UAF】

堆溢出 Use After Free(UAF)

在CTF（CaptureTheFlag）竞赛中，UseAfterFree（UAF）是一种常见的内存安全漏洞，它发生在程序对已经释放的内存进行访问或操作的时候。

无极921·2024-08-21 23:19

从零开始学howtoheap：理解glibc分配机制和UAF漏洞利用

how2heap是由shellphish团队制作的堆利用教程，介绍了多种堆利用技术，后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境：优化pwn虚拟机配置支持libc等指令-CSDN博客1.理解glibc分配机制pwndbg>rStartingprogram:/ctf/work/how2heap/first_fit尽管这个例子没有演示攻击效果，但是它演示了glibc的分配机制

网络安全我来了·2024-02-10 14:58

ncstisc-2018-babydriver：UAF

启动脚本#!/bin/shqemu-system-x86_64\-initrdrootfs.cpio\-kernelbzImage\-append'console=ttyS0root=/dev/ramoops=panicpanic=1'/dev/null\-m64M--nographic\-smpcores=1,threads=1-cpukvm64,+smep只可开启了smep保护题目信息baby

goodcat666·2024-02-09 19:39

Chrome 沙箱逃逸 -- Plaid CTF 2020 mojo

文章目录前置知识参考文章环境搭建题目环境调试环境题目分析附件分析漏洞分析OOBUAF漏洞利用总结前置知识Mojo&Services简介chromiummojo快速入门MojodocsIntrotoMojo&Services译文：利用MojoIPC的UAF

XiaozaYa·2024-02-08 09:18

二进制安全虚拟机Protostar靶场（7）heap2 UAF(use-after-free)漏洞

前言这是一个系列文章，之前已经介绍过一些二进制安全的基础知识，这里就不过多重复提及，不熟悉的同学可以去看看我之前写的文章heap2程序静态分析https://exploit.education/protostar/heap-two/#include#include#include#include#includestructauth{#定义了一个名为auth的结构体charname[32];#定义了

Ba1_Ma0·2024-02-07 16:09

attack demo - USMA

允许普通用户进程可以映射内核态内存并且修改内核代码段，通过这个方法，我们可以绕过Linux内核中的CFI缓解措施，在内核态中执行任意代码360漏洞研究院：USMA:用户态映射攻击视频文档pwnhub3月公开赛-kheap0x20大小的UAF

goodcat666·2024-02-06 14:36

pwnhub 3月公开赛 - kheap

题目直接给了提示：【Hint1】uaf劫持seq_operations结构体漏洞分析题目实现增删查改的功能，白给的0x20大小的UAF，开启了SMEP\KASLR。

XiaozaYa·2024-01-30 18:47

CTF命令执行

[]常用命令cat被过滤目录扫描exit截断空格被过滤短标签;号绕过命令拼接1>/dev/null2>&1绕过无字母/bin无字母数字用$()表示数字UAF脚本其他姿势本文以ctf.show网站题目为例

Skn1fe·2024-01-24 13:25

Chrome漏洞分析与利用(三)——Issue-1062091漏洞分析

ChromeMojo组件的沙箱逃逸漏洞分析漏洞环境漏洞说明Issue-1062091为chrom中存在的一个UAF漏洞，此漏洞存在于chromium的Mojo框架中，利用此漏洞可以导致chrome与基于

Anansi_safe·2024-01-15 01:32

初探UAF漏洞（3）

构造exp#include#includetypedefvoid(*FunctionPointer)();typedefstruct_FAKE_USE_AFTER_FREE{FunctionPointercountinter;charbufffer[0x54];}FAKE_USE_AFTER_FREE,*PUSE_AFTER_FREE;voidShellCode(){_asm{noppushadm

网安星星·2024-01-14 12:17

初探UAF漏洞（2）

漏洞分析申请空间AllocateUaFObjectNonPagedPool函数向上跟，发现IOCTL为2236435时调用AllocateUaFObjectNonPagedPoolIoctlHandler函数该函数直接调的就是AllocateUaFObjectNonPagedPool进入AllocateUaFObjectNonPagedPool后，可以看到通过ExAllocatePoolWithT

网安星星·2024-01-14 12:47

【pwn】hitcontraining_uaf --堆利用之uaf

先检查程序的保护情况32位程序，堆栈不可执行看ida经典的菜单题，根据题目的uaf，判断该题有uaf漏洞，看一下delete函数两次free没置空指针，确实存在uaf漏洞，再看一下add函数和print

