二进制安全虚拟机Protostar靶场(7)heap2 UAF(use-after-free)漏洞

在这里插入图片描述

前言

这是一个系列文章,之前已经介绍过一些二进制安全的基础知识,这里就不过多重复提及,不熟悉的同学可以去看看我之前写的文章

heap2

程序静态分析

https://exploit.education/protostar/heap-two/

在这里插入图片描述

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/types.h>
#include <stdio.h>struct auth {  #定义了一个名为 auth 的结构体char name[32];  #定义了一个名叫name的变量,能存储32字节数据int auth;  #定义了一个整数变量auth
};struct auth *auth;  #auth 指针用来指向 struct auth 类型的对象
char *service;  #定义了一个service指针int main(int argc, char **argv)  #主函数
{char line[128];  #定义了一个名叫line的变量,能存储128字节数据while(1) {  #一个无限循环printf("[ auth = %p, service = %p ]\n", auth, service);  #输出auth 和 service 指针的当前值if(fgets(line, sizeof(line), stdin) == NULL) break;  #获取我们输入,如果读取失败就会退出if(strncmp(line, "auth ", 5) == 0) {  #如果输入auth,进入if语句 auth = malloc(sizeof(auth));  #给auth 结构体分配内存memset(auth, 0, sizeof(auth));  #将内存初始化为零if(strlen(line + 5) < 31) {  #line + 5(即 "auth " 后面的字符串)的长度小于31字符strcpy(auth->name, line + 5);  #它将被复制到 auth 结构体的 name 字段}}if(strncmp(line, "reset", 5) == 0) {  #如果输入是 "reset"free(auth);  #释放掉auth结构体的内存}if(strncmp(line, "service", 6) == 0) {  #如果输入以 "service" 开头service = strdup(line + 7);  #程序将使用 strdup 函数复制 "service" 后面的字符串,并将 service 指针指向这个新分配的副本}if(strncmp(line, "login", 5) == 0) {  #如果输入是 "login"if(auth->auth) {  #程序将检查 auth 结构体的 auth 字段printf("you have logged in already!\n");  #如果 auth 字段非零,程序会打印一条消息表示用户已经登录} else {printf("please enter your password\n");  #否则,程序提示用户输入密码}}}
}

什么是use-after-free漏洞?

Use-After-Free(UAF)漏洞是一种内存安全漏洞,发生在程序释放了一块内存之后再次错误地使用(访问或操作)这块内存的情况。这种漏洞通常出现在动态内存管理的环境中,尤其是在使用手动内存管理(如C和C++语言)的程序中较为常见。UAF漏洞可能导致程序行为异常、数据损坏、信息泄露,甚至允许攻击者执行任意代码。

UAF漏洞发生的条件

内存释放:程序通过某种机制(例如C语言的free()函数)释放了一块动态分配的内存。
错误重用:在该内存被释放后,程序中的某个部分尝试再次访问或使用这块已释放的内存。
内存再分配:操作系统或内存管理器可能将已释放的内存块重新分配给其他请求,导致原先的引用变得不可预测或危险。

演示

char *buffer = malloc(100); // 分配100字节的内存
strcpy(buffer, "sensitive data"); // 将敏感数据复制到分配的内存中
free(buffer); // 释放内存// ... 程序的其他部分// 错误地重新使用了已释放的内存
printf("%s", buffer); // 尝试打印已释放内存中的数据

在这个例子中,buffer指针首先指向了一块分配的内存,存储了一些敏感数据。随后,这块内存被释放,理应不再被访问。然而,程序后面的部分错误地尝试访问这块已经释放的内存,试图打印它的内容。这个操作可能导致未定义行为,包括打印出随机数据、导致程序崩溃或更糟糕的情况

程序动态调试

这是一个类似于登陆程序的程序,我们可以先看看程序的参数,运行程序,随便往堆里存放一些数据,然后登陆

在这里插入图片描述

图中可以看到auth结构体的堆地址是0x804c008,由于程序检查auth结构体指针的auth成员的值。这个成员是一个整型(int),用来表示用户是否已经认证:非零值表示已认证,零值表示未认证。
如果auth->auth的值为非零(即用户已经通过认证),则输出用户以登陆

