HeapSpray原理演示

最新推荐文章于 2023-07-28 17:12:42 发布
最新推荐文章于 2023-07-28 17:12:42 发布
阅读量1.8k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andy7002/article/details/72834644
版权

0x00 前言

Heap Spray是一种通过比较巧妙的方式控制堆上数据,继而把程序控制流导向ShellCode的古老艺术。

在shellcode的前面加上大量的slidecode(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他的漏洞攻击技术控制程序流,使得程序执行到堆上,最终将导致shellcode的执行。

传统slide code(滑板指令)一般是NOP指令,但是随着一些新的攻击技术的出现,逐渐开始使用更多的类NOP指令,譬如0x0C(0x0C0C代表的x86指令是OR AL 0x0C),0x0D等等,不管是NOP还是0C,他们的共同特点就是不会影响shellcode的执行。

Heap Spray只是一种辅助技术,需要结合其他的栈溢出或堆溢出等等各种溢出技术才能发挥作用。

这里以溢出局部变量覆盖对象指针的方式来演示其原理。


0x01 准备

a. 关闭vs2015的优化和securitycheck


 

0x02  运行

a. 代码

#include"stdafx.h"

#include<windows.h> 

#include<stdio.h> 

 

#defineMAGICCODE"000000000000\x0c\x0c\x0c\x0c"

 

classfactory

{

    char m_buf[8];

public:

 

    virtual int factoryCreate1()

    {

        printf("%s\n", "factoryInit1");

        return0;

    }

    virtual int factoryCreate2()

    {

        printf("%s\n", "factoryInit2");

        return0;

    }

};

 

/*

*   溢出局部变量,并利用HeapSpray执行自定义的shellcode

*/

void spray1()

{

    unsignedint bufLen = 0xffffffff;

   

    factory*factoryObj =newfactory;

 

    memcpy(&bufLen, MAGICCODE,sizeof(MAGICCODE)-1);

    factoryObj->factoryCreate1();

 

    return;

}

 

/*

*   申请200M堆空间

*/

void spray0()

{

    unsigned int bufLen = 200 * 1024 * 1024;

    DWORD dwOld = 0;

 

    char*spray = new char[bufLen];


    memset(spray, 0x0c, sizeof(char)*bufLen);

    memset(spray + bufLen - 0x10, 0xcc,0x10);           //写入自定义的shellcode,即0xcc

 

    VirtualProtect(spray, bufLen, PAGE_EXECUTE, &dwOld); // 设置堆内存可执行代码

 

    return;

}

 

int main()

{

    spray0();

    spray1();

    return0;

}

b.运行代码

执行spray0(),地址0x0c0c0c0c内容被成功修改


断点下在溢出前


根据ida识别的局部变量,在bufLen后第3个DWORD为factoryObj,中间2个DWORD为垃圾数据,可以覆盖。

验证一下找的factoryObj正确与否,windbg自动识别出了factoryCreate1源码,说明factoryObj是正确的。


F10单步步过执行溢出代码


在执行factoryObj->factoryCreate1()这句时,会解析0x0c0c0c0c0c指向对象的虚表,并尝试执行虚表里第一个虚函数。


第一个虚函数的地址为0x0c0c0c0c, 所以eip会指向0x0c0c0c0c, 开始执行代码,前面slidecode都为or al,0cH(0c0c), 该指令不会影响shellcode,所以代码会一直执行到我们自定义的shellcode,至此目标完成。

 

0x03 小结

     为了绕过操作系统的一些安全保护,使用较多的攻击技术是覆盖虚函数指针(这是一个多级指针),这种情况下,slidecode选取就比较讲究了,如果你依然使用0x90来做slidecode,而用0x0C0C0C0C去覆盖虚函数指针,那么现在的虚表(假虚表)里面全是0x90909090,程序跑到0x90909090(内核空间)去执行,直接就crash了。

结合虚函数,0x0C0C0C0C即作为地址,也作为opcode,体现了漏洞利用的艺术性。

 

0x04 参考文献

Heap Spray原理浅析 http://blog.csdn.net/magictong/article/details/7391397

 

演示Heap Spray(堆喷射)的原理 http://blog.csdn.net/lixiangminghate/article/details/53413863

