本文详细解析了CISCN 2019网络安全挑战赛中涉及的UAF(Use-After-Free)漏洞。通过分析程序的运行和静态代码,揭示了如何利用这个漏洞来获取shell。文章首先介绍了程序的运行流程,然后重点分析了内存分配和释放过程中的问题,最后给出了漏洞利用的具体步骤和脚本。
知识点关键字
UAF fastbin
样本
运行
检查样本
32位小端程序,开启了栈保护和NX保护。
运行样本
样本的运行结果如上图所示:该程序主要模仿了一个笔记管理的功能,选项1可以开辟新的节点,会让选中是整型还是文本;选项2会让我们根据索引删除一个节点;选型3可以打印一个节点中存储的数据信息;选项4主要是打印一个随机生成的金钱数目,告诉你没法购买Pro版本。
此处不赘述也不一一截图运行结果,读者可以下载样本自行运行,另外样本中的选项4将不会影响漏洞利用的分析,下面的静态分析中将不再解释。
静态分析
main
main函数的主要逻辑还是比较清晰的,但用四个while循环来进行选项选择的写法确实不太直观。不过仔细分析分析,我们就会发现选项1确实对应do_new(),选项2对应do_del(),选项3对应do_dump();然后还有一点就是main函数中调用了system(date)打印日期,后面将会利用system函数获取shell。
do_new
do_new函数主要进行节点内存的分配,需要注意records是一个指针数组,大小为16。每次运行do_new时,会让我们选择一个index,然后让record[index]指向分配的0xC大小的内存节点,该内存节点前4个字节赋值为rec_int_print函数指针,后4个字节赋值为rec_int_free函数指针,最后还剩4个字节赋值为我们输入的value。
上面分析的是类型为Integer的节点构造,如果为Text的话,前两个函数指针指向不同,然后会让最后4个字节指向额外分配的内存,大小由我们自己指定。
rec_int_free 和 rec_str_free
看一眼两种类型节点的free函数,都正确的free了内存块,但却没有将指针置为空,所以这里存在UAF(use after free)漏洞。关于漏洞利用的原理推荐大家到网上进一步查阅资料,下面将会直接讲解如何利用。
do_del 和 do_dump
上面两个函数是漏洞利用的位置。将records[]指针替换为system函数地址,传入的参数为record[]指针,而该节点中存储的值为"sh\x00\x00"。
求解思路
先do_new两个整型节点:Integer[0]&#
最低0.47元/天 解锁文章
扫一扫
485
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