在这里插入图片描述

这个程序存在use-after-free漏洞,我们在输入reset释放auth结构体内存时,指针并为重置为0,这个auth结构体的指针还是指向0X804c008

在这里插入图片描述

在这里插入图片描述

输入service参数会执行strdup函数,简单来说,这个函数的作用是复制字符串,然后会自动调用mallco函数来分配内存空间,并返回指向这个新分配内存的指针,也可以使用free函数释放调内存

在这里插入图片描述

随便输入一些值,可以看见service的指针指向了0x804c008

在这里插入图片描述

为什么service的指针和auth的指针指向的是同一个地址呢?聪明的同学可能已经知道了,我们上一个步骤是执行了reset参数,释放了auth结构体的空间,现在又执行了service参数,上面说过,输入service参数会执行strdup函数,简单来说,这个函数的作用是复制字符串,然后会自动调用mallco函数来分配内存空间,并返回指向这个新分配内存的指针,也可以使用free函数释放调内存

由于释放了auth结构体的空间,程序给我们分配空间时,使用了这个空闲的空间,现在auth和service就指向了同一个地址,这就是use-after-free漏洞,漏洞点就发生在这

假设现在有一个内存空间A,空间A是由root用户创建的,可以以最高权限执行命令,现在空间A被free掉了,被程序标记为空闲空间,现在user用户要创建一个内存空间,由于A空间被标记为空闲空间,所以程序会把A空间分配给user用户,我们就可以用user用户操作root用户的空间,执行越权的操作,这就是UAF(use-after-free)漏洞

现在我们用gdb调试程序,用auth参数执行一次分配内存空间的操作

在这里插入图片描述

ctrl+c中断程序,然后查看程序映射的堆空间

info proc mappings

在这里插入图片描述

可以看到,堆空间为0x804c000-0x804d000,现在我们查看堆空间的内容

在这里插入图片描述

我们也可以使用print参数详细显示存放的内容

在这里插入图片描述

现在可以看到我们输入的字符串A,和后面的身份验证,auth = 0

我们在printf函数处下一个断点,然后用commands参数在每一步操作停下来后,自动的运行我们设置的命令,可以更方便的展示堆空间的操作

在这里插入图片描述

在这里插入图片描述

>echo -----------------------------------------------\n
>x/20wx 0x804c000
>echo auth-------------------------------------------\n
>print *auth
>echo service----------------------------------------\n
>print *service
>echo -----------------------------------------------\n
>continue
>end

运行程序,使用auth参数来分配第一个堆空间

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

现在又有一个新问题,为什么auth只有8个字节的空间,不应该是32个字节+4字节整数=36字节空间吗?

在这里插入图片描述

这是因为结构体为auth,整数也叫auth,而结构体auth的指针又叫auth,程序计算auth的大小时,计算的是auth变量的大小,而不是struct auth的大小

在这里插入图片描述

因此,auth被分配到的空间只有4字节大小,malloc函数会将其对齐到8字节

现在来看看free函数是怎么运行的,输入reset

在这里插入图片描述

可以看到,我们之前写入的字符串都被清空了,但是auth指针依然存在

在这里插入图片描述

现在我们用service参数写入一些字符串

在这里插入图片描述

可以看到,auth的值也变成了AAA

身份验证(int auth)的地址是第32个字节后的四个字节

在这里插入图片描述

在这里插入图片描述

也就是图中选中的地方,刚好分配三次service的空间就能覆盖,刚刚我们以及执行了一次,现在我们再执行两次service

在这里插入图片描述

在这里插入图片描述

现在身份验证的值变成了CCC,已经不为0了,现在我们输入login即可

在这里插入图片描述

成功登陆

我们也可以直接用service参数输入36个A来覆盖身份验证的地址

重新运行程序

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/670720.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

环境配置:Ubuntu18.04 ROS Melodic安装

前言 不同版本的Ubuntu与ROS存在对应关系。 ROS作为目前最受欢迎的机器人操作系统&#xff0c;其核心代码采用C编写&#xff0c;并以BSD许可发布。ROS起源于2007年&#xff0c;是由斯坦福大学与机器人技术公司Willow Garage合作的Switchyard项目。2012年&#xff0c;ROS团队从…