GGb0mb·2024-01-12 23:47

No Magic—复杂机电产品系统架构开发套件

该软件提供对SysML/UML/UAF语言的完整支持，提供独有的MagicGrid方法论，涵盖：业务和任务分析、利益攸关者需要及需求分析、系统需求定义、系统架构定义、设计方案权衡、系统分析验证及协同设计管理等内容

经纬恒润·2024-01-07 18:46

[JSMSA_CTF] 2023年12月练习题 pwn

pwn1在init_0里使用mallopt(1,0)设置global_max_fast=0任何块释放都会进入unsort在free函数里没有清理指针，有UAF将v6:0x100清0，便于写one没有return

石氏是时试·2023-12-23 13:51

【slab/0x40 UAF】TPCTF2023 - core 一题多解

前言这题据说比赛被非惨了，但是笔者比较菜，比赛的时候没有正规做出来并且也没有发现非预期，乐。其实比赛的时候一直在纠结为啥freeobj没有freelist，哎，陷进去了，我的Root宝贝。笔者赛后用两种【常规】方式成功复现，第一种方法是利用pipe去构造dirtypipe覆写busybox拿flag（其实作者给的内核版本本身就有dirtypipe漏洞，这里笔者只是为了复习这里利用技巧而复杂化了）；

XiaozaYa·2023-12-04 09:19

2023-12-3

应该很快，毕竟几乎一模一样，并且其还可以构造多个UAF。比较疑惑的地方：1）dirtypipe打busybox的e

XiaozaYa·2023-12-04 09:49

【msg_msg】corCTF2021-msgmsg 套题

其中fire_of_salvation是一个0x1000大小的UAF，可以写UAFobj的前0x20字节或者0x30字节。而wall_of_perdit

XiaozaYa·2023-12-04 09:43

house of husk

利用说明适用版本:glibc2.23--now利用场景:UAF/大堆块/存在格式化字符的使用利用条件:能使__printf_function_table处非空可以往__printf_arginfo_table

XiaozaYa·2023-11-23 02:04

[qemu逃逸] DefconQuals2018-EC3

ubu18设备逆向qemu-system-x86_64只开了Canary和NX保护.比较简单,主要逻辑在mmio_write里面,其实现了一个菜单堆,具有增删改的功能:但是在释放堆块时并没有置空,所以这里存在UAF

XiaozaYa·2023-11-19 18:44

BUUCTF-pwn(15)

gyctf_2020_some_thing_interesting经典UAF漏洞！Allocate申请函数！Free释放函数！

四代机您发多少·2023-11-17 05:56

buuoj Pwn writeup 171-175

showfree简单的uaf。我们可以通过unlink来泄露地址，劫持free_hook。要注意的是它自己写的一个输入函数。要么就回车截断，要么就输入32个。

yongbaoii·2023-11-14 15:44

wdb_2018_1st_babyheap

wdb_2018_1st_babyheap查看保护一个uaf漏洞这个程序内申请的堆块大小是固定的0x20。edit有限制攻击思路：这里有两种攻击方法，一种是unlink，因为pie没开。

z1r0.·2023-11-14 15:13

unlink(freenote_x64)

保护分析init_large_chunkshowneweditdelemalloc有限制，大小只能为0x80的整数倍如0x80、0x100、0x180edit有个realloc函数且带有uaf漏洞dele

HNHuangJingYu·2023-11-14 15:10

fast_attack+unlink(wdb_2018_1st_babyheap)

0x400CE3addres_end=0x400CEDforiinrange(addres_start,addres_end):ida_bytes.patch_byte(i,0x90)这题的的漏洞还是挺多的uaf

HNHuangJingYu·2023-11-14 15:10

[pipe-自写管道] 强网拟态2023-water-ker

程序分析保护当然都开了,题目给了一次增加,释放,修改一字节堆块的能力,这里释放堆块后没有将其指针置空从而导致了UAF.漏洞利用这里的堆块大小为512字节并是SLAB_ACCOUNT,所以可以直接利用管道去构造自写管道从而构造任意读写系统

XiaozaYa·2023-11-13 00:52

【PWN · heap | UAF】[BJDCTF 2020]YDSneedGirlfriend

一篇裸的、便于学习UAF的题目和笔记前言UAF-释放后重用，这一题和wiki上教学的那一题一样，是纯的裸UAF题目一、题目二、分析题目中del函数，在释放申请的堆块后，并没有将置零，存在UAF漏洞。

