狠狠撸

狠狠撸Share a Scribd company logo

Use After Free 脆弱性攻撃を試す

M
monochrojazz

Use After Free 脆弱性攻撃をコピペで試す セキュリティ初心者の備忘録ノート

Technology
1 of 16
Downloaded 19 times
1
2
3
4
5
6
7
8
9
10
11
12
Most read
13
Most read
14
15
Most read
16
Use After Free脆弱性攻撃を試す 東海道らぐ@豊橋 2016-04-23 @monochrojazz
自己紹介のようなもの ● @monochrojazz(27) ● セキュリティに興味 が、初心者 ● 致命的な音ゲーマー 音ゲーコントローラを 自作 アプリも自作(Android)
前回
BOF攻撃でroot奪取 BOF実験で攻撃の考え方を習得 (した気でいた)
しかし
BOF UseAfterFree 脆弱性攻撃タイプの変遷 2006 2013 BOF 5%以下 http://www.atmarkit.co.jp/ait/articles/1409/22/news010.html
(; ^ω^)
BOF UseAfterFree 脆弱性攻撃タイプの変遷 2006 2013 代わりにUseAfterFree 50% http://www.atmarkit.co.jp/ait/articles/1409/22/news010.html
Use After Freeって? ??? ??? 0x084b018 ??? ??? 1 ヒープに領域確保 ポインタ型保存 2 ??? ??? 0x084b018 ??? ??? 領域解放 3 ??? ??? 0x084b018 ??? ??? 新たに領域確保 4 ??? ??? 0x41414141 ??? ??? 領域に任意アドレス の書込 char *a 5 ??? ??? 0x41414141 ??? ??? ポインタ型を呼出 任意アドレスへ read/write char *a 新規領域位置は 一意 strcpy(a, argv[1])があれば 任意アドレス書込など
Q.そんな都合のいい脆弱性ある? A. ブラウザなど Javascript 攻撃コードサンプル Javascriptは領域確保解放が ユーザ側で自由に可能 ブラウザ脆弱性を利用し 悪性コードを動かせば 制御を奪える もちろんブラウザ側もsandboxなどで いろいろ対策を講じています
今回の目的 UseAfterFreeで任意アドレス書込 printfをsystemに書き換え シェル起動 参考ていうかコピペ: use-after-freeによるGOT overwriteをやってみる http://inaz2.hatenablog.com/entry/2014/06/18/215452
今回のプログラム 領域確保 領域解放 新規領域確保 新規領域書込 UseAfterFree 書き換えターゲット argv[2] 領域位置調整用 argv[3] 書きこみたいアドレス argv[4] 書き込む内容 DEP,SSP有効でコンパイル(デフォルト) ASLR無効環境で実行
まずぶっ壊す 新規領域書込 UseAfterFree 解放済のポインタを呼出 0x42424242(=”BBBB”)アドレスに”EEEE”を書込 BBBBとEEEEを変えれば任意アドレスへの任意入力可能 注)新規領域サイズ次第で      解放済領域の上書きは不可に BBBBより後
GOT Overwrite printf → systemに書き換え GOT Overwriteの利用 printfのGOT領域 このアドレスの先(printfの実体)の書き換え printf 実行時に書き換えたアドレスに飛ぶ = systemのアドレスに飛ばせる systemのアドレスはgdb-pedaや nm -D /lib/i386-linux-gnu/libc.so.6 | grep " system" などで調査
シェル起動 printfのGOT領域 system関数アドレス argv[3] 書きこみたいアドレス = printf GOT領域 argv[4] 書き込む内容 = systemアドレス シェル起動成功
制御奪えてないけど? UseAfterFreeは任意アドレス読み書きの手段 制御奪取は追加でStack Pivot 任意アドレスが読めればASLR回避も可能 (アドレスリーク) スタックポインタを ヒープ領域(任意入力可)へ →何でもできる ランダムなlibcベースアドレスを読取 その値から計算したアドレスに飛ばす

More Related Content

What's hot (20)

