Use After Free

最新推荐文章于 2025-07-01 09:44:33 发布
最新推荐文章于 2025-07-01 09:44:33 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 信息安全 文章标签: UAF Use-After-Free 释放后重用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leng_que/article/details/44457993
本文通过一个简单示例展示了使用-after-free (UAF) 漏洞的基本原理,包括内存释放、恶意修改及利用步骤。UAF漏洞常见于浏览器等复杂软件中,涉及内存管理和程序逻辑控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

/*
 *  Author: leng_que
 *  Date: 2015-03-19
 *  Description: 简单的演示了UAF漏洞的原理
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main(void)
{
    char* buf_use = (char*)malloc(32);
    printf("buf_use's addr = [0x%08X]\n", buf_use);
    strcpy(buf_use, "1");
    printf("You have money %s$.\n", buf_use);
    free(buf_use);
    // free之后,buf_use指向的内存块已经被MMU(内存管理单元)标记为释放状态,即:这块内存是可以被其它地方再次分配到的。

    printf("\n\n");

    // 在这里,buf_new的地址有很大概率是与之前的buf_use是相同的。
    // 因为这里要分配一个同样大小的内存块,MMU理所当然的应该把刚刚之前释放掉的那个内存块拿出来。
    // 当然,这个在本质上是要取决于MMU的实现。
    char* buf_new = (char*)malloc(32);
    printf("buf_new's addr = [0x%08X]\n", buf_new);
    strcpy(buf_new, "999"); // 修改其中的内容

    printf("You have money %s$.\n", buf_use); // 在此处对于buf_use这个指针的使用,即:Use-After-Free(释放后重用)

    getchar();
    return 0;
}
我的编译运行环境:Windows7 64位 + Code::Blocks v13.12

结果输出:
buf_use's addr = [0x00032F98]
You have money 1$.


buf_new's addr = [0x00032F98]
You have money 999$.

说明:

可以看到,上面那个例子就是通过UAF漏洞把金钱数值给改了。
通常在网页浏览器上这类漏洞特别多,例如:IE,这是因为浏览器涉及到各种描述语言或脚本语言的解析,这其中就会有很多对象的产生与销毁,即:内存的分配与释放,同时那么多的对象的产生、销毁与使用,这其中的关系是极其错综复杂的,你很难知道你所使用的内存块是否已经被释放后又重新分配并且被恶意篡改了的,因此出现了很多UAF漏洞。
这种漏洞在本质上就是控制内存中的某个或某些值,从而改变程序原本的逻辑。

其主要的利用步骤是:

1、显式的触发对某块内存的释放。2、申请分配到那块之前被释放了的内存,并视具体情况更改其中的内容。3、触发UAF部分。

当然,在真实的场景下,其利用过程是非常复杂的,这其中还涉及到要绕过各种保护机制等等内容,而且“申请分配到那块之前被释放了的内存”也不总是那么容易实现的,但总还是有各种技巧的,例如:HeapSpray(堆喷射技术)就是其中的一种。再者其中第2步中所更改的内容主要取决于第3步中是如何使用这块内存的,比如如果仅仅只是用来显示,那么你所更改的内容只是影响了显示而已,但如果是用来执行指令的话,那你就能控制程序的运行逻辑了。

