演示Heap Spray(堆喷射)的原理

最新推荐文章于 2022-10-10 16:02:44 发布
最新推荐文章于 2022-10-10 16:02:44 发布
阅读量1.5w 收藏 15
点赞数 5
分类专栏: Exploit 溢出 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/53413863
版权

   Heap Spray原理浅析 这篇文章应该是网上阐释堆喷原理最为详尽和易懂的一篇。唯一让我感到遗憾的是:文章结尾处给出的例子是基于javascript的,这对于我这种门外汉来说并不是一个很好的练功房。结合自己对文章的理解,在这给出c++版本的堆喷射演示代码。

#include <windows.h>
#include <stdio.h>

class base
{
	char m_buf[8];
public:

	virtual int baseInit1()
	{
		printf("%s\n","baseInit1");
		return 0;
	}
	virtual int baseInit2()
	{
		printf("%s\n","baseInit2");
		return 0;
	}
};


int main()
{
	unsigned int bufLen = 200*1024*1024;
	base* baseObj = new base;
	char buff[8] = {0};
	char* spray = new char[bufLen];

	memset(spray,0x0c,sizeof(char)*bufLen);
	memset(spray+bufLen-0x10,0xcc,0x10);

	strcpy(buff,"12345678\x0c\x0c\x0c\x0c");
	baseObj->baseInit1();

	return 0;
}

    演示用的代码就长这样,堆喷射的过程容我缓缓道来。

初始时baseObj分配得到的对象地址为:

0:000> dd baseObj L1
0012ff6c  004300A0



12ff6c是指针变量baseObj在栈上的地址,其值指向0x4300A0----这是分配在堆上的base对象。从这开始的4B是base对象的虚函数表指针,其值:



0:000> dd 4300a0 L1
004300A0 0042202c
虚函数表指针当然就指向虚函数表,表中每项都是函数指针,当程序调用虚函数时就会依次通过检索虚函数表指针->虚函数表->虚函数来定位要执行的代码




    基于上面这种程序定位虚函数的方法,要利用虚函数的核心就变成伪造虚函数表。常见方法有:溢出栈变量,因为baseObj指针保存在栈上,溢出后baseObj指向的不再是堆上的base对象,而是指向某个被伪造的数值。这样,baseObj就认为这个伪造的数值就是从new base;返回的对象。接着只要在这个伪造的数值上继续构造虚函数表以及虚函数指针,就能达到利用的目的。






    当程序调用new分配大约200M的虚拟空间后,应该会把分配得到的空间存放到crt堆的VirtualAllocdBlocks队列中:




0:000> dt _PEB 7ffdf000 ;查看进程堆分布
ntdll!_PEB
+0x088 NumberOfHeaps    : 4
+0x090 ProcessHeaps     : 0x773a8500  -> 0x001c0000 Void
;进程有4个堆 堆句柄记录在0x773a8500开始的数组中

0:000> dd 0x773a8500   L8
773a8500  001c0000 00010000 00020000 003c0000

;crt堆一般是程序堆数组元素中最后一个 所以调用new char[bufLen];后挂入从0x3c0000开始处的堆虚拟分配的HEAP!VirtualAllocdBlocks队列
0:000> dt _HEAP 003c0000
ntdll!_HEAP
+0x0a0 VirtualAllocdBlocks : _LIST_ENTRY [ 0x630000 - 0x630000 ] 

0:000> dd 0x530000 
00630000  003c00a0 003c00a0 ;<----00630000处的8B是_LIST_ENTRY结构,指向HEAP!VirtualAllocdBlocks队列头
00630030  0c800000 ;<----00530030处的16进制0c800000正好是请求分配的内存
00630040  cdcdcdcd cdcdcdcd cdcdcdcd cdcdcdcd ;



从上面的结果来看,刚才调用new申请了从0x630000开始的大约200MB的内存,spray分配到的起始地址是0x630040,从此处开始到0x0CE30040结束,覆盖了共200MB的0x0C---所谓的slidecode,这当然包含了Heap Spray的目标地址0x0c0c0c0c:




0:000> dd 0x0c0c0c0c
0c0c0c0c  0c0c0c0c 0c0c0c0c 0c0c0c0c 0c0c0c0c
0c0c0c1c  0c0c0c0c 0c0c0c0c 0c0c0c0c 0c0c0c0c

之后通过语句:





strcpy(buff,"12345678\x0c\x0c\x0c\x0c");

溢出并覆盖对象baseObj的虚表,使得虚表指针指向0x0c0c0c0c;这个地址又是个自指向的,从0x0c0c0c0c取到虚函数表。之后再从0x0c0c0c0c取出函数指针执行。当然,这又从0x0c0c0c0c继续执行下去,直到遇到最后的shellcode部分





