堆溢出 对快表的调试

于 2020-09-19 12:06:25 发布
阅读量177 收藏
点赞数 2
文章标签: 堆栈 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/108675969
版权

代码

#include <stdio.h>
#include<windows.h>

void main()
{
	 HLOCAL h1,h2,h3,h4;
	 HANDLE hp;
	 hp = HeapCreate(0,0,0);
	 __asm int 3
	 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	 h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	 h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	 h4 = HeapAlloc(hp,HEAP_ZERO_MEMORY,24);
	 __asm int 3
	 HeapFree(hp,0,h1);
	 HeapFree(hp,0,h2);
	 HeapFree(hp,0,h3);
	 HeapFree(hp,0,h4);
	 __asm int 3
	 h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	 __asm int 3
	 HeapFree(hp,0,h2);
	 __asm int 3
	 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	 __asm int 3
}

PS:堆是可扩展的时候快表才会启用,要想启用快表我们在创建堆的时候就不能使用 HeapCreate(0,0x1000,0x10000)来创建堆了,而要使HeapCreate(0,0,0)创建一个可扩展的堆。

实验目的

简单理解快表

实验准备

环境:windows xp
编译器:vc++
调试器:OD

实验过程

1.打开程序崩溃后用OD调试,发现堆块还是建立在老地方0x003A0000
在这里插入图片描述
2.观察与之前的空表有什么不同。

在这里插入图片描述

首先发现尾块的位置更靠后了,之前只有空表的尾块是位于0x003a0688,而现在加了快表之后位置变成了0x003a1e90。而之前尾块的地方现在则就变成了快表。
在这里插入图片描述
快表与空表空的时候不一样,快变里面是空的,而空表里面装了自己的地址。

2.把int 3移到HeapAlloc后面。观察到了堆表已经建在0x3a1e88的位置了,和上一节基本一样。

在这里插入图片描述

3.再把int 3移到HeapFree的后面,观察前面的快表,发现快表1,2,3表头都填充进了地址.(快表未满时优先释放到快表中)

在这里插入图片描述
再观察指向的h1,h2,h3,h4,发现Lookaside[1]指向h2,而h2中的指针又指向h1,组成了一串单向链表,Lookaside[2]指向h3,Lookaside[3]指向h4。指向的地址都自动跳过了堆块头的8个字节。
8字节的都链入Lookaside[1],16字节的都链入Lookaside[2],依次类推。直到四个快表都被填充完。
同时还发现快表中的Flag位都为1,也就是都是占用态。而空表Free了就都是空闲态了。

在这里插入图片描述

4.再把int 3放在下一个地方,发现因为申请了16字节的空间,系统就把Lookaside[2]指向的h2分配给我们了,同时Lookaside[2]前面的地址就变为NULL。

