2015/06/14/uaf/这篇帖子很好的介绍了uaf的实战要点,但目前我们还是回归到题目上,所以我对这道题利用做出了简单的三点总结:
(1)构造一个悬空指针
(2)构造恶意的数据将这段内存空间布局好
(3)再次利用悬空指针,劫持函数流

1.首先怎么在题目里构造一个悬空指针呢?

while(1){
		cout << "1. use\n2. after\n3. free\n";
		cin >> op;
		switch(op){
			case 1:
			...
				break;
			case 2:
			...
			case 3:
				delete m;
				delete w;
				break;
			default:
				break;
		}
	}

通过分析 源码我们可以看到,只要我们输入:3就可以deletemw这两个对象,而释放掉这两个对象后程序并没有把指针设置为null,所以我们就获得了两个悬空指针,这样我们的第一步就完成了。

2.构造恶意数据将这段内存布局好.

while(1){
		cout << "1. use\n2. after\n3. free\n";
		cin >> op;
		switch(op){
			case 1:
				...
			case 2:
				len = atoi(argv[1]);
				data = new char[len];
				read(open(argv[2], O_RDONLY), data, len);
				cout << "your data is allocated" << endl;
				break;
			case 3:
				...
			default:
				break;
		}
	}

通过源码分析我们可以得知,在case 2:里会根据argv[1]转换一个长度,然后申请一个内存,同时读取上面转换长度所得大小的argv[2]所指示的文件数据到申请的内存中。
做到第二步首先我们要:
(1)获取原来被释放放的内存
(2)构造恶意数据,题目的目的就是get flag,但是我们直接cat是没有权限的
在这里插入图片描述
我们看一下uaf的权限
在这里插入图片描述
以及Human类中的give_shell函数

virtual void give_shell(){
		system("/bin/sh");
	}

大概意思也就是如果我们能调用give_shell我们就相当于获得了提权,也就能使用 cat flag 命令了,所以我们构造的恶意数据就是要调用give_shell这个函数。

怎么做到这两步呢
首先我们要获取被释放的内存,就要申请相同大小的内存,这样获取刚被释放的内存概率会更大一点
那我们要申请多大内存呢,我们可以计算一下,或者IDA直接看一下。这里下载pwnable.kr上的文件,由于我非常不熟悉linux上的sh命令,所以我使用了一个叫:winscp的工具,界面如下

在这里插入图片描述
在这里插入图片描述
对于我这种不熟悉的人来说还是非常方便的,大家也可以用自己熟悉的方法,我这里只是做一个记录
下载完成后拖到IDA里查看,这里我们可以看到申请的是0x18大小的内存
在这里插入图片描述
所以我们在输入argv[1]时也应该输入0x18的大小,这样第一个问题就解决了

下一步也就是在我们的内存里构造一个恶意数据
通过源码我们可以看到

while(1){
		cout << "1. use\n2. after\n3. free\n";
		cin >> op;

		switch(op){
			case 1:
				m->introduce();
				w->introduce();
				break;
			case 2:
			...
			case 3:
			...
			default:
				break;
		}
	}

case 1里有调用这块被释放内存的函数指针m->introduce();w->introduce();但这两个的函数位置在这块内存的哪里呢?这就涉及到了C++类的继承和虚表知识,不太熟悉的同学建议去看<C++反汇编与逆向分析技术揭秘>,但是通过IDA我们也直接能看出这两个虚函数的位置
在这里插入图片描述
在这里插入图片描述
可以看到其实也就是类起始内存地址+0x8的位置,所以只要把这个地址覆盖成give_shell函数的地址即可,那么give_shell的函数地址在哪呢?
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
我们在IDA里还是很容易看出来这个Man类的私有函数give_shell在0x0000000000401570这个位置,我们查看这个程序的保护(命令checksec)是并没有开启PIE(ASLR)的,所以我们把这个固定地址填进去是没有问题的