0:000> dd buff L1
0012ff64  00000000 ;buff位于栈地址0x12ff64
0:000> dd baseObj L1
0012ff6c  004300a0 ;baseObj位于栈地址0x12ff6c,覆盖后baseObj的虚函数表vftable指针值被设置为0x0c0c0c0c
之后baseObj去虚函数表0x0c0c0c0c中取虚函数,由于0x0c0c0c0c附近的内存块取到的值都是0x0c0c0c0c,而这个值被进程当做函数指针,因此最后会发生类似call 0x0c0c0c0c,引导Eip去堆空间0x0c0c0c0c处取指令运行。eip将执行不痛不痒的指令,最终将执行到堆空间的最后部分----那是我们的Shellcode部分。



总结起来:堆喷射是比较简单的一种利用方式;不同以往将shellcode存放在栈中,堆喷射将shellcode放在堆中,通过多种溢出方式组合使Eip执行到0x0c0c0c0c之类的堆空间



                

        

        

    




    

      

        

            

              
                
                  Eugene800
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    5
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    15
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  4
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
Exploit 编写系列教程--喷射技术揭秘

				
			

			

				

					04-15
				

			

		

		

			
				
英文文档翻译而来,详细描述了喷射技术的原理与应用,附带几个实例。

			
		

	



                

              
                



	

		

			

				
					
喷射例子

				
			

			

				

					要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
				

				

					07-28
					
					299
					
				

			

		

		

			
				
【代码】喷射的小例子。

			
		

	



                


  
              

                


	

		

			

				
					
Heap Spray原理

				
			

			

				

					m0_46161993的博客
				

				

					03-13
					
					1865
					
				

			

		

		

			
				
什么是Heap Spray?
  喷射是在 shellcode 的前面加上大量的slide code(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得内存被大量的注入代码占据。然后通过结合其他漏洞控制程序流,使得程序执行到上,最终将导致shellcode的执行。
  常见的slide code有NOP指令,还有一些类NOP指令,比如0x0c,0x0...

			
		

	





	

		

			

				
					
Heap Spray

				
			

			

				

					guilanl的专栏
				

				

					04-17
					
					1019
					
				

			

		

		

			
				
Heap Spray 定义基本描述

Heap Spray 并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。 Heap Spray 是在 shellcode 的前面加上大量的 slide code (滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他

			
		

	



		

			
		



	

		

			

				
					
Linux_Android_内核_Heap_Spray_的几种姿势.pdf

				
			

			

				

					08-08
				

			

		

		

			
				
内容概要
For newbies
基础简介,环境搭建
SLUB 细节和特性
讨论内核 Heap Spray
两个实例
几种 spray 的实际应用

			
		

	





	

		

			

				
					
溢出,喷射简介

				
			

			

				

					kernweak的博客
				

				

					11-21
					
					3949
					
				

			

		

		

			
				
简介

上分配内存,就是比如malloc,就是从上把这块内存的链表,摘下来共我们使用。上自己是按桶的结构进行管理(一个hash表),从2^1,2^2,2^3,2^4.....,如果申请一个50字节内存,就从,2^6分配,64-50=14,有14个内存碎片。我们申请内存就是从这个内存表中把某一个节点从这个双向链表中摘掉。即


Node->bp->fp=Node->fp;
...

			
		

	





	

		

			

				
					
二项(Binomial Heap

				
			

			

				

					02-18
				

			

		

		

			
				
二项(Binomial Heap)的c语言完全实现,包括添加,删除,和找到最小值,删除最小值

			
		

	





	

		

			

				
					
PHP实现排序排序(Heap Sort)算法

				
			

			

				

					10-18
				

			

		

		

			
				
主要为大家详细介绍了PHP实现排序排序(Heap Sort)算法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下

			
		

	





	

		

			

				
					
Java最大项目演示代码

					
最新发布

				
			

			

				

					09-08
				

			

		

		

			
				
Java大根演示代码 在控制台输入java -jar maxHeap.jar后即可运行项目。 所支持的操作: 0:初始化一个新 1:向中插入一个数值 2:增大中某个节点的值 :排序操作 4:打印的树结构 5:打印排序结果 6:...