Mr_Fmnwon·2023-11-04 05:19

(off by one+uaf+house of spirit)Asis CTF 2016 b00ks+hacknote+ZJctf—easyheap

这道题的溢出点在这里，break的判断的条件是=，从0开始如果循环次数没有减一那就会溢出，明显在输入作者名是会溢出经过程序的执行很清楚的可以看出，作者名和图书的连在一起就会是图书的第一位溢出。可以看到在图书指针的地位由于溢出多了变0了，于是我们便去寻找0x0000555555757700可以指向谁（我们这里是直接假设name为128，des为32），可以看到第一本书的des就正好为我们改变指针的位

osahha·2023-10-29 11:59

【msg_msg+sk_buff】D3CTF2022-d3kheap

前言本方法来自CVE-2021-22555，非常漂亮的组合拳，仅仅一个1024的UAF即可提权，但是对于小堆块的UAF不适用。程序分析启动脚本如下：#!

XiaozaYa·2023-10-07 20:27

hitcontraining_uaf

NocanaryfoundNX:NXenabledPIE:NoPIE(0x8047000)32位，只开了NXintmagic(){returnsystem("/bin/sh");}这题算很简单，入门级uaf

YameMres·2023-10-07 20:38

pwnable.tw hacknote

hacknote主要考察：uaf,fastbin数据结构分析程序流程可知，在add部分，创建的数据结构如下所示用图片直观表示，就是所有被分配的chunk数据结构都是puts块+数据块，并且puts块大小固定

N1ch0l4s·2023-10-03 20:19

BUUCTF-UAF漏洞 pwnable_hacknote

BUUCTF-UAF漏洞pwnable_hacknote好久不学习pwn了，今天学习突然就开窍了，开心，好像离大神又近了一步就不静态分析了，直接动态分析首先创建两个大小为0x80的堆快，结构如图所示，可以看到每个堆块包含了两个部分然后我们释放这两个堆块

三哥sange·2023-10-03 20:18

pwnable.tw——hacknote

很少做pwn，之前也只懂点rop，现在跟着练练pwn的堆利用吧，pwnable.tw上的一题hacknote，比较纯粹的uaf题目，还好不久前看了点glibc内存管理的东西，可以派上用场了。

「已注销」·2023-10-03 20:18

pwnable.tw_hacknote_uaf利用

一道大家都说入uaf比较好的例题，将自己学习的uaf的历程记录一下，来自某大佬一句励志的话解题思路1.查看文件信息，安全机制2.IDA审计3.分析漏洞点4.编写EXP1.基本信息安全机制运行IDA审计1

Jc^·2023-10-03 20:18

[BUUCTF]PWN——pwnable_hacknote

附件步骤：例行检查，32位程序，开启了nx和canary保护本地试运行看一下大概的情况，熟悉的堆的菜单32位ida载入add（）gdb看一下堆块的布局更方便理解delete（）show（）利用思路：使用uaf

Angel~Yan·2023-10-03 20:48

pwnable.tw之hacknote

uaf漏洞产生的主要原因是释放了一个堆块后，并没有将该指针置为NULL，这样导致该指针处于悬空的状态（有的地方翻译为迷途指针），同样被释放的内存如果被恶意构造数据，就有可能会被利用。

Kdongdong·2023-10-03 20:48

pwnable_hacknote 5/100

uaf漏洞利用sh“；”间隔执行命令exp:frompwnimport*fromLibcSearcherimport*local_file='.

cut_maize·2023-10-03 20:17

[pwnable] hacknote wp

title:hacknotedescription:pwnable|heap|UAF##题目考点UAF##解题思路32位elf，菜单题，提供了add,del,print三个功能，依次查看:add_note

乐你带我走吧·2023-10-03 20:47

【PWN刷题】Pwnable-hacknote

②看堆题先看delete，果然free后没有置空，存在UAF

QY不懂·2023-10-03 20:16

BUUCTF-PWN-pwnable_hacknote-UAF

1.checksec+运行标准的菜单模式canary和NX保护2.32位IDA1.sub_8048646()unsignedintsub_8048646(){intv0;//ebxinti;//[esp+Ch][ebp-1Ch]intsize;//[esp+10h][ebp-18h]charbuf[8];//[esp+14h][ebp-14h]BYREFunsignedintv5;//[esp+1

