今年中旬,微软针对旗下ie浏览器中大量出现的uaf漏洞,对ie浏览器的安全机制进行了一个大幅度的升级,其中主要体现为隔离堆及延迟释放两个机制,顿时又将uaf漏洞的利用向上提升了一个大坎, 但是类似的对抗uaf的机制在firefox以及chrome中已有类似的实现,本文就各个浏览器的该机制做一个小总结. ieIsolated Heap(隔离堆)dom树对象以及supporting对象的对象空间在隔离的堆中被分配,该堆位于默认堆的低地址,该堆的句柄保存于一个全局变量中,对于该堆的内存分配涉及到两个函…

Use After Free UAF 就是 Use After Free的缩写,是一种比较常见的内存错误式利用.很多iOS的越狱都是利用的这种方法.在此简单的举个例子说明UAF出现的情况 代码说明一切 class Car { public: ; ; protected: int mValue; }; class Electric_car: public Car { public: void setValue(int value){ mValue = value; } int getValue()…

CVE-2010-0249 [CNNVD]Microsoft Internet Explorer非法事件操作内存破坏漏洞(CNNVD-201001-153) Microsoft Internet Explorer是微软Windows操作系统中默认捆绑的WEB浏览器. Microsoft Internet Explorer在处理非法的事件操作时存在内存破坏漏洞.由于在创建对象以后没有增加相应的访问记数,恶意的对象操作流程可能导致指针指向被释放后重使用的内存,远程攻击者可通过诱使用户访问恶意网页非法…

前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 这是最近爆出来的 exim 的一个 uaf 漏洞,可以进行远程代码执行.本文对该漏洞和作者给出的 poc 进行分析. 正文 环境搭建 # 从github上拉取源码 $ git clone https://github.com/Exim/exim.git # 在4e6ae62分支修补了UAF漏洞,所以把分支切换到之前的178ecb: $ git checkout e…

在网上关于ctf pwn的入门资料和writeup还是不少的,但是一些过渡的相关知识就比较少了,大部分赛棍都是在不断刷题中总结和进阶的.所以我觉得可以把学习过程中的遇到的一些问题和技巧总结成文,供大家参考和一起交流.当然,也不想搞那些烂大街的东西,所以,打算从一道道pwn题开始,见微知著,在题目中延伸. 一:工欲善其事必先利其器 ubuntu14.01 64位(该版本对pwntools的支持最好). pwntools:用于快速编写pwn的exp的python库,功能非常强大. IDA:二进制必备…

产生原因: UAF漏洞的成因是一块堆内存被释放了之后又被使用.又被使用指的是:指针存在(悬垂指针被引用).这个引用的结果是不可预测的,因为不知道会发生什么.由于大多数的堆内存其实都是C++对象,所以利用的核心思路就是分配堆去占坑,占的坑中有自己构造的虚表. 分析方式: 触发UAF漏洞需要一系列的操作,而不是像传统的溢出一个操作就会导致溢出.IE浏览器中的DOM标签由一个对象来表示,并且IE自带的类中存在了一些对象管理的方法.分析UAF漏洞的要点在于搞清楚对象是在哪里被分配的,哪里被释放的,哪里被…

转:https://www.zerodayinitiative.com/blog/2017/6/26/use-after-silence-exploiting-a-quietly-patched-uaf-in-vmware Springtime around the Zero Day Initiative (ZDI) means ramping up for the Pwn2Own (P2O) competition held each year at the CanSecWest confer…

学习了UAF,分析了几个漏洞,同时,也熟悉了windbg的用法,收获挺大. 基本的UAF分析流程如下: i:找有漏洞的函数 ii:找到被释放对象的类型,以及被释放对象在内存中的位置 iii:理解对象的释放方式 iv:重写被释放对象的地址空间 v:理解漏洞的根本成因 i:寻找有漏洞的函数 打开poc.pdf,出现了异常 (2f0.d64): Access violation - code c0000005 (first chance) First chance exceptions are rep…

几乎都想要放弃了,感觉学了好久还是什么都不会,这个题好像很难的样子,有很多知识点需要补充一下: 1.[UAF]分配的内存释放后,指针没有因为内存释放而变为NULL,而是继续指向已经释放的内存.攻击者可以利用这个指针对内存进行读写.2.[UAF利用] (1)先搞出来一个迷途指针 (2)精心构造数据填充被释放的内存区域 (3)再次使用该指针,让填充的数据使eip发生跳转. 3.[malloc] 大于512字节的请求,是纯粹的最佳分配,通常取决于FIFO,就是最近使用过的. 小于64字节的请求,这是一…

作者:huity出处:https://www.cnblogs.com/huity35/p/11240997.html版权:本文版权归作者所有.文章在博客园.个人博客同时发布.转载:欢迎转载,但未经作者同意,必须保留此段声明:必须在文章中给出原文连接:否则必究法律责任. 0x00 前言 上一节研究了内核栈溢出相关问题,事实上利用已经成功了, 但是源码在vs环境下编译的驱动文件和利用程序,在最后返回时的堆栈平衡出现了问题,由于时间有限,暂时搁置,后面有时间将继续研究. 这一节学习释放后引用漏洞,即U…

