pwnable 笔记 Toddler's Bottle - uaf
2016-11-16 15:44
375 查看
这题考察uaf漏洞,释放后使用,先看一下什么是uaf
漏洞产生:分配的内存被释放后,指向该内存的指针没有被置为NULL,仍然指向该内存。当再次分配内存时,只要新分配对象的大小与上次释放对象的大小相近,新对象就会被分配到同一块内存中去。
攻击方式:攻击者可以利用未被重置的指针(迷途指针)对内存进行读写。
有关UAF的详细介绍请看这里:http://blog.csdn.net/sdulibh/article/details/47375969
函数有3个功能,1.use 2.after 3.free
use会调用对象m和w的introduce函数
after会新分配一块内存,并从文件argv[2]中读长度为argv[1]个字节到内存中,如下:
free用于释放m,w(先释放m,后释放w)
由前面介绍的UAF漏洞,这里data新分配到的内存就是刚刚被释放的w和m使用的内存,而向这块内存中写的内容我们是可以控制的(通过第二个参数指定文件)
我们需要通过指定argv[1]的值来分配一块可m,w大小相同的一块内存,我们首先需要清楚的是m和w在内存中的大小是多少,下面是Human类的源代码,Man和Woman继承了Human类,我们可以分析源代码得出Man和Women类的大小。(关于类的大小的介绍小伙伴儿们可以看下这里http://www.cnblogs.com/luxiaoxun/archive/2012/09/01/2666395.html)
当然还有更简单的方法,既然源代码在我们手上,增加一个sizeof()函数查看一下Man和Women的大小就可以了
这里可以看到两个类的大小都是24,所以argv[1] = 24
接下来看argv[2]的文件中需要构造什么数据
用IDA打开uaf,找到Man的vtable,发现give_shell()就在introduce()的上面,所以只需要把give_shell()的地址写入文件中即可,这里要注意小端存储,可以使用pwn库的p64输出
在pwnable的服务器中可以把文件输出到/tmp/file,于是argv[2] = “/tmp/file”
最终我们执行的程序是
先输入3释放m和w,再输入2将我们构造的数据写到刚才被释放的内存中,由于free先释放了m后释放了w,所以输入2.after时数据被写到了w使用的内存中,我们需要再次输入2,把数据写入m使用的内存中,最后输入1,use调用m->introduce()时执行了give_shell()
Use After Free
内存被释放后再次引用。漏洞产生:分配的内存被释放后,指向该内存的指针没有被置为NULL,仍然指向该内存。当再次分配内存时,只要新分配对象的大小与上次释放对象的大小相近,新对象就会被分配到同一块内存中去。
攻击方式:攻击者可以利用未被重置的指针(迷途指针)对内存进行读写。
有关UAF的详细介绍请看这里:http://blog.csdn.net/sdulibh/article/details/47375969
解题过程
题目源码main函数如下函数有3个功能,1.use 2.after 3.free
use会调用对象m和w的introduce函数
after会新分配一块内存,并从文件argv[2]中读长度为argv[1]个字节到内存中,如下:
$ ./uaf len file
free用于释放m,w(先释放m,后释放w)
由前面介绍的UAF漏洞,这里data新分配到的内存就是刚刚被释放的w和m使用的内存,而向这块内存中写的内容我们是可以控制的(通过第二个参数指定文件)
我们需要通过指定argv[1]的值来分配一块可m,w大小相同的一块内存,我们首先需要清楚的是m和w在内存中的大小是多少,下面是Human类的源代码,Man和Woman继承了Human类,我们可以分析源代码得出Man和Women类的大小。(关于类的大小的介绍小伙伴儿们可以看下这里http://www.cnblogs.com/luxiaoxun/archive/2012/09/01/2666395.html)
当然还有更简单的方法,既然源代码在我们手上,增加一个sizeof()函数查看一下Man和Women的大小就可以了
这里可以看到两个类的大小都是24,所以argv[1] = 24
$ ./uaf 24 file
接下来看argv[2]的文件中需要构造什么数据
用IDA打开uaf,找到Man的vtable,发现give_shell()就在introduce()的上面,所以只需要把give_shell()的地址写入文件中即可,这里要注意小端存储,可以使用pwn库的p64输出
from pwn import * give_shell_vtable = 0x401568 print p64(give_shell_vtable)
$ python uaf.py > file
在pwnable的服务器中可以把文件输出到/tmp/file,于是argv[2] = “/tmp/file”
最终我们执行的程序是
$ ./uaf 24 /tmp/file
先输入3释放m和w,再输入2将我们构造的数据写到刚才被释放的内存中,由于free先释放了m后释放了w,所以输入2.after时数据被写到了w使用的内存中,我们需要再次输入2,把数据写入m使用的内存中,最后输入1,use调用m->introduce()时执行了give_shell()
3 2 2 1
相关文章推荐
- pwnable 笔记 Toddler's Bottle - fd
- pwnable 笔记 Toddler's Bottle - lotto
- pwnable 笔记 Toddler's Bottle - mistake
- pwnable 笔记 Toddler's Bottle - flag
- pwnable 笔记 Toddler's Bottle - shellshock
- pwnable 笔记 Toddler's Bottle - coin1
- pwnable 笔记 Toddler's Bottle - passcode
- pwnable 笔记 Toddler's Bottle - blackjack
- pwnable 笔记 Toddler's Bottle - collision
- pwnable 笔记 Toddler's Bottle - bof
- pwnable 笔记 Toddler's Bottle - cmd2
- pwnable 笔记 Toddler's Bottle - input
- pwnable 笔记 Toddler's Bottle - cmd1
- pwnable 笔记 Toddler's Bottle - leg
- pwnable.kr [Toddler's Bottle] - uaf
- Pwnable之[Toddler's Bottle](三)--UAF
- pwnable 笔记 Toddler's Bottle - random
- pwnable.kr [Toddler's Bottle] - cmd2
- pwnable.kr [Toddler's Bottle] - collision
- pwnable.kr [Toddler's Bottle] - flag