力扣面试题 05.03. 翻转数位(前、后缀和)

Problem: 面试题 05.03. 翻转数位 文章目录 题目描述思路及解法复杂度Code 题目描述 思路及解法 1.将十进制数转换为二进制数&#xff08;每次按位与1求与&#xff0c;并且右移&#xff09;&#xff1b; 2.依次求取二进制数中每一位的前缀1的数量和&#xff0c;和后缀1的数量和…

计算机项目SpringBoot项目 办公小程序开发

从零构建后端项目、利用UNI-APP创建移动端项目 实现注册与登陆、人脸考勤签到、实现系统通知模块 实现会议管理功能、完成在线视频会议功能、 发布Emos在线办公系统 项目分享&#xff1a; SpringBoot项目 办公小程序开发https://pan.baidu.com/s/1sYPLOAMtaopJCFHAWDa2xQ?…

极狐GitLab 使用阿里云作为 OmniAuth 身份验证 provider

使用阿里云作为 OmniAuth 身份验证 provider 您可以启用阿里云 OAuth 2.0 OmniAuth provider并使用您的阿里云账户登录极狐GitLab。 创建阿里云应用 登录阿里云平台&#xff0c;在上面创建一个应用。阿里云会生成一个 client ID and secret key 供您使用。 登录到阿里云平台…

PHP实现DESede/ECB/PKCS5Padding加密算法兼容Java SHA1PRNG

这里写自定义目录标题 背景JAVA代码解决思路PHP解密 背景 公司PHP开发对接一个Java项目接口&#xff0c;接口返回数据有用DESede/ECB/PKCS5Padding加密&#xff0c;并且key也使用了SHA1PRNG加密了&#xff0c;网上找了各种办法都不能解密&#xff0c;耗了一两天的时间&#xf…

C语言:内存函数

创作不易&#xff0c;友友们给个三连吧&#xff01;&#xff01; C语言标准库中有这样一些内存函数&#xff0c;让我们一起学习吧&#xff01;&#xff01; 一、memcpy函数的使用和模拟实现 void * memcpy ( void * destination, const void * source, size_t num ); 1.1 使…

微信小程序(三十四)搜索框-带历史记录

注释很详细&#xff0c;直接上代码 上一篇 新增内容&#xff1a; 1.搜索框基本模板 2.历史记录基本模板 3.细节处理 源码&#xff1a; index.wxml <!-- 1.点击搜索按钮a.非空判断b.历史记录&#xff08;去重&#xff09;c.清空搜索框d.去除前后多余空格2.删除搜索 3.无搜索…

Golang 学习(一)基础知识

面向对象 Golang 也支持面向对象编程(OOP)&#xff0c;但是和传统的面向对象编程有区别&#xff0c;并不是纯粹的面向对象语言。 Golang 没有类(class)&#xff0c;Go 语言的结构体(struct)和其它编程语言的类(class)有同等的地位&#xff0c;Golang 是基于 struct 来实现 OOP…

部署 Zabbix 监控平台

部署 Zabbix 监控平台 目录 部署 Zabbix 监控平台一、 Zabbix简介Zabbix 特性Zabbix监控功能 二、Zabbix 概述Server数据库Web 界面ProxyAgent数据流Zabbix serverZabbix agentzabbix配置文件 三、部署Zabbix1&#xff1a;部署监控服务器1.1安装 LNMP 环境1.2 修改 Nginx 配置文…

Unity类银河恶魔城学习记录1-14 AttackDirection源代码 P41

Alex教程每一P的教程原代码加上我自己的理解初步理解写的注释&#xff0c;可供学习Alex教程的人参考 此代码仅为较上一P有所改变的代码 【Unity教程】从0编程制作类银河恶魔城游戏_哔哩哔哩_bilibili PlayerPrimaryAttackState.cs using System.Collections; using System.Co…

