堆喷射例子

已于 2023-08-19 21:07:51 修改
阅读量305 收藏
点赞数
分类专栏: 安全 文章标签: 安全威胁分析 windows
于 2023-07-28 17:12:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37567738/article/details/131984316
版权

原文引自:https://blog.csdn.net/lixiangminghate/article/details/53413863

堆喷射的原理是分配大段内存,覆盖掉空指针或者UAF的函数指针,造成远程执行的目的。

照着作者的意思,自己的测试代码:

#include <iostream>
#include <windows.h>
#include <stdio.h>

class base
{
	char m_buf[8];
public:

	virtual int baseInit1()
	{
		printf("%s\n", "baseInit1");
		return 0;
	}
	virtual int baseInit2()
	{
		printf("%s\n", "baseInit2");
		return 0;
	}
};


int main()
{
	unsigned int bufLen = 200 * 1024 * 1024;

	char buff[8] = { 0 };

	base* baseObj = new base;

	char* spray = new char[bufLen];

	memset(spray, 0x0c, sizeof(char) * bufLen);
	memset(spray + bufLen - 0x10, 0xcc, 0x10);

	char* offset = (char*)spray + bufLen - 0x100;

	FARPROC msgbox = GetProcAddress(LoadLibraryA("user32.dll"), "MessageBoxA");

	FARPROC exitproc = GetProcAddress(LoadLibraryA("kernel32.dll"), "ExitProcess");

	//memset(offset - 0x10, 0xcc, 0x10);

	*(USHORT*)(offset - 10) = 0xcccc;

	*(USHORT*)(offset - 8) = 0x006a;		//push dword ptr 0
	*(USHORT*)(offset - 6) = 0x006a;
	*(USHORT*)(offset - 4) = 0x006a;
	*(USHORT*)(offset - 2) = 0x006a;

	*(UCHAR*)offset = 0xe8;			//call
	DWORD msgboxaddr = (DWORD)msgbox - ((DWORD)offset + 5);
	*(DWORD*)(offset + 1) = (DWORD)msgboxaddr;

	*(USHORT*)(offset + 5) = 0x006a;
	*(UCHAR*)(offset + 7) = 0xe8;
	DWORD exitprocaddr = (DWORD)exitproc - ((DWORD)offset + 12);
	*(DWORD*)(offset + 8) = (DWORD)exitprocaddr;

	DWORD old;
	int result = VirtualProtect(spray, bufLen, PAGE_EXECUTE_READWRITE, &old);

	strcpy(buff, "12345678\x0c\x0c\x0c\x0c");

	*(DWORD*)baseObj = 0x0c0c0c0c;

	baseObj->baseInit1();

	return 0;
}

执行时的反汇编分析:
在这里插入图片描述

注意:

  1. vs2019中执行"strcpy(buff, “12345678\x0c\x0c\x0c\x0c”);"并不能覆盖baseObj 的类地址,通过调试,发现两者地址并不是紧挨着的。攻击时,如何通过相邻地址覆盖,是一个值得思考的问题。
    在这里插入图片描述

  2. 堆喷射必须要设置堆内存的可执行属性。

  3. 总体的思路就是,分配大块的内存,将内存地址设置为0x0c0c0c0c(也可以设置为其他值),0x0c在32位模式下,是or al,0x0c 的机器码。通过覆盖虚函数表地址指针,将虚函数转移到分配的堆地址执行,在堆的末尾添加的payload即可得到执行。

