pwnable.kr题解之uaf

最新推荐文章于 2025-09-26 14:28:26 发布
原创 最新推荐文章于 2025-09-26 14:28:26 发布 · 761 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析UAF(Use After Free)漏洞原理,通过C++虚函数与内存管理探讨,结合PWN题目的实际操作,演示如何利用UAF实现任意地址读写及控制流劫持,最终获取shell权限。

前言:
这道题目反应了uaf的基本原理,pwn入门必做的题目,如果这一块了解的不够透彻,直接去打现在涉及各种奇技淫巧的pwn,肯定会被绕晕掉。所以为了照顾萌新(其实是我自己菜)把这道题目单独拿出来写一下。

这是一道uaf的题目,把二进制文件拉到本地来研究
在这里插入图片描述
在分析前,先简单说一下c++的虚函数和uaf的前置知识
在c++中,如果类中有虚函数,那么这个类就会有一个虚函数表的指针vfptr,而子类会继承。
在这里插入图片描述
uaf的原理:
在释放内存后未将指向原内存的指针置为null,use after free的意思就是在释放以后进行use。
举个简单的例子:
在这里插入图片描述
原来的p指针指向一个结构体,当结构体没释放之后没有将p置为null,如果我们重新分配原结构体大小的空间,则指针p可以继续使用。但是再次使用时,因为p指针指向的内存包含的数据不是原来的数据了,此时的引用对于正常程序来说是有风险的,不过对于黑客来说,反而方便其进行控制。比如可以进行这些攻击:
任意地址读:puts(p->name)—————>puts(char*(addr2))
任意地址写:strcpy(p->name,data);——>strcpy((char *)(addr2),data)
控制流劫持:p->func()———————>call addr3

这次的uaf题目基本相当于任意地址写
先看源码
uaf@pwnable:

最低0.47元/天 解锁文章
linux_pwn(1)--uaf
azraelxuemo的博客
03-04 1260
文章目录What is uafpwn题例题add函数show函数delete函数开始做题准备框架调试attackexp总结 What is uaf use after free 一般可能会有以下的场景 ptr=malloc(0x10) free(ptr) ptr-> 可能写代码不会出现这样的明显错误,但如果多文件呢?可能你这个地方释放了,其他地方还存在引用 所以项目中记住,free之后立刻ptr=NULL pwn题 在ctf里面,一般uaf出题模式就是 在bss开辟了区域,保存了每个heap的地址,
PWN fd [pwnable.kr]CTF writeup题解系列1
重新启程
01-01 603
题目地址:http://pwnable.kr/play.php 题目地址页面,看看还是挺有意思的,还有一些图片。 看看题目: 题目比较简单,直接把解题过程列出来 root@mypwn:/ctf/work/reverse# ssh fd@pwnable.kr -p2222 The authenticity of host '[pwnable.kr]:2222 ([128.61.24...
UAF科普|既生 DoDAF 何生 UAF?(上篇)
最新发布
HZHW_MBSE的博客
09-26 934
UAF是军工体系建模的重大突破,其发展历经三个阶段:1987年IBM提出的多视图建模雏形、2000年各国军事框架割据时期,直至2017年OMG发布统一标准。UAF的核心价值在于整合11大领域(战略、运行、资源等)构建无死角视图网,实现与MBSE的深度绑定,并保持对历史框架的高兼容性。
pwnable.kruaf
bluestar628的博客
04-13 558
Uaf-useafter free是指堆在被释放后,因为指针没有置为0,从而导致的可以利用这个指针重新利用本应该被释放空间的漏洞。一般情况下,包含这个漏洞会导致程序崩溃,但是如果别有用心者,把这块空间利用起来,比如c++new一个class的时候,里面经常后包含大量的函数指针,而且经常会被调用,如果我们把这个指针覆盖成我们想要执行的地址,那么当后面错误地调用这个函数的时候,就会导致我们的代码执行,
pwnable [uaf]
shisuan1的博客
12-24 344
pwnable [uaf] Mommy, what is Use After Free bug? ssh uaf@pwnable.kr -p2222 (pw:guest) 题意:本题主要利用了uaf漏洞,和c++类实例的内存分配。 uaf漏洞 看这个链接 c++类实例的内存分配 看这个链接 方法:类的虚函数表地址如下 可以看到是固定的地址,结合类实例的第一个参数为指向虚函数地址表的指针。那么...
PWN flag [pwnable.kr]CTF writeup题解系列4
重新启程
01-01 1056
直接看题目 这是一道逆向题目,直接下载下来看看 root@mypwn:/ctf/work/pwnable.kr# wget http://pwnable.kr/bin/flag --2020-01-01 09:37:31-- http://pwnable.kr/bin/flag Resolving pwnable.kr (pwnable.kr)... 128.61.240.205 ...
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 866
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目录 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
PWN mistake [pwnable.kr]CTF writeup题解系列8
重新启程
01-02 607
目录 0x01 题目 0x02 解题思路 0x03 题解 0x01 题目 0x02 解题思路 这个题目比较简单,我就直接贴出来下载和检查过程 root@mypwn:/ctf/work/pwnable.kr# ssh mistake@pwnable.kr -p2222 mistake@pwnable.kr's password: ____ __ __ __...
uaf - pwnable
SkYe's Blog
09-14 637
uaf - pwnable 预备知识 虚函数的内存地址空间 在c++中,如果类中有虚函数(如下图中的 virtual void give_shell()),那么它就是有一个虚函数表的指针__vfptr,在类对象最开始的内存数据中。之后是类中的成员变量的内存数据。 对于子类,最开始的内存数据记录着父类对象的拷贝(包含父类虚函数表指针和成员变量)。之后是子类自己的成员变量数据。 子类的继承也分几种...
pwnable.kr uaf
r250414958的博客
09-19 483
看题目就知道这是一道让我们熟悉uaf漏洞的题,由于我本人也是第一次接触uaf的概念,所以第一次会把概念了解详细一点,还是先从题目入手 为了方便学习我们先看源码 #include <fcntl.h> #include <iostream> #include <cstring> #include <cstdlib> #include <uni...
pwnable.kr uaf writeup
attack_eg的博客
09-11 983
pwnable.kr uaf writeup核心考察点 c++类的内存布局 点击详情 c++类实例的内存块首地址存放vfptr(虚表指针)uaf漏洞 在内存释放后,不会被“真正”释放。当申请相似大小空间内存时,刚”释放”的内存被优先分配。(遵循FIFO的原则) 当再次通过指针访问”释放”内存时,将发生不可预知的情况。(取决于类实例内存数据如何被改动)解题过程1. IDA确定对象生成
pwnable.kr-uaf
r00tnb的博客
07-26 508
前言 这道题有了pwn的味道了,自己虽然以前学习过二进制漏洞方面的知识但是都是windows方面的(还是新手),对于linux系统下的安全机制和一些关键的技术仍然不熟悉,做这道题参考了别人的writeup,这篇writeup很详细,对我这样的新手来说很友好。 分析 先分析源码uaf.c #include &lt;fcntl.h&gt; #include &lt;iostream&g...
pwnable.kr [Toddler's Bottle] - uaf
Re:Umiade.tr
04-10 809
Mommy, what is Use After Free bug? ssh uaf@pwnable.kr -p2222 (pw:guest) 根据提示已经可以知道这里需要我们利用漏洞Use-After-Free(UAF)。 该漏洞的简单原理为: 产生迷途指针(Dangling pointer)——已分配的内存释放之后,其指针并没有因为内存释放而置为NULL,而是继续指向已释放内存。 这
pwnable.kr pwn题题解
qq_41071646的博客
04-10 845
没错 我又来了 开了新坑。。。。。 虽然 说不搞pwn了 但是搞了。。。 gogogo 第一题 挺简单的题。。。。 然后我们 看一下 目录都有什么 如果 能够 读到 flag 那就是另外一个故事了。。 行吧 代码审计吧。。。。 read 第一个参数 0的话 是输入 2是 输出 那么 让fd=0 然后让buf 等于那个值就行 很简单的...
pwnable[dragon](uaf)
九层台
01-24 438
很有意思的一个题目,做成了一个打龙,要是有个图形界面就更有意思了。这个题出乎意料的地方是漏洞的地方仅仅是free了之后对里面的值再操作。我的思维总以为一定要free了之后再malloc才会有漏洞的。改掉这个思维定式。 分析开始。 0x01数据结构 在这里可以看出来 0x02漏洞分析 PriestAttack函数中无论杀没杀死龙都会把龙free 但是在这里继续使用了龙结构里面的值。 接下来就是...
基于A2OJ阶梯的CodeForces Div 2.A题解汇总
最后,结合标签信息:“CodeForces, A2OJ, Div 2.A, 算法竞赛, 在线评测, 编程题解, 竞赛编程, C++, 问题解决, OJ”,可以看出该项目覆盖了算法竞赛生态中的多个关键环节:平台(CodeForces/OJ)、工具(A2OJ Ladder...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值