PDF
イエラエセキュリティMeet up 20210820
GMOサイバーセキュリティ byイエラエ株式会社
?
PDF
とある诊断员と础奥厂
zaki4649
?
PDF
ARM CPUにおけるSIMDを用いた高速計算入門
Fixstars Corporation
?
PDF
贰补蝉测产耻驳驳测(バグ)の召し上がり方
広平 田村
?
PDF
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
Takuto Wada
?
PPTX
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
?
PDF
ソーシャルゲームのためのデータベース设计
Yoshinori Matsunobu
?
PDF
とある诊断员と厂蚕尝インジェクション
zaki4649
?
PDF
新入社員のための大規模ゲーム開発入門 サーバサイド編
infinite_loop
?
PDF
WebSocket / WebRTCの技術紹介
Yasuhiro Mawarimichi
?
PDF
贵谤颈诲补による础苍诲谤辞颈诲アプリの动的解析とフッキングの基础
ken_kitahara
?
PDF
闯补惫补はどのように动くのか~スライドでわかる闯痴惭の仕组み
Chihiro Ito
?
PDF
低レイヤー入门
demuyan
?
PPTX
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
CODE BLUE
?
PPTX
Elasticsearch as a Distributed System
Satoyuki Tsukano
?
PDF
こんなに使える!今どきの础笔滨ドキュメンテーションツール
dcubeio
?
PDF
CTF for ビギナーズ バイナリ講習資料
SECCON Beginners
?
PDF
Active Directory 侵害と推奨対策
Yurika Kakiuchi
?
PDF
セキュリティを楽しむ(颁罢贵と产耻驳产辞耻苍迟测の始め方)
kazkiti
?
PDF
HTTP/2 入門
驰补丑辞辞!デベロッパーネットワーク
?
イエラエセキュリティMeet up 20210820
GMOサイバーセキュリティ byイエラエ株式会社
?
とある诊断员と础奥厂
zaki4649
?
ARM CPUにおけるSIMDを用いた高速計算入門
Fixstars Corporation
?
贰补蝉测产耻驳驳测(バグ)の召し上がり方
広平 田村
?
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
Takuto Wada
?
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
?
ソーシャルゲームのためのデータベース设计
Yoshinori Matsunobu
?
とある诊断员と厂蚕尝インジェクション
zaki4649
?
新入社員のための大規模ゲーム開発入門 サーバサイド編
infinite_loop
?
WebSocket / WebRTCの技術紹介
Yasuhiro Mawarimichi
?
贵谤颈诲补による础苍诲谤辞颈诲アプリの动的解析とフッキングの基础
ken_kitahara
?
闯补惫补はどのように动くのか~スライドでわかる闯痴惭の仕组み
Chihiro Ito
?
低レイヤー入门
demuyan
?
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
CODE BLUE
?
Elasticsearch as a Distributed System
Satoyuki Tsukano
?
こんなに使える!今どきの础笔滨ドキュメンテーションツール
dcubeio
?
CTF for ビギナーズ バイナリ講習資料
SECCON Beginners
?
Active Directory 侵害と推奨対策
Yurika Kakiuchi
?
セキュリティを楽しむ(颁罢贵と产耻驳产辞耻苍迟测の始め方)
kazkiti
?
HTTP/2 入門
驰补丑辞辞!デベロッパーネットワーク
?

Similar to Use After Free 脆弱性攻撃を試す (6)

PDF
Di shen pacsec_jp-final
PacSecJP
?
PPTX
Statically detecting vulnerability under memory pressure using exhaustive search
Ruo Ando
?
PDF
Squarantine ?Kuroboxを使ったUSBメモリセキュリティソリューション?
Yoshimasa Kawano
?
KEY
础苍诲谤辞颈诲における强制アクセス制御
Hiromu Yakura
?
PDF
さらば、Stagefright 脆弱性
Tsukasa Oi
?
PDF
Summary of "Hacking", 0x351-0x354
Taku Miyakawa
?
Di shen pacsec_jp-final
PacSecJP
?
Statically detecting vulnerability under memory pressure using exhaustive search
Ruo Ando
?
Squarantine ?Kuroboxを使ったUSBメモリセキュリティソリューション?
Yoshimasa Kawano
?
础苍诲谤辞颈诲における强制アクセス制御
Hiromu Yakura
?
さらば、Stagefright 脆弱性
Tsukasa Oi
?
Summary of "Hacking", 0x351-0x354
Taku Miyakawa
?
Ad

More from monochrojazz (13)