andy7002
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux_Android_内核_Heap_Spray_的几种姿势.pdf
08-08
内容概要 For newbies 基础简介,环境搭建 SLUB 细节和特性 讨论内核 Heap Spray 两个实例 几种 spray 的实际应用
Heap Spray原理
m0_46161993的博客
03-13 1905
什么是Heap Spray?   堆喷射是在 shellcode 的前面加上大量的slide code(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得内存被大量的注入代码占据。然后通过结合其他漏洞控制程序流,使得程序执行到堆上,最终将导致shellcode的执行。   常见的slide code有NOP指令,还有一些类NOP指令,比如0x0c,0x0...
Heap Spray
guilanl的专栏
04-17 1037
Heap Spray 定义基本描述 Heap Spray 并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。 Heap Spray 是在 shellcode 的前面加上大量的 slide code (滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他
演示Heap Spray(堆喷射)的原理
lixiangminghate的专栏
12-01 1万+
Heap Spray原理浅析 这篇文章应该是网上阐释堆喷原理最为详尽和易懂的一篇。唯一让我感到遗憾的是:文章结尾处给出的例子是基于javascript的,这对于我这种门外汉来说并不是一个很好的练功房。结合自己对文章的理解,在这给出c++版本的堆喷射演示代码。 #include #include class base { char m_buf[8]; public: int setBuf
堆喷射例子
最新发布
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
07-28 308
【代码】堆喷射的小例子。
HeapAnalyzer
03-05
本文将详细介绍HeapAnalyzer的用途、工作原理以及如何使用。 1. **HeapAnalyzer简介** HeapAnalyzer是由IBM开发的一款强大的内存分析工具,主要针对Java应用的堆内存进行深度分析。通过对JVM的dump文件进行解析,...
JVM GC原理, heapsize调优
10-19
详细介绍JVM gc原理heapsize调优方法。 本文虽以IBM jdk为例讲解,但实际不仅限于于IBM jdk,其原理和方法同样适用于oracle jdk
unityheapprofiler_heap_unity_
09-29
理解堆内存的工作原理和如何监控堆内存状态是提升游戏性能的关键步骤。 Unity Heap Profiler通过收集内存快照来分析堆的状态,这些快照包含了程序运行时内存分配的所有信息。开发者可以比较不同时间点的快照,找出...
heap exploit.pdf
08-06
关于堆溢出的利用,深入浅出的介绍,从原理到利用,入门必看
Heap Snapshot工具
03-09
Heap Snapshot工具 获取Java堆内存详细信息,可以分析出内存泄漏的问题
IBM HeapAnalyzer.docx
12-24
"IBM HeapAnalyzer" IBM HeapAnalyzer 是一个功能强大且实用的工具,旨在帮助开发者和测试人员快速检测和解决 Java 堆溢出和内存泄露问题。通过使用 IBM HeapAnalyzer,开发者可以快速地分析 Java 堆转储,检测可能...
IBM HeapAnalyzer
05-02
下面我们将详细探讨IBM HeapAnalyzer的工作原理、使用方法以及如何分析OOM问题。 1. **IBM HeapAnalyzer的工作原理** IBM HeapAnalyzer通过解析由`jmap`命令生成的堆转储文件(heap dump)来分析内存状态。`jmap`...
heap_java_heap_
10-01
理解Java堆内存的工作原理对于优化程序性能、防止内存泄漏以及解决内存溢出问题至关重要。 Java堆内存可以分为新生代(Young Generation)、老年代(Tenured Generation或Old Generation)和持久代(Permanent ...
JAVA虚拟机原理
01-27
JAVA虚拟机原理是Java开发中的核心概念,它包括多个组件,如程序计数器、虚拟机栈、本地方法栈、堆区以及方法区。这些组件共同构成了Java运行时环境的基础,其中最重要的是垃圾收集(Garbage Collection, GC)机制。...
探究堆喷射(heap spray
weixin_30706507的博客
10-10 504
  博客园的自动保存系统真心不咋地,写的差不多的文章蓝屏之后就没有了,醉了!   浏览器是互联网世界最主要的软件之一,从IE6到IE11安全攻防在不断升级,防御措施的实施促使堆喷射技巧不断变化。写这篇博文想好好整理并实践一下这些年的堆喷射技巧。   文章主要参考《灰帽黑客》,近几年的安全大会的一些演说,一些安全团队的blog,当然由于水平有限,如有错误,欢迎指教。   1.Windows X...
堆喷射(Heap Spray
LYSM
03-01 1039
简而言之: 1.用途 一般用在浏览器,因为 Javascript 可以直接在堆上分配字符串。 2.如何堆喷射 js中大量分段申请0c0c0c0c内存,每段后面跟shellcode 0到0c0c0c0c总共不到200m 碰运气覆盖一个函数指针 这个函数被调用的时候就会跳到0c0c0c0c处执行 0c对应汇编指令or al,0c 然后一直往下执行 到达shellcode… 原理参考: https://blog.csdn.net/lixiangminghate/article/details/53413863
Heap Spray原理浅析
热门推荐
magictong的专栏
03-24 3万+
Heap Spray原理浅析 Magictong 2012/03   摘要:本文主要介绍Heap Spray的基本原理和特点、以及防范技术。 关键词:Heap Spray、溢出攻击、漏洞利用、堆溢出   Heap Spray定义基本描述 Heap Spray并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。Heap Spray是在sh
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值