UAF_Patch

UAF patch

测试用例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
#include<stdlib.h>
#include<stdio.h>

int main()
{
	int *ptr[10],idx;
	puts("Index:");
	scanf("%1d",&idx);
	printf("idx is %d\n",idx);
	ptr[idx] = malloc(0x80);
	printf("ptr[%d] is %p\n",idx,ptr[idx]);
	puts("Now free");
	free(ptr[idx]);
	printf("ptr[%d] is %p\n",idx,ptr[idx]);
	if(ptr[idx] != 0x0)
	{	
		puts("uaf exist!");
		return 0;	
	}
	puts("uaf fixed!");
	return 0;
}

//gcc uaf.c  -o uaf

patch

找到free的地方

1
2
3
4
5
.text:0000000000400762                 mov     eax, [rbp+var_74]
.text:0000000000400765                 cdqe
.text:0000000000400767                 mov     rax, [rbp+rax*8+ptr]
.text:000000000040076C                 mov     rdi, rax        ; ptr
.text:000000000040076F                 call    _free

可以看到free的参数是[rbp+rax*8+ptr]

ptr在main函数开头可以看见

1
2
3
.text:00000000004006D6 var_74          = dword ptr -74h
.text:00000000004006D6 ptr             = qword ptr -70h
.text:00000000004006D6 var_18          = qword ptr -18h

在eh_frame段找一个地方写上我们的汇编代码,我这里找的是0x400900

1
2
3
4
5
6
7
8
call 0x400560;这里的地址是_free的地址,这里有大坑
mov eax,[rbp-0x74];[rbp-0x74]对应[rbp+var_74]
cdqe;
lea rdx,ds:0[rax*8];
lea rax,[rbp-0x70];[rbp-0x70]对应rbp
mov r8,0;
mov [rbp+rax],r8;
jmp 0x00400774;跳转回去

然后把原函数cal _free的地方改成jmp 0x400900即可

大坑

IDA告诉你它patch完了,但是它其实patch歪了

比如这里,call 0x400560的机器码是E8 5B FC FF FF

但是它给你patch成了 E8 5B FC BF 8C

所以你得用010 editor手动改一下机器码

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

江南大学通信工程在读本科生;江南大学信息安全俱乐部19级成员、现任俱乐部负责人;SU现役成员