本文系pwn2web原创,转载请说明出处 UAF 漏洞,英文原名use after free,该漏洞简洁的可以概括为 分配一块内存 free该内存但不回收,构成悬垂指针 再次构造分配同样大小的内存,按照malloc分配原则将会是将第一次分配的内存给这块新的 对新的内存进行use 一    前言 首先我们以一道题来介绍一下UAF,这里选用hitcon training lab10 作为例子,源码太多,占篇幅,试题.源码详情请见的GitHubhttps://github.com/scwuaptx/H…

目测是比较接近pwnable的一道题.考察了uaf(use after free的内容),我觉得说白了就是指针没有初始化的问题. ssh uaf@pwnable.kr -p2222 (pw:guest) 先看一下代码 #include <fcntl.h> #include <iostream> #include <cstring> #include <cstdlib> #include <unistd.h> using namespace std…

0x01 "Epic Turla" 网络间谍行动 在 2014 年 8 月,被誉为 "世界十大最危险的网络攻击行动" 之一的 "Epic Turla",当时这起 APT 网络间谍行动影响的国家超过 45 个,且攻击目标为政府部门.大使馆.军事组织.研究.教育组织等.据可要靠消息这起攻击事件可能与俄罗斯政府有关 此次攻击在当时利用了两个 0day 漏洞,一个用于 Adobe Reader 沙箱提权,另一个是 CVE-2013-3346 UAF 漏洞…

CVE-2013-1347 漏洞是典型的 IE 浏览器 UAF 漏洞,所以其利用方法和一般的 IE 浏览器漏洞的利用方法非常相似,所以流程大体上可以分为这些步骤:(1) 对象被释放 (2) 精确覆盖被释放对象的内存空间,更改 EIP 寄存器从而控制程序的流程 (3) 触发漏洞实现重引用 以下就是利用此漏洞的样本 <!doctype html> <HTML XMLNS:t ="urn:schemas-microsoft-com:time"> <head>…

0x01 2013 年 "水坑" APT 攻击事件 在 2013 年 5 月,美国的劳工部网站被黑,利用的正是 CVE-2013-1347 这个漏洞,在当时导致大量使用 IE8 访问网站的用户受到攻击,微软也发布紧急公告.从水坑攻击的过程来看,入侵者先是攻克了这些网站的服务器,之后把能触发 CVE-2013-1347 漏洞的恶意脚本代码添加到网站加载页面,当受害者使用 IE8 浏览器访问美国劳工部网站时就会在本地加载 mshtml.dll 和 jscript.dll 两个动态链接库来解…

0x01 前言 释放重引用的英文名名称是 Use After Free,也就是著名的 UAF 漏洞的全称.从字面意思可以看出 After Free 就是释放后的内存空间,Use 就是使用的意思,使用释放后的内存空间.该漏洞的历史可以追溯到 2005 年,当时第一个 UAF 漏洞编号为 CVE-2005-4360,到 2008 年之后结合有关技术已经能稳定的利用了 鉴于 UAF 漏洞的特殊性(需要精确的控制堆内存空间的覆盖),所以该漏洞较为成功的利用多出现在浏览器中,因为浏览器可以运行 JavaS…

PWN--uaf漏洞 1.uaf漏洞原理 在C语言中,我们通过malloc族函数进行堆块的分配,用free()函数进行堆块的释放.在释放堆块的过程中,如果没有将释放的堆块置空,这时候,就有可能出现use after free的情况.这里我写了一个demo #include<stdio.h>#include<stdlib.h> typedef struct demo { char *s; void(*func)(char *); }DEMO; void eval(char comma…

在这道题目我花费了很长的时间去理解,因为绕进了死圈子 例行检查我就不放了 关键处在于选择5 使用了realloc,却没有让结构体指针node-> description正确指回去 (11条消息) 攻防世界PWN之Supermarket题解_seaaseesa的博客-CSDN博客 这位师傅博客上面有对realloc的具体解析 这道题的思路就是,我们申请一个0x80的堆,然后通过选择5的realloc申请一个0x90的堆 ,申请后0x80的堆会被free掉,然后在申请一个0x20大小的堆,这里就形成…

拿到题目先例行检查 然后进入主函数查看程序流程, 进入函数 这些字符串对我们选择1的输入进行了限制 在输入里面,可以看到strdup这个关键性的函数 调用了malloc这个函数 在选择四里面,可以看到system运行我们选择1输入的内容, 选择三的输入,则没有对我们输入的字符串进行限制 选择5可以看到程序先进行free的操作,然后才会询问,我们可以选择N不退出,且指针没有归零存在uaf漏洞 所以这道题的思路就是:在一输入字符串,选择5后不退出,进入三在相同空间大小下加入/bin/sh,从而让四运…