			
		

	





	

		

			

				
					
FibonacciHeap:Fibonacci实现

				
			

			

				

					02-05
				

			

		

		

			
				
FibonacciHeap:Fibonacci实现

			
		

	





	

		

			

				
					
PHP排序算法之排序(Heap Sort)实例详解

				
			

			

				

					10-18
				

			

		

		

			
				
主要介绍了PHP排序算法之排序(Heap Sort),结合实例形式详细分析了排序的原理、实现方法及相关使用注意事项,需要的朋友可以参考下

			
		

	





	

		

			

				
					
喷射中的问题

				
			

			

				

					sxr__nc的博客
				

				

					04-01
					
					806
					
				

			

		

		

			
				
在CSDN上边讲解喷射的文章有很多,这里也就不再赘述,记录一下自己在看的过程中遇到的一些问题:
1:进程中的:
进程在创建之初会初始或一个进程默认的,在实际的使用过程中我们可以使用GetProcessHeap(void)这个函数来获得系统默认的句柄,并对其进行操作
HANDLE GetProcessHeap(void);

与之相对应的就是用户在程序中自己申请的空间,我们称之为私有,可...

			
		

	





	

		

			

				
					
二进制安全之——相关漏洞

				
			

			

				

					PICACHU+++的博客
				

				

					10-10
					
					2231
					
				

			

		

		

			
				
主要是指用户动态申请的内存(如:调用malloc,alloc,alloca,new等函数)。glibc malloc源码中有三种最基本的块数据结构,分别是heap_info,malloc_state,malloc_chunk。

			
		

	





	

		

			

				
					
mysql udp提权_linux内核提权系列教程(1):喷射函数sendmsg与msgsend利用

				
			

			

				

					weixin_39875516的博客
				

				

					02-07
					
					293
					
				

			

		

		

			
				
本文从我的先知转过来。说明:实验所需的驱动源码、bzImage、cpio文件见我的github进行下载。本教程适合对漏洞提权有一定了解的同学阅读,具体可以看看我先知之前的文章,或者我的简书。一、 函数介绍在linux内核下进行喷射时,首先需要注意喷射块的大小,因为只有大小相近的块才保存在相同的cache中。具体的cache块分布如下图:cache_distrubute.png本文的漏洞...

			
		

	





	

		

			

				
					
linux通用内核,Linux内核通用喷射技术详解

				
			

			

				

					weixin_28982257的博客
				

				

					04-29
					
					412
					
				

			

		

		

			
				
简介这个内核喷射技术曾经在beVX研讨会期间进行过相应的演示,之后,还曾被用于内核IrDA子系统(Ubuntu 16.04)的0day攻击。与已知的喷射不同,该技术适用于非常小的对象(大小不超过8或16字节)或需要控制前N个字节的对象(即目标对象中没有不受控制的头部)。这种技术可以用来利用两个UAF内核漏洞,正如我在研讨会上提到的那样,“喷射”这个术语在利用UAF漏洞时并不适用,因为它通常不...

			
		

	





	

		

			

				
					
传统的Heap Spray(转)

				
			

			

				

					strongxu的专栏
				

				

					11-26
					
					2121
					
				

			

		

		

			
				
传统的Heap Spray是使用js分配内存。根据heap spray的思想,就是用同样的一个指令,去覆盖一片大内存地址,在每块分配到的内存最后,都付上我们的shellcode。        对这个指令的要求是,相当于NOPS的作用。且该指令指向的地址,正好落在我们覆盖的这片大存在地址中。      上面说的可能有些绕口,在实际exploit中,就是分配这样的一片内存区域,比如    0B270

			
		

	





	

		

			

				
					
实现CVE-2016-3842的

				
			

			

				

					Beautiful Attack and Defence
				

				

					06-12
					
					1183
					
				

			

		

		

			
				
前言看到论坛有大牛分析了这个CVE-2016-3842的利用方法,我之前也对这个漏洞的做了一些笔记,这里分享一下。首先要先感谢一下某因幡和Retme两位大神,在研究这个漏洞期间遇到不少的问题,他们都一一给我解答了,这里对他们表示再次感谢。漏洞介绍这个漏洞是GPU中的一个UAF漏洞,是由于race condition 造成的。在GPU驱动中提供了一个ioctl命令IOCTL_KGSL_GPUMEM

			
		

	





	

		

			

				
					
栈空间 (Stack)  空间 (Heap)是什么

				
			

			

				

					06-12
				

			

		

		

			
				
栈空间和空间是计算机内存管理的两种方式。

栈空间(Stack)是一种线性的数据结构,用于存储函数的局部变量、函数的参数值和函数调用时需要保存的返回地址等信息。栈空间是由操作系统自动分配和释放的,是一种先进后出(LIFO)的存储方式。

空间(Heap)是一种动态分配和管理内存的方式,用于存储程序运行时需要动态分配的内存。空间的大小可以动态调整,但需要程序员手动分配和释放内存,否则会产生内存泄漏的问题。

总体来说,栈空间的管理是由系统自动完成的,而空间则需要程序员手动管理。栈空间的分配和释放速度较快,但空间有限,而空间的分配和释放速度较慢,但空间较为灵活。在程序设计时需要根据实际需求合理选择使用栈空间还是空间。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 4

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值