在这里插入图片描述
前两部我们都做好了,现在就差最后一步利用悬空指针劫持函数流,这里看源码可得知,我们只要输入1就可以调用悬空指针了。

所以我们下面把我们上面分析的三步结合起来一起做
首先我们在temp目录下写入一个文件,文件内容是我们构造的恶意内容
give_shell 地址减去0x8

python -c "print '\x68\x15\x40\x00\x00\x00\x00\x00'" > /tmp/poc

之后把我们的构造的参数输入进去./uaf 24 /tmp/poc

然后就是uaf的调用顺序3->2->2->1

这里解释一下为什么调用两次2
首先释放掉堆,然后写入内容为give_shell-8的地址2次,依次给的是womanman,不然在1选项中,先执行的是m->introduce,如果只给woman写的话,那么程序会直接崩溃。这里有点像堆喷的意思了。
在这里插入图片描述
成功:)

QQQqQqqqqrrrr
关注
专栏目录
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 699
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目录 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
PWN uaf [pwnable.kr]CTF writeup题解系列13
重新启程
01-02 733
目录 0x01题目 0x02解题思路 0x03题解 0x01题目 0x02解题思路 题目都已经介绍了这是一道Use After Free的题目,那我们就不用多想了,先看看题目主要内容 root@mypwn:/ctf/work/pwnable.kr# ssh uaf@pwnable.kr -p2222 uaf@pwnable.kr's password: ____ __...
Pwnable
03-26
Pwnable
pwnable.kruaf
river
05-26 8260
uaf 终于有时间写一下了,这个题目的答案百度了一下,貌似没有什么特别详细的解答,都是大神们的writeup,可能觉得太简单了,几句话就完事了,而我这种渣渣,只能从头学习,那里不会学哪里。新手可以一起学习一下,如果有兴趣一起学习pwn的可以留言,一起进步, 不扯了,开始正事!   uaf漏洞分析基础知识补充: 1 UAF:引用一段被释放的内存可导致程序崩溃,或处理非预期数值,或执行无干
pwnable.kr题解之uaf
Yale的博客
06-19 606
前言: 这道题目反应了uaf的基本原理,pwn入门必做的题目,如果这一块了解的不够透彻,直接去打现在涉及各种奇技淫巧的pwn,肯定会被绕晕掉。所以为了照顾萌新(其实是我自己菜)把这道题目单独拿出来写一下。 这是一道uaf的题目,把二进制文件拉到本地来研究 在分析前,先简单说一下c++的虚函数和uaf的前置知识 在c++中,如果类中有虚函数,那么这个类就会有一个虚函数表的指针vfptr,而子类会继承。 uaf的原理: 在释放内存后未将指向原内存的指针置为null,use after free的意思就是在释
pwnable.kr-uaf
r00tnb的博客
07-26 419
前言 这道题有了pwn的味道了,自己虽然以前学习过二进制漏洞方面的知识但是都是windows方面的(还是新手),对于linux系统下的安全机制和一些关键的技术仍然不熟悉,做这道题参考了别人的writeup,这篇writeup很详细,对我这样的新手来说很友好。 分析 先分析源码uaf.c #include &lt;fcntl.h&gt; #include &lt;iostream&g...
pwnable.tw——hacknote
40KO的博客
02-24 836
很少做pwn,之前也只懂点rop,现在跟着练练pwn的堆利用吧,pwnable.tw上的一题hacknote,比较纯粹的uaf题目,还好不久前看了点glibc内存管理的东西,可以派上用场了。 逆向很轻松,那为什么不直接给源码呢。。。根据add_note函数很容易了解note的结构体特征 unsigned int add_node() { note *v0; // ebx signed...
【技术分享】Chrome Issue 776677(CVE-2017-15399)asm.js UAF漏洞分析 .pdf
09-05
在Web安全领域,Chrome Issue 776677(CVE-2017-15399)是一个重要的安全事件,它涉及到asm.js(Assembly JavaScript)中的Use-After-Free(UAF)漏洞。UAF漏洞是一种内存安全问题,当已释放的内存区域被后续代码...
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 629
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
OMG 统一架构框架 (UAF) V1 英文版