Rt1Text·2023-10-03 20:16

通过复用TTY结构体实现提权利用

前言UAF是用户态中常见的漏洞，在内核中同样存在UAF漏洞，都是由于对释放后的空间处理不当，导致被释放后的堆块仍然可以使用所造成的漏洞。

合天网安实验室·2023-09-22 08:33

php uaf漏洞挖掘,漏洞挖掘的艺术-面向源码的静态漏洞挖掘

亲爱的,关注我吧文章共计4127个词今天的内容有一些图，流量用户注意哦和我一起阅读吧0软件漏洞的挖掘一直是热门的方向，安全从业者们从一开始的手工挖洞，到后来编写自己的工具实现自动化的漏洞挖掘，再到随着近年来AI的蓬勃发展，开始使用深度学习等技术辅助漏洞挖掘，乃至更进一步使用相关技术实现自动化攻防，如DARPA的CGC大赛等。技术日新月异，让人眼花缭乱，本系列文章希望通过介绍典型的代表性工作(侧重于

wiles super·2023-09-01 05:44

PHP绕过disable_function限制

文章目录0x01LD_PRELOAD（环境变量，用于动态库的加载）手动使用蚁剑插件0x02寻找未禁用函数0x03uaf脚本绕过BacktraceUAFGCUAFJsonSerializerUAF0x04

天问_Herbert555·2023-08-25 09:20

UAF释放后重引用原理

原地址：https://blog.csdn.net/qq_31481187/article/details/73612451原作者代码是基于linux系统的演示代码，因为windows和Linux内存管理机制上略有不同，该程序在Windows需要稍微做些改动。Windows上执行free释放malloc函数分配的内存后，内存地址一般不被收回，从Windows7到Windows11都是这样，这一点根

satadriver·2023-08-20 00:42

【kernel exploit】CVE-2019-15666 xfrm UAF 8字节写NULL提权分析

文章首发于安全客：CVE-2019-15666xfrmUAF8字节写NULL提权分析CVE-2019-15666是个被低估的漏洞，NVD给的评分只有4.4分。但是2020年5月份，据外媒报道，英国、德国、瑞士和西班牙等国超级计算机中心纷纷报告被加密货币恶意软件感染，导致多个高性能计算集群关闭。根据英国网络安全公司CadoSecutiry调查分析，黑客很有可能是通过利用非法得来的SSH凭证获得了超级

bsauce·2023-08-17 05:59

[漏洞分析] CVE-2022-32250 netfilter UAF内核提权

[漏洞分析]CVE-2022-32250netfilterUAF内核提权文章目录[漏洞分析]CVE-2022-32250netfilterUAF内核提权漏洞简介环境搭建漏洞原理漏洞触发UAF写漏洞利用限制泄露堆地址泄露内核地址

breezeO_o·2023-08-10 06:05

[漏洞分析] CVE-2022-25636 netfilter内核提权

内核提权文章目录CVE-2022-25636netfilter内核提权漏洞简介环境搭建漏洞原理漏洞发生点调用栈netfilter的使用以及触发漏洞利用泄露内核net_device结构体地址setxattr来UAF

breezeO_o·2023-08-10 06:35

[DASCTF 2023 & 0X401七月暑期挑战赛] viphouse复现

但这里需要有canary才行UAF有两个菜单一个是建块写入数据一个是删块，由于初始变量为0，退出后再入可以多次建块，但无

石氏是时试·2023-07-27 06:09

【PWN · UAF】[NISACTF 2022]UAF

第一道UAF！！

Mr_Fmnwon·2023-07-26 22:52

没有将free的指针设为null——UAF漏洞

UAFUAF又名useafterfree意思就是使用了已经被free过的堆如果内存被释放了之后这个指针如果没有被设为NULL之后又被使用了就又很大的可能可以继续正常运行当又有程序对那片地方进行了修改，在继续运行就会发生很奇怪的问题简单的例子#include#includetypedefstructname{char*myname;void(*func)(char*str);}NAME;voidmy

ckj123·2023-07-18 13:13

【bsauce读论文】 Playing for K(H)eaps: Understanding and Improving Linux Kernel Exploit Reliability-US...

作者最后提出了名为ContextConservation的新技术，来提升UAF/DF漏洞利用的稳定性，实验结果表明，稳定性平均提升了14.87

bsauce·2023-07-18 11:12

推荐频道