pwnable.kr题解之uaf

最新推荐文章于 2024-03-12 19:53:22 发布
最新推荐文章于 2024-03-12 19:53:22 发布
阅读量574 收藏 3
点赞数 2
分类专栏: bin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/106863381
版权

前言:
这道题目反应了uaf的基本原理,pwn入门必做的题目,如果这一块了解的不够透彻,直接去打现在涉及各种奇技淫巧的pwn,肯定会被绕晕掉。所以为了照顾萌新(其实是我自己菜)把这道题目单独拿出来写一下。

这是一道uaf的题目,把二进制文件拉到本地来研究
在这里插入图片描述
在分析前,先简单说一下c++的虚函数和uaf的前置知识
在c++中,如果类中有虚函数,那么这个类就会有一个虚函数表的指针vfptr,而子类会继承。
在这里插入图片描述
uaf的原理:
在释放内存后未将指向原内存的指针置为null,use after free的意思就是在释放以后进行use。
举个简单的例子:
在这里插入图片描述
原来的p指针指向一个结构体,当结构体没释放之后没有将p置为null,如果我们重新分配原结构体大小的空间,则指针p可以继续使用。但是再次使用时,因为p指针指向的内存包含的数据不是原来的数据了,此时的引用对于正常程序来说是有风险的,不过对于黑客来说,反而方便其进行控制。比如可以进行这些攻击:
任意地址读:puts(p->name)—————>puts(char*(addr2))
任意地址写:strcpy(p->name,data);——>strcpy((char *)(addr2),data)
控制流劫持:p->func()———————>call addr3

这次的uaf题目基本相当于任意地址写
先看源码
uaf@pwnable:~$ cat uaf.cpp
#include <fcntl.h>
#include
#include
#include
#include <unistd.h>
using namespace std;

class Human{
private:
virtual void give_shell(){
system("/bin/sh");
}
protected:
int age;
string name;
public:
virtual void introduce(){
cout << "My name is " << name << endl;
cout << “I am " << age << " years old” << endl;
}
};

class Man: public Human{
public:
Man(string name, int age){
this->name = name;
this->age = age;
}
virtual void introduce(){
Human::introduce();
cout << “I am a nice guy!” << endl;
}
};

class Woman: public Human{
public:
Woman(string name, int age){
this->name = name;
this->age = age;
}
virtual void introduce(){
Human::introduce();
cout << “I am a cute girl!” << endl;
}
};

int main(int argc, char* argv[]){
Human* m = new Man(“Jack”, 25);
Human* w = new Woman(“Jill”, 21);

size_t len;
char* data;
unsigned int op;
while(1){
	cout << "1. use\n2. after\n3. free\n";
	cin >> op;

	switch(op){
		case 1:
			m->introduce();
			w->introduce();
			break;
		case 2:
			len = atoi(argv[1]);
			data = new char[len];
			read(open(argv[2], O_RDONLY), data, len);
			cout << "your data is allocated" << endl;
			break;
		case 3:
			delete m;
			delete w;
			break;
		default:
			break;
	}
}

return 0;

}
在这里插入图片描述
human父类,man和woman两个子类继承自human父类
human父类存在虚函数,会创建有虚表指针指向的一个虚表。Man和woman子类会继承,子类的虚表中会继承父类的所有项(并且当子类存在同名虚函数时,会修改vtable表项,指向自己的函数的地址。如果父类有私有函数,但是这个私有函数是虚函数,那么子类的vtable中同样会有这个函数的表项。每个虚表只有一个vptr,就算有多个虚函数也一样。但是当多重继承的时候,就会有多个vptr。

再看main
在这里插入图片描述
可以知道程序运行后供我们输入
在这里插入图片描述
1会分配内存,2会写内存,3会释放内存。
根据uaf的原理,程序运行后会自动分配内存,我们需要先释放内存,然后将exp写入data,这样当输入1时就会被我们劫持了。
这里需要注意几点:
1.输入2,也就是case2时,需要确定要分配多少内存给我们写,我们知道原程序申请了int age为4字节,string name为16字节,加上一个虚函数指针4字节,共24字节。
2.这里程序自动申请分配给了man,woman,以24字节为单位。而case3是先delete m,在delete w,所以我们这里需要分配两个24字节的内存,即按两次2才能得到m所指向的空间
3.case2需要制定24字节的长度,以及要从哪个文件中读内容来覆盖原先分配的空间,这个文件可以随意指定,关键是文件的内容是什么,这就是我们接下来要研究的地方