08-29
Unified Architecture Framework (UAF) V1 This Appendix describes the Unified Architecture Framework, the Domain Meta-Model (DMM) that captures the concepts, relationships, and viewpoints that specify the Unified Architecture Framework Profile (UAFP). As well as providing the DMM for the UAFP, it is intended to provided a non-implementation specific metamodel for those non-UML or SysML tool vendors who may wish to implement the UAF, consequently it is not neccessary to generate XMI for the UAF.
pwnable.kr [Toddler's Bottle] - uaf
Re:Umiade.tr
04-10 748
Mommy, what is Use After Free bug? ssh uaf@pwnable.kr -p2222 (pw:guest) 根据提示已经可以知道这里需要我们利用漏洞Use-After-Free(UAF)。 该漏洞的简单原理为: 产生迷途指针(Dangling pointer)——已分配的内存释放之后,其指针并没有因为内存释放而置为NULL,而是继续指向已释放内存。 这
pwnable.kr uaf writeup
attack_eg的博客
09-11 912
pwnable.kr uaf writeup核心考察点 c++类的内存布局 点击详情 c++类实例的内存块首地址存放vfptr(虚表指针)uaf漏洞 在内存释放后,不会被“真正”释放。当申请相似大小空间内存时,刚”释放”的内存被优先分配。(遵循FIFO的原则) 当再次通过指针访问”释放”内存时,将发生不可预知的情况。(取决于类实例内存数据如何被改动)解题过程1. IDA确定对象生成
pwnable.kr uaf 知识点总结
qq_43189757的博客
06-22 220
1.学到了一个命令 scp -P 2222 uaf@pwnable.kr:/home/uaf/uaf /home/dqy/Desktop 可以远程下载文件到虚拟机中 2.C++类对象内存结构 参考的博客 虽然看了很多但是对C++的虚函数表的不是很理解,现在对虚函数表的认识就是每一个对象如果有虚函数则会有一个虚函数表,其子类会继承基类的虚函数表,并且会有一个vptr指针指向这张虚函数表,如果子类中含...
pwnable [uaf]
shisuan1的博客
12-24 278
pwnable [uaf] Mommy, what is Use After Free bug? ssh uaf@pwnable.kr -p2222 (pw:guest) 题意:本题主要利用了uaf漏洞,和c++类实例的内存分配。 uaf漏洞 看这个链接 c++类实例的内存分配 看这个链接 方法:类的虚函数表地址如下 可以看到是固定的地址,结合类实例的第一个参数为指向虚函数地址表的指针。那么...
pwnable.kr 之input(看了好久好久的题目和网上的wp....)
Jason_ZhouYetao的博客
06-11 462
本来这题也没有什么的思路,在看了一位大佬的博客之后,自己感觉还有一点的细节适合我们的这些萌新去学习。 input解题 input细节 其他的我看了好久的是,其中的细节问题,其中一个是题目虽然是input,但是在访问的适合却是input2@pwnable.kr,这个需要注意一下,而且在上传文件的是在你最原始的界面,也就是你一开始打开终端的root界面,之后执行命令 scp -P ...
pwnable_001
for_mat_的博客
09-05 199
ssh直连 $cat fd.c buf里面存的要是LETMEWIN才有可能拿到???? 所以往上一语句查看 buf的值是从fd获得的 argc是参数的个数 有一个默认参数,除了默认参数外还要传入其他参数argv[1],才有可能拿到旗 fd是文件指针文件指针如果为0,就会变成stdin键盘输入,argv[0]是文件名 因此: 只要fd的值为0就可以进行输入了 0x1...
UAF:统一企业架构框架详解
"UAF-for-Incose" Unified Architecture Framework(UAF)是一种企业架构框架,它是Unified Profile for DoDAF and MoDAF (UPDM)的下一代版本,有时也被称为UPDM 3。UAF的设计目的是为类似于DoDAF(Department of ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值