背景   CVE-2021-40449是一个存在于Win32k内核驱动中的UAF漏洞.该漏洞在2021年八月下旬九月上旬被Kaspersky发现用于野外攻击活动中.通过Hook win32k驱动执行NtGdiResetDC过程中发生的用户模式回调,完成对目标对象的释放和占用,最终实现指定内核函数的调用,以进行内核内存的读写操作,修改利用对象的Token权限,实现EOP. 分析   此次分析是在Windows 10 1809中进行.   首先在用户模式调用CreateDC时,会执行至win32k内…

kernel UAF && 劫持tty_struct ciscn2017_babydriver exp1 fork进程时会申请堆来存放cred.cred结构大小为0xA8.修改cred里的uid,gid为0,即可get root #include<stdio.h> #include<fcntl.h> #include <unistd.h> int main() { int fd1 = open("/dev/babydev", 2);…

Summary of Critical and Exploitable iOS Vulnerabilities in 2016 Author:Min (Spark) Zheng, Cererdlong, Eakerqiu @ Team OverSky 0x00 Introduction iOS security is far more fragile than you believe. And there are lots of critical and exploitable iOS vuln…

黑云压城城欲摧 - 2016年iOS公开可利用漏洞总结 作者:蒸米,耀刺,黑雪 @ Team OverSky 0x00 序 iOS的安全性远比大家的想象中脆弱,除了没有公开的漏洞以外,还有很多已经公开并且可被利用的漏洞,本报告总结了2016年比较严重的iOS漏洞(可用于远程代码执行或越狱),希望能够对大家移动安全方面的工作和研究带来一些帮助. 0x01 iOS 10.1.1 公开的可利用漏洞 1. mach_portal攻击链:该攻击链是由Google Project Zero的Ian Beer…

记得以前在drops写过一篇文章叫 linux常见漏洞利用技术实践 ,现在还可以找得到(https://woo.49.gs/static/drops/binary-6521.html), 不过当时开始学pwn不久,很多理解有偏差. 现在时间过去了一年多,还经常有朋友发私信问我其中的实例程序还在不在,很遗憾我自己也没有了哈:) 前不久要给别人做个这方面的培训,于是写了这个ppt,其中有我自己一些粗浅的理解,在此分享给大家, 在ppt中,基本每一种技术我都附了一个实例及对应的exp.都打包在一起了.…

最近公司没什么事情,我们老大让我看看es6,小颖就练习了下数组的各个方法,今天先给大家分享一部分.嘻嘻,希望对大家有所帮助. every方法: 概述:    every() 方法测试数组的所有元素是否都通过了指定函数的测试. 参数: callback:用来测试每个元素的函数;(注意:callback 只会被有值的索引调用,不会被那些被删除或从来未被赋值的索引调用) element:当前遍历到的元素. index:当前遍历到的索引. array:数组本身. thisArg:执行 callback…

iOS冰与火之歌(番外篇) 基于PEGASUS(Trident三叉戟)的OS X 10.11.6本地提权 蒸米@阿里移动安全 0x00 序 这段时间最火的漏洞当属阿联酋的人权活动人士被apt攻击所使用的iOS PEGASUS(又称Trident三叉戟)0day漏洞了.为了修复该漏洞,苹果专门发布了一个iOS 9.3.5版本.这个漏洞的厉害之处在于可以直接从沙盒内对内核进行攻击(无需沙盒逃逸),并且同时影响iOS(9.3.4)和OS X (10.11.6).因此,本篇文章将会从PEGASUS漏洞形…

使用sourcetree将本地项目提交到github里,目前来说还是很流行的,我也是听说好玩,所以来琢磨了一下,从环境搭建到配置好,差不多用了一下午加一晚上的时间,有点虐心,好吧,废话不多说,介绍一下安装的全流程:需要下载的资料都放在我的网盘里,自行下载就可. 1.安装一个FQ的软件.下载地址:http://pan.baidu.com/s/1ske0kLv 提取码:2kks     文件解压码:laod.cn 2.修改host文件.找到host文件,查看http://laod.cn/hosts/…

首先IntelliJ IDEA中搭建Maven项目(web):spring+SpringMVC+Lucene+IKAnalyzer spring+SpringMVC搭建项目可以参考我的博客 整合Lucene 4.9.0 pom.xml添加lucene依赖 properties标签添加<lucene.version>4.9.0</lucene.version> dependencies添加: <!-- lucene start --> <dependency>…

一.上传Tomcat服务器…

上一节中我们学习了selenium,用python来操作浏览器,在做网页自动化测试的时候最好不过了 .如果我们来做爬虫用一个带界面的浏览器似乎不太好吧,那可咋办呢?别着急,下来我们要介绍的就是一款不带界面的浏览器--PhantomJS.其是一个无界面的,可脚本编程的WebKit浏览器引擎,支持多种web 标准:DOM 操作,CSS选择器,JSON,Canvas 以及SVG. 这里可能会有人问:为什么要用浏览器来抓取页面数据,不用之前我们之前直接通过Urllib获取网页然后分析呢? 这是因为我们通…