UAF (use after free) 漏洞

1. 原理


 UAF (use after free) 漏洞_第1张图片

如上代码所示,指针p1申请内存,打印其地址,值

然后释放p1

指针p2申请同样大小的内存,打印p2的地址,p1指针指向的值

Gcc编译,运行结果如下:

 

p1与p2地址相同,p1指针释放后,p2申请相同的大小的内存,操作系统会将之前给p1的地址分配给p2,修改p2的值,p1也被修改了。

由此我们可以知道:

1.在free一块内存后,接着申请大小相同的一块内存,操作系统会将刚刚free掉的内存再次分配。


根本原因是dllmalloc:

参考资料:http://blog.csdn.net/ycnian/article/details/12971863

当应用程序调用free()释放内存时,如果内存块小于256kb,dlmalloc并不马上将内存块释放回内存,而是将内存块标记为空闲状态。这么做的原因有两个:一是内存块不一定能马上释放会内核(比如内存块不是位于堆顶端),二是供应用程序下次申请内存使用(这是主要原因)。当dlmalloc中空闲内存量达到一定值时dlmalloc才将空闲内存释放会内核。如果应用程序申请的内存大于256kb,dlmalloc调用mmap()向内核申请一块内存,返回返还给应用程序使用。如果应用程序释放的内存大于256kb,dlmalloc马上调用munmap()释放内存。dlmalloc不会缓存大于256kb的内存块,因为这样的内存块太大了,最好不要长期占用这么大的内存资源。

 

2.通过p2能够操作p1,如果之后p1继续被使用(use after free),则可以达到通过p2修改程序功能等目的。

 


2.  例子和具体攻击细节


http://security.cs.rpi.edu/courses/binexp-spring2015/lectures/17/10_lecture.pdf


上面链接里面的文章中有一个 UAF 的攻击实例,讲得很清楚。


To explore a UAF, you usually have to allocate a different type of object over the one you have just freeed.


过程:

1. free 

struct toystr {

       void (*message)(char *);

       char buffer[20];

}


2. malloc()

    struct person {

      int  favorite_num;

      int age;

      char name[16];

}

3. set  favorite_num = 0x41414141;

4. Force dangling pointer to call "message()"








你可能感兴趣的:(C++/C,security)