注意到在我们use after free的use步骤,也就是输入case1的时候,按照程序逻辑而言执行的是introduce
其实这里调用的是父类human::introduce,而我们想要的是giveshell。
由前面虚函数的知识我们可以知道,这两个虚函数是在一张表上的,那么我们只要在调用human::introduce之前将其地址改为giveshell的,这样在输入case1的时候就可以拿到shell了。
虚表里面一共就两项,第一项是giveshell,第二项是introduce,关键就是找到两者间的偏移,以及虚表指针
在这里插入图片描述
可以看到introduce和giveshell差了8
在这里插入图片描述
上图是case1的汇编
可以看到执行了add rax,8后会执行introduce,那么我们给rax的值-8,这样执行了该指令后就会执行giveshell
虚表原地址我们知道是0x401570
所以我们现在要把它覆盖成0x401570-8=0x401568
也就是说我们case2,在分配24字节,写0x401568来覆盖原内容,根据内存布局,其实就是相当于覆盖了虚表指针vfptr

所以pwn的步骤就很简单了,如图所示
在这里插入图片描述

Elwood Ying
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[CTF]PWN--堆--UAF漏洞
2301_79880752的博客
03-08 1035
UAF即Use After Free简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况。。而我们一般所指的漏洞主要是后两种。此外,
pwntools中fmtstr的使用
fa1c4的blog
02-01 3725
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
uaf漏洞例题
2302_79899078的博客
03-12 531
这里我们要注意由于系统不会直接回收内存空间,并且free后并没有将指针置0,create函数创建的chunk是不能自定义的,但是我们只要free后再申请一次,它就会把之前的chunk给我们复用。总结:以现在博🐖接触到的uaf来说,困难的不是原理,利用思路,难点在于代码的审计,毕竟博🐖学爪洼。,申请堆size时代码构造有困难,总的来说就到这里了。代码审计:只能说五脏俱全 ,add,del,free全都有,典中点,宣~~~本文并不是详细讲解uaf漏洞及double free利用的,只是实操。
pwnable.kr uaf writeup
attack_eg的博客
09-11 878
pwnable.kr uaf writeup核心考察点 c++类的内存布局 点击详情 c++类实例的内存块首地址存放vfptr(虚表指针)uaf漏洞 在内存释放后,不会被“真正”释放。当申请相似大小空间内存时,刚”释放”的内存被优先分配。(遵循FIFO的原则) 当再次通过指针访问”释放”内存时,将发生不可预知的情况。(取决于类实例内存数据如何被改动)解题过程1. IDA确定对象生成
pwnable.kr-uaf
r00tnb的博客
07-26 412
前言 这道题有了pwn的味道了,自己虽然以前学习过二进制漏洞方面的知识但是都是windows方面的(还是新手),对于linux系统下的安全机制和一些关键的技术仍然不熟悉,做这道题参考了别人的writeup,这篇writeup很详细,对我这样的新手来说很友好。 分析 先分析源码uaf.c #include &lt;fcntl.h&gt; #include &lt;iostream&g...
2023.9.9题解fdafafasffas
09-09
"2023.9.9题解fdafafasffas" 本资源主要讨论了五道题目,其中包括幻方数、线性拟合、去括号、数列求和和中位数等。 首先,幻方数的问题可以使用枚举平方根的方法解决,而不是直接枚举整数。这个方法可以避免浮点...
js-leetcode题解之种花问题-题解.zip
05-09
这个名为“js-leetcode题解之种花问题-题解.zip”的压缩包文件,显然是针对LeetCode中的一道具体题目——“种花问题”提供了JavaScript的解决方案。下面,我们将详细探讨这道题目及其解题策略。 “种花问题”通常是...
www.pythonchallenge.com题解第二题
01-16
在这个题解中,我们将深入探讨如何解开这一关卡,以及涉及到的相关Python知识点。 首先,"level2"这个文件名暗示了这是一个逐步递进的挑战,每个级别都有不同的难度和主题。在Python Challenge中,题目通常以图片、...
js-leetcode题解之最长公共前缀-题解.zip
05-09
题解集中关注的是“最长公共前缀”问题,这是一个典型的字符串处理问题,在面试和实际项目中都有可能出现。现在,我们将深入探讨这个问题,以及如何用JavaScript来解决它。 首先,我们要理解什么是“最长公共前缀...