satadriver
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Exploit 编写系列教程--堆喷射技术揭秘
04-15
英文文档翻译而来,详细描述了堆喷射技术的原理与应用,附带几个实例。
Heap Spray原理
m0_46161993的博客
03-13 1884
什么是Heap Spray?   堆喷射是在 shellcode 的前面加上大量的slide code(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得内存被大量的注入代码占据。然后通过结合其他漏洞控制程序流,使得程序执行到堆上,最终将导致shellcode的执行。   常见的slide code有NOP指令,还有一些类NOP指令,比如0x0c,0x0...
演示Heap Spray(堆喷射)的原理
热门推荐
lixiangminghate的专栏
12-01 1万+
Heap Spray原理浅析 这篇文章应该是网上阐释堆喷原理最为详尽和易懂的一篇。唯一让我感到遗憾的是:文章结尾处给出的例子是基于javascript的,这对于我这种门外汉来说并不是一个很好的练功房。结合自己对文章的理解,在这给出c++版本的堆喷射演示代码。 #include #include class base { char m_buf[8]; public: int setBuf
喷射(Heap Spray)
LYSM
03-01 1025
简而言之: 1.用途 一般用在浏览器,因为 Javascript 可以直接在堆上分配字符串。 2.如何堆喷射 js中大量分段申请0c0c0c0c内存,每段后面跟shellcode 0到0c0c0c0c总共不到200m 碰运气覆盖一个函数指针 这个函数被调用的时候就会跳到0c0c0c0c处执行 0c对应汇编指令or al,0c 然后一直往下执行 到达shellcode… 原理参考: https://blog.csdn.net/lixiangminghate/article/details/53413863
Heap Spray原理浅析
Fly20141201. 的专栏
08-05 1921
Heap Spray定义基本描述 Heap Spray并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。Heap Spray是在shellcode的前面加上大量的slide code(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他的漏洞攻击技
Exploit 编写系列教程第十一篇:堆喷射技术揭秘(上).part1.rar
08-07
Exploit 编写系列教程第十一篇:堆喷射技术揭秘(上).part1.rar
Exploit 编写系列教程第十一篇:堆喷射技术揭秘(上).part2.rar
08-07
Exploit 编写系列教程第十一篇:堆喷射技术揭秘(上).part2.rar
Liquidyn 喷射阀操作手册.pdf
04-05
Liquidyn 喷射阀操作手册 Liquidyn 喷射阀操作手册 Liquidyn 喷射阀操作手册 与点胶机配合使用,应该属于低端产品,价格低,供应商培训提供资料
电控汽油喷射系统
01-20
电控汽油喷射系统的ppt,主要用于教学讲解,需要的拿走,不足之处欢迎大家指正
漏洞分析挖掘基础知识
君子谬
12-06 8984
漏洞原理: I.通用漏洞类型 1.栈溢出   栈溢出是缓冲区溢出的一种,往往由于对缓冲区的长度没有判断,导致缓冲区的大小超过了预定的大小,导致在栈内的保存的返回地址被覆盖,这时候返回地址将指向未知的位置.造成访问异常的错误. 而当我们精心构造一段shellcode保存在某个位置,并且通过滑板指令以及其他特定的方法跳转至shellcode的位置上执行shellcode,此时就可以通过she
喷射学习笔记~
weixin_30693183的博客
07-18 1984
分析网页上数据的存储: 堆 IE6 IE7 而言, 快速(在堆块大小与重复喷射次数之间找到平衡点), 稳定(每次堆喷射都能使目标地址指向NOPS) JS 上分配字符串 会变成 BSTR字符串对象,该对象有一个 头信息 + 终止符, 并包含原始字符串经UNICODE转换后的字符串 ...
堆溢出,堆喷射简介
kernweak的博客
11-21 3962
堆简介 堆上分配内存,就是比如malloc,就是从堆上把这块内存的链表,摘下来共我们使用。堆上自己是按桶的结构进行管理(一个hash表),从2^1,2^2,2^3,2^4.....,如果申请一个50字节内存,就从,2^6分配,64-50=14,有14个内存碎片。我们申请内存就是从这个内存表中把某一个节点从这个双向链表中摘掉。即 Node->bp->fp=Node->fp; ...
HeapSpray原理演示
andy7002的博客
06-01 1806
0x00 前言 Heap Spray是一种通过比较巧妙的方式控制堆上数据,继而把程序控制流导向ShellCode的古老艺术。 在shellcode的前面加上大量的slidecode(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他的漏洞攻击技术控制程序流,使得程序执行到堆上,最终将导致shellco
HeapSpray+ROP绕过IE8的DEP防护 ——堆喷射技术利用超星老漏洞
huhu2017的专栏
08-07 6043
喷射技术已经发展很多个年头了,相关的研究也挺多的,虽然现在Win7、Win8系统下的利用越来越难,但是该技术仍然是可用的,比如最近新出的IE8 use after free漏洞(CVE-2013-1347),Metasploit里的利用代码就是使用堆喷技术及ROP实现Shellcode的布置和绕过DEP防护的,网上有关的资料不多,0Day2书中有关的内容并不多,只是简单介绍了HeapSpray技
windows溢出保护原理与绕过方法概览
天元喜羊羊的博客
08-19 5496
http://bbs.pediy.com/showthread.php?p=879124#post879124 Windows溢出保护原理与绕过方法概览 V2.0 By  : riusksk(泉哥) Blog: http://riusksk.blogbus.com Data: 第1版:2010/10/26       第2版:2011/3/26   前言 从20世纪
喷射原理
suprole的黑皮本
05-25 3115
js中大量申请0c0c0c0c内存 0到0c0c0c0c约
CTF之堆溢出-unlink原理探究
BadRer的博客
06-12 1万+
来干!来干! 转战堆溢出,这东东确实接触的很少,听说很神奇很细腻。我也是初次接触就和大家一起共同学习下,也填补下这方面的空白。 https://sploitfun.wordpress.com/2015/02/26/heap-overflow-using-unlink/ 这篇文章讲的就是堆溢出的原理,不过全是英文,估计。。。慢慢看,不急。我就结合着它给的示例程序来分析下原理,以及如何利用堆溢出。
喷射中的问题
sxr__nc的博客
04-01 816
在CSDN上边讲解堆喷射的文章有很多,这里也就不再赘述,记录一下自己在看的过程中遇到的一些问题: 1:进程中的堆: 进程在创建之初会初始或一个进程默认的堆,在实际的使用过程中我们可以使用GetProcessHeap(void)这个函数来获得系统默认堆的句柄,并对其进行操作 HANDLE GetProcessHeap(void); 与之相对应的就是用户在程序中自己申请的堆空间,我们称之为私有堆,可...
workbench射流喷射仿真
最新发布
09-12
Workbench射流喷射仿真是一种模拟射流喷射行为的工具。它基于计算流体力学(CFD)原理,通过建立数学模型,模拟流体在射流喷射条件下的流动特性和相应的物理现象。 射流喷射仿真的过程包括几个主要步骤。首先,需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值