更多参考:
http://sebug.net/paper/books/vulncat/cpp/use_after_free.html
http://security.stackexchange.com/questions/20371/from-a-technical-standpoint-how-does-the-zero-day-internet-explorer-vulnerabili
coredump-X: UAFuse after free
mzhan017的博客
10-31 74
2022-12-6 遇到一例,释放后继续使用的案例,导致数据错乱,coredump;2024-10-26遇到一例,多线程,一个线程释放之后,另一个线程继续使用出现错误。2022-12-9 Kernel、driver一例;
use after free 引起KE
兰宝的专栏
10-12 887
问题背景: 待机状态下,按Power键或者自动进入休眠,必现KE。 分析过程: 取出mtklog看到有db产生,确实发生了KE(kernel exception),取出db和vmlinux (必须是和当前软件是同一次编译的)后,使用GAT工具解开db,取出SYS_MINI_RDUMP,使用 gdb调试: $ arm-linux-androideabi-gdb v
Day 12:多重释放(Double Free)与释放后使用(Use-After-Free
最新发布
blog.boringhex.top
07-01 584
本文深入剖析C语言内存管理中两大高危陷阱——多重释放(double free)与释放后使用(use-after-free)。它们会破坏堆结构、导致程序崩溃,甚至引发安全漏洞。常见成因包括未置空释放指针、多指针别名混乱及复杂逻辑分支遗漏。规避方法强调:释放后立即置NULL、统一管理资源所有权、使用Valgrind等检测工具。通过错误代码与修正案例对比,图解危险操作,核心建议将"free后置NULL"纳入规范,明确资源生命周期管理。遵循"谁分配谁释放谁置NULL"原则,可
hwasan / asan详细分析踩内存之一:Use after free
04-06 912
UAF漏洞全称为use after free ,即利用已经被free掉的堆块被再次利用,该漏洞的存在是因为程序编写者在free堆块部分没有将该堆块的fd指针改为0,进而导致该堆块可以被申请回来,3.内存块被free后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可能会出现奇怪的问题。2.堆块free后,对应指针没有被设置为NULL,即还可以调用会该堆块,当我们申请一个比该堆块小于等于的size时。
堆溢出----Use After Free
qq_42192672的博客
10-23 4887
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 不得不说有些被坑的感觉,Off-By-One也太难了,问了下大神,我觉得还是先把这个弄懂,那篇学习记录我就先咕咕咕了 以下截图来自CTFWIKI,感觉说的概念挺明确的 从这里我深刻体会到了栈和堆的不同,以及堆的困难,没有EIP给我直接...
double free/use after free/memory leak
qq_36281031的博客
12-06 1410
一、Double Free 双重释放,程序对同一个指针指向的内存重复释放free()了两次。 利用原理 Linux下堆分配器ptmalloc2主要由两个结构管理堆内存,一种是堆块头部形成的隐式链表(chunk结构内的隐式指向),另一种是管理空闲堆块的显式链表(Glibc中的bins数据结构)。 free函数在释放堆块时,会通过隐式链表判断相邻前、后堆块是否为空闲堆块;如果堆块为空闲就会进行合并,然后利用Unlink机制将该空闲堆块从Unsorted bin中取下。 unlink就是把一个双向链表中的空
堆利用 - Use After Free
yms0211的博客
03-22 1235
堆利用 - Use After Free 概述: Use after free ,直译过来就是在释放后再利用,那么是怎么在释放后再利用的呢? 其实这个释放后再利用主要是因为在程序中原本指向某些函数或堆块的指针在堆块被free或函数结束后指针本身确没有被置空,那么这个没有被置空的指针所在的堆块虽然被释放了,但是我们却还可以通过程序内对堆块内部的操作来执行这个指针指向的函数。 #以下的内容截取自CTF-wiki# 堆块被释放后一般有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后
pwn 之use_after_free
Maxmalloc的博客
12-08 598
题目链接 先贴出源代码 add_note notelist[i] = malloc(8u); ... *(_DWORD *)notelist[i] = print_note_content; printf(&amp;quot;Note size :&amp;quot;); read(0, &amp;amp;amp;buf, 8u); size = atoi(&amp;amp;am...
Use After Free Tutorial
sdulibh的专栏
08-09 3249
Halvar Flake 在”Third Generation Exploitation”中,按照攻击的难度把漏洞利用技术分为了3个层次: (1) 第一类是基础的栈溢出利用。攻击者可以利用返回地址等轻松劫持进程,植入shellcode,例如,对strcpy,strcat等函数进行攻击。 (2) 第二类是高级的栈溢出漏洞。这时,栈中有许多限制因素。 (3) 第三类攻击则是堆溢出利用及格式化串漏
use-after-free漏洞发现之旅use-after-free漏洞发现之旅
weixin_33851177的博客
03-20 741
2019独角兽企业重金招聘Python工程师标准>>> ...
use-after-free漏洞-hacknote
qq_43390703的博客