php-leetcode题解之组合.zip
最新发布
06-14
在本压缩包“php-leetcode题解之组合.zip”中,包含的是关于使用PHP解决LeetCode算法题目的代码实现和解析。LeetCode是一个在线平台,它提供了大量的编程问题,旨在帮助程序员提高技能,特别是面试准备时。这个...
pwnable.kr uaf
r250414958的博客
09-19 391
看题目就知道这是一道让我们熟悉uaf漏洞的题,由于我本人也是第一次接触uaf的概念,所以第一次会把概念了解详细一点,还是先从题目入手 为了方便学习我们先看源码 #include <fcntl.h> #include <iostream> #include <cstring> #include <cstdlib> #include <uni...
uaf - pwnable
SkYe's Blog
09-14 443
uaf - pwnable 预备知识 虚函数的内存地址空间 在c++中,如果类中有虚函数(如下图中的 virtual void give_shell()),那么它就是有一个虚函数表的指针__vfptr,在类对象最开始的内存数据中。之后是类中的成员变量的内存数据。 对于子类,最开始的内存数据记录着父类对象的拷贝(包含父类虚函数表指针和成员变量)。之后是子类自己的成员变量数据。 子类的继承也分几种...
UAF漏洞利用原理分析
qq_29317353的博客
12-25 883
二进制安全,UAF漏洞分析学习
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2229
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
UAF原理及相关一道CTF
qq_36963214的博客
07-27 2650
前言 通过学习UAF原理及其在CTF中的应用,通过理论是实践相结合,可以更好地掌握UAF漏洞。 UAF漏洞原理 #include<stdio.h> #include<stdlib.h> int main() { char *p1, *p2; p1 = p2 = NULL; p1 = (char *)malloc(10); if (p1 == NULL) { printf("fail to malloc p1"); exit(1); } memcpy(p1, "
kernel pwn -- UAF
钞sir的博客
07-25 1万+
简介 众所周知,UAF的全称是Use After Free,是一种释放后重用漏洞;之前一直是在用户态下对这个漏洞进行利用学习的,最近想要体验一下在内核环境中利用此漏洞进行提权操作… 用户态的常规UAF可以看这篇文章… 这里我利用的CISCN2017 babydriver来进行学习的,环境我已经放到github上面了,需要的可以自行下载… 前置知识 权限 在Linux当中每个进程都有它自己的权限,而...
UAF之hackthebox_pwn_little tommy
Vicl1fe的博客
09-21 937
题目网址:hackthebox qq讨论群:946220807 前言:这道题考察了堆利用的UAF漏洞,这也应该是我第一次独立自主的完成一个堆题。 UAF 这里不细说了,详情:传送门。简单来说,UAF漏洞本质是free(point)后,point指针还可使用,还指向原来的值。 分析 该程序实现4个功能 创建用户 显示用户 删除用户 添加备忘录 打印flag。 先看看创建用户: 调用了mallo...
百度杯CTF Write up集锦 WEB篇
热门推荐
4ct10n
09-21 4万+
九月场1.code一开始的URL为http://ace3c302efed4a9094cbac1dff0250e8add1b4b45f8249d4.game.ichunqiu.com/index.php?jpg=hei.jpg尝试着令jpg=index.php得出了base64编码的文本 丢到解码器里解出文本index.php<?php /** * Created by PhpStorm. *
Linux 格式化字符串漏洞利用
4ct10n
05-18 6962
目的是接触一些常见的漏洞,增加自己的视野。格式化字符串危害最大的就两点,一点是leak memory,一点就是可以在内存中写入数据,简单来说就是格式化字符串可以进行内存地址的读写。下面结合着自己的学习经历,把漏洞详细的讲解一下,附上大量的实例。
noip历年真题题解.pdf
09-28
《NOIP历年真题题解.pdf》是一本关于NOIP(全国青少年信息学奥林匹克竞赛)历年真题的解析书籍。这本书的目的是帮助学生更好地理解和掌握NOIP竞赛中的题目,并提供对解题思路的详细解释和讲解。 这本书一般会包含多...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值