C语言的malloc(0)问题

malloc(0)详解 首先来解释malloc&#xff08;0&#xff09;的问题&#xff0c;这个语法是对的&#xff0c;而且确实也分配了内存&#xff0c;但是内存空间是0&#xff0c;就是说返回给你的指针是不能用的&#xff0c;感觉奇怪吧&#xff1f;但是从操作系统的原理来解释就不奇怪…

6-2、T型加减速计算简化【51单片机+L298N步进电机系列教程】

↑↑↑点击上方【目录】&#xff0c;查看本系列全部文章 摘要&#xff1a;本节介绍简化T型加减速计算过程&#xff0c;使其适用于单片机数据处理。简化内容包括浮点数转整型数计算、加减速对称处理、预处理计算 一、浮点数转整型数计算 根据上一节内容已知 常用的晶振大小…

【Vue3】项目实战前基本知识

Vue3ViteTypeScriptpinia Vue3更新点新建项目方式一新建项目方式二vite-demo目录讲解安装常用扩展 vue3书写风格动态css也可以这样使用 虚拟DOMRef全家桶ref小知识1ref小知2&#xff0c;可以直接操作Dom recative全家桶数组赋值方式一数组赋值方式二 to系列全家桶Vue3的响应式原…

Spring实现事务二

. 上一次我们讲到,Spring实现事务的方式有两种,并且,为实现这两种方式,我们做了一些准备工作,那么接下来,我将带着大家,来继续学习事务的相关知识 编程式事务 SpringBoot内置了两个对象 DataSourceTransactionManager 事务管理器. 用来获取事务(开启事务), 提交或回滚事务 Tr…

[Angular 基础] - 指令(directives)

[Angular 基础] - 指令(directives) 这里假设已经知道如何创建 Angular 组件以及数据绑定&#xff0c;不然可以参考前两篇笔记&#xff1a; [Angular 基础] - Angular 渲染过程 & 组件的创建 [Angular 基础] - 数据绑定(databinding) 就像中文翻译一样&#xff0c;dire…

【已解决】pt文件转onnx后再转rknn时得到推理图片出现大量锚框变花屏

前言 环境介绍&#xff1a; 1.编译环境 Ubuntu 18.04.5 LTS 2.RKNN版本 py3.8-rknn2-1.4.0 3.单板 迅为itop-3568开发板 一、现象 采用yolov5训练并将pt转换为onnx&#xff0c;再将onnx采用py3.8-rknn2-1.4.0推理转换为rknn&#xff0c;rknn模型能正常转换&#xff0c;…

养好花草鱼鸟,也能旺家

不少朋友家里既养了鱼鸟&#xff0c;也养了花草&#xff0c;平时逗逗鸟喂喂鱼再赏赏花&#xff0c;真是非常惬意的生活&#xff0c;而用养鱼的水养植物&#xff0c;花草植物会长得格外茂盛。根据这一原理&#xff0c;很多人喜欢在养一些水培花草的时候&#xff0c;顺便养几尾小…

基于SpringBoot+Vue的外卖点餐管理系统

末尾获取源码作者介绍&#xff1a;大家好&#xff0c;我是墨韵&#xff0c;本人4年开发经验&#xff0c;专注定制项目开发 更多项目&#xff1a;CSDN主页YAML墨韵 学如逆水行舟&#xff0c;不进则退。学习如赶路&#xff0c;不能慢一步。 目录 一、项目简介 二、开发技术与环…

第三篇:SQL数据模型、通用语法和语法分类

一&#xff0c;SQL数据模型 &#xff08;一&#xff09;关系型数据库&#xff08;RDBMS&#xff09; 1.概念 &#xff08;百度百科&#xff09;指采用了关系模型来组织数据的数据库&#xff0c;其以行和列的形式存储数据&#xff0c;以便于用户理解&#xff0c;关系型数据库这…

【蓝桥杯选拔赛真题64】python数字塔 第十五届青少年组蓝桥杯python 选拔赛比赛真题解析

python数字塔 第十五届蓝桥杯青少年组python比赛选拔赛真题 一、题目要求 (注:input()输入函数的括号中不允许添加任何信息) 提示信息: 数字塔是由 N 行数堆积而成,最顶层只有一个数,次顶层两个数,以此类推。相邻层之间的数用线连接,下一层的每个数与它上一层左上…