10-17 1381
hacknote 经典的use-after-free漏洞。 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存
Use-After-Free
weixin_30343157的博客
07-20 161
0x00 UAF利用原理 uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(这个指针可以称为恶性迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。 0x01UAF漏洞的利用步骤 (1)先精心构造一个迷途指针 (2)再精心构造数据填充被释放的内存区域 (3)再次使用该指针,改变程序流程 0x02 Pwnable.kr-...
Use After Free (hacknote为例)
fzucaicai的博客
03-30 333
gcc hacknote.c -no-pie -o hacknote (自己编译下,关掉pie会更好)这题的思路无非就是利用了free掉堆块后,对应指向该堆块的指针没有置空,仍然指向这一块内存,因此我们仍然可以使用这个指针去做某些事情,例如在这里的print_note函数,我们仍然可以利用未置空的指针去输出对应的内容,这也是一个造成内存泄露的点。在这里是存在一个后门函数的,就是magic函数,刚好就是system("cat falg"),这也非常明显了,我们就是要通过某种途径,让程序执行这个后门函数。
[pwn]堆:Use After Free
Breeze的博客
09-06 8691
Use After Free:time_formatter writeup UAF漏洞就是Use After Free,再释放后继续使用,Use After Free会引发各种奇怪的现象,根据场景的不同并没有一种统一的利用方式。下面看题目:time_formatter 日常惯例,先查看安全策略: 开启了canary、NX、ASLR,然后查看一下程序逻辑: 很常见的堆菜单,下面查看一下各种功能:...
好好说话之Use After Free
hollk’s blog
09-28 5478
到了Use After Free啦,总体来说这种手法并不复杂,特征也很明显,就是在静态分析阶段观察释放chunk之后指针是否置空。本以为参加hw会往后拖更,没想到这么快就写完了。如果前面一直跟着学的话这部分也应该难不到你,我会在接下来的Fastbin Attack等你,加油~
heap use after free
06-28
### 回答1: 堆使用后释放错误(heap use after free)是指在程序中使用了已经被释放的堆内存。这种错误通常会导致程序崩溃或者出现不可预测的行为。为了避免这种错误,程序员需要在使用完堆内存后及时释放它,并且在释放后不再使用该内存。 ### 回答2: heap use after free是一种常见的内存使用错误,它指的是在使用堆内存时,释放了某个内存块,但后续又继续使用了该内存块。这种错误可以导致程序崩溃、数据损坏,甚至是安全漏洞。 通常,堆内存的分配和释放是由程序员负责的。在程序中,当需要动态分配一块内存时,通常使用malloc()函数,在使用完该内存块之后,需要通过free()函数来释放该内存块。但是,如果程序员在释放内存块之后,依然在程序中继续使用该内存块,则会发生heap use after free错误。 具体来说,当程序释放内存块时,操作系统会将该内存块标记为可用的状态,但是并不会真正销毁该内存块,这意味着该内存块中原有的数据可能还存在,但已经不再属于该内存块。如果程序员在已经释放了内存块的情况下,继续使用该内存块,则可能会覆盖该内存块原有的数据,导致数据损坏。此外,由于已经释放的内存块可能会被操作系统重复利用,这也可能会导致堆内存中存在未预期的数据。 为了避免heap use after free错误,程序员可以采取一些措施。首先,应该在使用内存块之前检查该内存块是否已经被释放,以确保不会继续使用已经释放的内存块。其次,在释放内存块之后,可以将指向该内存块的指针设置为NULL,以避免意外地继续使用该内存块。此外,可以使用一些内存检测工具,如Valgrind等,来帮助检测和排除heap use after free错误。 ### 回答3: Heap use after free(堆溢出)是一种常见的内存管理错误,它会导致程序崩溃或者安全漏洞。 当程序中使用malloc()、realloc()、calloc()等动态分配内存的函数后,程序会在堆区域内分配内存,同时也会记录该块内存的大小和地址等信息。而当程序中释放该块内存时,通过free()函数将其返回给操作系统并将相关记录清空,但是在程序中,如果继续使用已经释放的内存,就会导致Heap use after free错误。 通常,程序员在使用free()函数释放内存后,应该将指向该内存的指针设置为NULL,以避免后续误用该指针。否则,指针会指向之前释放的内存地址,后续再次访问该指针就会导致程序崩溃或者执行错误的操作。 堆溢出还可能是一些恶意程序攻击的手段。攻击者在程序中制造类似的堆溢出漏洞,以便在运行时利用该漏洞来执行恶意代码。这种攻击被称为堆溢出攻击(Heap Overflow Attack)。 对于企业和个人开发者来说,避免Heap use after free错误可以通过以下几个方面来做到。 1. 了解内存分配释放的细节,在编写程序时注意不要出现内存泄露、重复释放等问题。 2. 使用内存分配和释放函数时,必须正确地管理内存指针,不要造成内存泄露或者重复释放的问题。 3. 使用编译器的内存检查工具进行内存检查,如Valgrind、Clang、GCC等。 4. 在编写程序时,可以使用一些内存管理工具和库,如Boost库、STL库等。这些工具和库可以帮助程序员进行内存管理和错误检测,减少代码错误的可能性。 总之,了解和避免Heap use after free错误是编写高质量、可靠和安全的程序的必要条件之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值