PDF
gcoreでプロセスメモリダンプ -mysqlプロセスメモリを見てみる-
monochrojazz
?
PDF
尘辞苍辞で奥颈苍诲辞飞蝉アプリを动かす
monochrojazz
?
PDF
たのしいPowershell Empire
monochrojazz
?
PDF
尘辫濒诲3で滨苍迟别谤补肠迟颈惫别データ可视化
monochrojazz
?
PDF
齿搁顿笔で怠惰な日々を送る
monochrojazz
?
PDF
尝别补辫惭辞迟颈辞苍と辫测迟丑辞苍で游ぶ
monochrojazz
?
PDF
Kali LinuxとMetasploitable2で遊ぼう
monochrojazz
?
PDF
音ゲーコントローラとLinux Input Subsystem
monochrojazz
?
PDF
色々なコントローラで搁补蝉辫产别谤谤测笔颈を动かそう
monochrojazz
?
PDF
笔测迟丑辞苍颈蝉迟补で音ゲーを作る
monochrojazz
?
PDF
谤别迟2濒颈产肠と辫辞辫谤别迟で初等的叠翱贵攻撃
monochrojazz
?
PDF
辫测迟丑辞苍-辫迟谤补肠别でプロセスメモリエディタっぽいことをしよう
monochrojazz
?
PPTX
音ゲーマーの忧鬱
monochrojazz
?
gcoreでプロセスメモリダンプ -mysqlプロセスメモリを見てみる-
monochrojazz
?
尘辞苍辞で奥颈苍诲辞飞蝉アプリを动かす
monochrojazz
?
たのしいPowershell Empire
monochrojazz
?
尘辫濒诲3で滨苍迟别谤补肠迟颈惫别データ可视化
monochrojazz
?
齿搁顿笔で怠惰な日々を送る
monochrojazz
?
尝别补辫惭辞迟颈辞苍と辫测迟丑辞苍で游ぶ
monochrojazz
?
Kali LinuxとMetasploitable2で遊ぼう
monochrojazz
?
音ゲーコントローラとLinux Input Subsystem
monochrojazz
?
色々なコントローラで搁补蝉辫产别谤谤测笔颈を动かそう
monochrojazz
?
笔测迟丑辞苍颈蝉迟补で音ゲーを作る
monochrojazz
?
谤别迟2濒颈产肠と辫辞辫谤别迟で初等的叠翱贵攻撃
monochrojazz
?
辫测迟丑辞苍-辫迟谤补肠别でプロセスメモリエディタっぽいことをしよう
monochrojazz
?
音ゲーマーの忧鬱
monochrojazz
?
Ad

Recently uploaded (9)

PDF
安尾 萌, 松下 光範. 環境馴致を計量可能にするための試み,人工知能学会第4回仕掛学研究会, 2018.
Matsushita Laboratory
?
PDF
安尾 萌, 藤代 裕之, 松下 光範. 協調的情報トリアージにおけるコミュニケーションの影響についての検討, 第11回データ工学と情報マネジメントに関する...
Matsushita Laboratory
?
PPTX
色について.pptx .
iPride Co., Ltd.
?
PPTX
Vibe Codingを始めよう ?Cursorを例に、ノーコードでのプログラミング体験?
iPride Co., Ltd.
?
PDF
論文紹介:AutoPrompt: Eliciting Knowledge from Language Models with Automatically ...
Toru Tamaki
?
PDF
Forguncy 10 製品概要資料 - ノーコードWebアプリ開発プラットフォーム
フォーガンシー
?
PDF
安尾 萌, 北村 茂生, 松下 光範. 災害発生時における被害状況把握を目的とした情報共有システムの基礎検討, 電子情報通信学会HCGシンポジウム2018...
Matsushita Laboratory
?
PDF
論文紹介:Unbiasing through Textual Descriptions: Mitigating Representation Bias i...
Toru Tamaki
?
PPTX
勉強会_ターミナルコマント?入力迅速化_20250620. pptx. .
iPride Co., Ltd.
?
安尾 萌, 松下 光範. 環境馴致を計量可能にするための試み,人工知能学会第4回仕掛学研究会, 2018.
Matsushita Laboratory
?
安尾 萌, 藤代 裕之, 松下 光範. 協調的情報トリアージにおけるコミュニケーションの影響についての検討, 第11回データ工学と情報マネジメントに関する...
Matsushita Laboratory
?
色について.pptx .
iPride Co., Ltd.
?
Vibe Codingを始めよう ?Cursorを例に、ノーコードでのプログラミング体験?
iPride Co., Ltd.
?
論文紹介:AutoPrompt: Eliciting Knowledge from Language Models with Automatically ...
Toru Tamaki
?
Forguncy 10 製品概要資料 - ノーコードWebアプリ開発プラットフォーム
フォーガンシー
?
安尾 萌, 北村 茂生, 松下 光範. 災害発生時における被害状況把握を目的とした情報共有システムの基礎検討, 電子情報通信学会HCGシンポジウム2018...
Matsushita Laboratory
?
論文紹介:Unbiasing through Textual Descriptions: Mitigating Representation Bias i...
Toru Tamaki
?
勉強会_ターミナルコマント?入力迅速化_20250620. pptx. .
iPride Co., Ltd.
?

Use After Free 脆弱性攻撃を試す

About
? 2025 狠狠撸