在这里插入图片描述

5,把int 3再移到下一个位置,发现申请的话操作也基本相仿,就是Lookaside[2]前面的地址又分配进去了

在这里插入图片描述

6.又把int 3移到下一个位置。这里申请了8字节的内存,观察快表发现没有什么明显的变化。

在这里插入图片描述
再看看下面的堆块,发现之前h2指向h1的指针已经变为NULL了,证明h2现在已经被拆卸下来了。

在这里插入图片描述

0xwangliang
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
堆栈溢出调试-gdb-例子
03-26
通过列举linux平台下的例子,并结合gdb描述了堆栈溢的过程。
溢出问题快速调试
輚至消亡
02-19 371
首先来看下问题代码,这里最后的空字符发生了溢出。 来看一下出现的问题以及如何调试。 上面写明是链中第41个块且地址在0x00382a700出发生了错误。这种情况下别急着终止,点击重试就会断在出问题的位置。 点重试后断到了这里 往上拉一拉,寻找函数名,或者直接查看调用堆栈发现是断在_free_dbg函数中,这个函数是free()的底层,所以可以断定一定是释放的时候出了问题 直接在free()函数上下断点然后运行过去,发现第41块块的下溢标志受损了。就是strcpy导致的。
《0day安全》中的溢出利用调试
Lethe's Blog
06-26 854
0x01 的工作原理 实验环境: 推荐使用环境 备注 操作系统 Windows20000虚拟机 分配策略对操作系统非常敏感 编译器 Visual C++ 6.0 默认编译选项 编译选项 默认编译选项 VS2003/VS2005的GS选项将导致实验失败 build 版本 release VS2003/VS2005的GS选项将导致实验失败 调试器 Ollydbg 需要配置Make OllyDbg just-in-time debugger选项 调试代码如下: #inclu
溢出 对空表的调试
Misaka10046的博客
09-18 454
代码 #include <windows.h> int main() { HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000);//创建一个新的 _asm int 3//中断,进入OD调试 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,3); h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,5); h3 = HeapAlloc(hp,HEAP_Z
xp下调试溢出(上)--HeapAlloc分配
lixiangminghate的专栏
07-06 1735
题记:win10都开始推广了,我还在折腾xp,真low,不过总得有这个过程吧。     DWORD SHOOT的原理是利用Release版发布的程序在正常启动(非调试启动)情况下,使用Lookaside表(又称块表)管理程序中频繁的申请/释放操作。本文以溢出学习笔记和为基础,改进而来。     首先要明确Lookaside表是一个单链表
QNX嵌入式系统的内存错误分析.pdf
09-27
要解决内存错误带来的难题,开发人员可以利用工具进行内存分析和调试,并采用能够将内存错误对系统的影响降至最少的操作系统架构。 内存错误是嵌入式系统中最常见的错误之一,对系统的稳定性和可靠性产生了极大的...
【Spark调优篇04】Spark之JVM调优1
08-04
此时运行 Spark 作业会时不时地报错,例如 shuffle output file cannot find,executor lost,task lost,out of memory 等,这可能是 Executor 的外内存不太够用,导致 Executor 在运行的过程中内存溢出。...
精通WindowsAPI 函数 接口 编程实例
01-08
5.5.1 复制、填充、移动、清零内存块、防止缓冲区溢出 144 5.5.2 获得当前系统内存使用情况 146 5.5.3 判断内存指针的可用性 147 5.6 各种内存分配方式的关系与比较 148 5.6.1 标准C内存管理函数与Windows...
Advanced Windows Debugging 英文原版
03-04
3.1.1.操作系统对用户态调试器的支持78 3.1.2.调试事件的顺序 83 3.1.3.控制来自调试器的异常和事件 84 3.1.4.内核态调试器中的调试事件处理105 3.2.控制调试目标 106 3.2.1.断点的工作原理 107 3.2.2.内存访问断点...
精通Windows.API-函数、接口、编程实例.pdf
01-27
5.5.1 复制、填充、移动、清零内存块、防止缓冲区溢出 144 5.5.2 获得当前系统内存使用情况 146 5.5.3 判断内存指针的可用性 147 5.6 各种内存分配方式的关系与比较 148 5.6.1 标准C内存管理函数与Windows...
堆栈溢出调试方法合集
07-19
溢出获取shell 用gdb调试缓冲区溢出 初尝Linux栈溢出 用gdb调试缓冲区溢出 栈的观察
溢出(三)快表DWORD SHOOT
Reshahar 的博客
03-20 1334
Windows 溢之快表DWORD SHOOT By Rweb@Reshahar 0x000 环境 1. 虚拟机 VirtualBox 5.0.20 2. 系统 windows 2000 Kali linux 3. 工具 VC++6.0 OllyDbg 1.10 汉化版 AsmToE v5.20 0x001溢出
软件调试笔记44 - 检查 : 缓冲区溢出
imJaron的博客
12-06 431
调用时验证: 尾检查:
《0day安全溢出利用基础学习
weixin_50287973的博客
09-01 404
调试方法 用于调试的代码如下。 #include <windows.h> int main() { HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); __asm int 3 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,3); h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,5); h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,6
第5章 溢出利用_快表结构分析
yellow的博客
05-12 509
块表结构分析
0day 安全 之 windows 2000的块学习之 块表
qq_41071646的博客
08-15 194
其实 对比一下 块表 挺像 linux里面的fastbin 然后 空表就像 unsortbin 这两者有一些相识之处 然后 这里学习块表 还是根据0day 安全 一书所看 实验环境 就是 windows2000 sp4 VC6.0 OD 然后下面是代码 /**********************************************************...
《0day安全操作
sunr_的博客
08-25 246
《0day2》操作 调试 #include "stdafx.h" #include <windows.h> int main() { HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); __asm int 3 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,3); h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,5); h3 = Heap
——继续分析
萍水间人的小天地
06-05 118
Windows下的机制 参考0day安全那本书 0x01 块分配 块分配可以分成三类,块表分配,普通空表分配,和零号空表分配 从快表中分配 寻找到大小匹配的空闲块,将其状态修改为占用态,把它从表中卸下,最后返回一个指向块块身的指针给程序用 普通空表分配 首先寻找到最优的空闲块分配,若失败,则寻找次优的空闲块分配,即最小能满足的空闲快 零号空表分配 零号空表按照升序大小链...
的工作原理
小强的博客
10-11 2063
的数据结构:一般包括块和表两部分   块:由块首和块身组成 块首:块头部的几个字节,用来标识该块的信息,如块的大小,状态为空闲还是占用等。 块身:紧跟在块首后面的部分,这部分将最终分配给用户。   表:一般位于区起始位置,用于索引区中所有块的重要信息,如块的位置、大小、状态。   在windows中,占用态的块被使用它的程序索
堆栈溢出是指溢出还是栈溢出
最新发布
06-02
堆栈溢出是指溢出和栈溢出两种情况的综合。和栈都是程序运行时使用的内存区域,堆栈溢出指的是这两种内存区域都发生了溢出的情况。 溢出是指程序在申请空间时,超出了系统可用的内存大小,导致内存分配失败...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值