堆喷射例子

已于 2023-08-19 21:07:51 修改
阅读量307 收藏
点赞数
分类专栏: 安全 文章标签: 安全威胁分析 windows
于 2023-07-28 17:12:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37567738/article/details/131984316
版权

原文引自:https://blog.csdn.net/lixiangminghate/article/details/53413863

堆喷射的原理是分配大段内存,覆盖掉空指针或者UAF的函数指针,造成远程执行的目的。

照着作者的意思,自己的测试代码:

#include <iostream>
#include <windows.h>
#include <stdio.h>

class base
{
	char m_buf[8];
public:

	virtual int baseInit1()
	{
		printf("%s\n", "baseInit1");
		return 0;
	}
	virtual int baseInit2()
	{
		printf("%s\n", "baseInit2");
		return 0;
	}
};


int main()
{
	unsigned int bufLen = 200 * 1024 * 1024;

	char buff[8] = { 0 };

	base* baseObj = new base;

	char* spray = new char[bufLen];

	memset(spray, 0x0c, sizeof(char) * bufLen);
	memset(spray + bufLen - 0x10, 0xcc, 0x10);

	char* offset = (char*)spray + bufLen - 0x100;

	FARPROC msgbox = GetProcAddress(LoadLibraryA("user32.dll"), "MessageBoxA");

	FARPROC exitproc = GetProcAddress(LoadLibraryA("kernel32.dll"), "ExitProcess");

	//memset(offset - 0x10, 0xcc, 0x10);

	*(USHORT*)(offset - 10) = 0xcccc;

	*(USHORT*)(offset - 8) = 0x006a;		//push dword ptr 0
	*(USHORT*)(offset - 6) = 0x006a;
	*(USHORT*)(offset - 4) = 0x006a;
	*(USHORT*)(offset - 2) = 0x006a;

	*(UCHAR*)offset = 0xe8;			//call
	DWORD msgboxaddr = (DWORD)msgbox - ((DWORD)offset + 5);
	*(DWORD*)(offset + 1) = (DWORD)msgboxaddr;

	*(USHORT*)(offset + 5) = 0x006a;
	*(UCHAR*)(offset + 7) = 0xe8;
	DWORD exitprocaddr = (DWORD)exitproc - ((DWORD)offset + 12);
	*(DWORD*)(offset + 8) = (DWORD)exitprocaddr;

	DWORD old;
	int result = VirtualProtect(spray, bufLen, PAGE_EXECUTE_READWRITE, &old);

	strcpy(buff, "12345678\x0c\x0c\x0c\x0c");

	*(DWORD*)baseObj = 0x0c0c0c0c;

	baseObj->baseInit1();

	return 0;
}

执行时的反汇编分析:
在这里插入图片描述

注意:

  1. vs2019中执行"strcpy(buff, “12345678\x0c\x0c\x0c\x0c”);"并不能覆盖baseObj 的类地址,通过调试,发现两者地址并不是紧挨着的。攻击时,如何通过相邻地址覆盖,是一个值得思考的问题。
    在这里插入图片描述

  2. 堆喷射必须要设置堆内存的可执行属性。

  3. 总体的思路就是,分配大块的内存,将内存地址设置为0x0c0c0c0c(也可以设置为其他值),0x0c在32位模式下,是or al,0x0c 的机器码。通过覆盖虚函数表地址指针,将虚函数转移到分配的堆地址执行,在堆的末尾添加的payload即可得到执行。

satadriver
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Heap Spray原理
m0_46161993的博客
03-13 1896
什么是Heap Spray?   喷射是在 shellcode 的前面加上大量的slide code(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得内存被大量的注入代码占据。然后通过结合其他漏洞控制程序流,使得程序执行到上,最终将导致shellcode的执行。   常见的slide code有NOP指令,还有一些类NOP指令,比如0x0c,0x0...
漏洞利用—
谈成(C/C++)
04-28 851
1.的原理主要在于申请大量内存,直到跨过0x0C0C0C0C地址为止。 0x0C0C0C0C地址的总长为19210241024大小。所以只要申请的内存超过200MB,即可将0x0C0C0C0C地址包含在我们自己的内存之中。 2.当0x0C0C0C0C地址被包含在我们申请的中时,我们就可以将栈溢出的返回地址覆盖为0x0C0C0C0C。 3.此时发生溢出后,系统的eip就会去执行0x0C0C0C0C处的代码。而此时,我们的最终目的是执行shellcode代码。执行0x0C0C0C0C是不可能刚好命中sh
演示Heap Spray(喷射)的原理
lixiangminghate的专栏
12-01 1万+
Heap Spray原理浅析 这篇文章应该是网上阐释原理最为详尽和易懂的一篇。唯一让我感到遗憾的是:文章结尾处给出的例子是基于javascript的,这对于我这种门外汉来说并不是一个很好的练功房。结合自己对文章的理解,在这给出c++版本的喷射演示代码。 #include #include class base { char m_buf[8]; public: int setBuf
HeapSpray原理演示
andy7002的博客
06-01 1808
0x00 前言 Heap Spray是一种通过比较巧妙的方式控制上数据,继而把程序控制流导向ShellCode的古老艺术。 在shellcode的前面加上大量的slidecode(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他的漏洞攻击技术控制程序流,使得程序执行到上,最终将导致shellco
喷射(Heap Spray)
LYSM
03-01 1033
简而言之: 1.用途 一般用在浏览器,因为 Javascript 可以直接在上分配字符串。 2.如何喷射 js中大量分段申请0c0c0c0c内存,每段后面跟shellcode 0到0c0c0c0c总共不到200m 碰运气覆盖一个函数指针 这个函数被调用的时候就会跳到0c0c0c0c处执行 0c对应汇编指令or al,0c 然后一直往下执行 到达shellcode… 原理参考: https://blog.csdn.net/lixiangminghate/article/details/53413863
Exploit 编写系列教程--喷射技术揭秘
04-15
英文文档翻译而来,详细描述了喷射技术的原理与应用,附带几个实例。
Exploit 编写系列教程第十一篇:喷射技术揭秘(上).part1.rar
08-07
Exploit 编写系列教程第十一篇:喷射技术揭秘(上).part1.rar
Exploit 编写系列教程第十一篇:喷射技术揭秘(上).part2.rar
08-07
Exploit 编写系列教程第十一篇:喷射技术揭秘(上).part2.rar
电控汽油喷射系统
01-20
电控汽油喷射系统的ppt,主要用于教学讲解,需要的拿走,不足之处欢迎大家指正
Heap Spray原理浅析
热门推荐
magictong的专栏
03-24 3万+
Heap Spray原理浅析 Magictong 2012/03   摘要:本文主要介绍Heap Spray的基本原理和特点、以及防范技术。 关键词:Heap Spray、溢出攻击、漏洞利用、溢出   Heap Spray定义基本描述 Heap Spray并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。Heap Spray是在sh
linux通用内核,Linux内核通用喷射技术详解
weixin_28982257的博客
04-29 423
简介这个内核喷射技术曾经在beVX研讨会期间进行过相应的演示,之后,还曾被用于内核IrDA子系统(Ubuntu 16.04)的0day攻击。与已知的喷射不同,该技术适用于非常小的对象(大小不超过8或16字节)或需要控制前N个字节的对象(即目标对象中没有不受控制的头部)。这种技术可以用来利用两个UAF内核漏洞,正如我在研讨会上提到的那样,“喷射”这个术语在利用UAF漏洞时并不适用,因为它通常不...
喷射中的问题
sxr__nc的博客
04-01 821
在CSDN上边讲解喷射的文章有很多,这里也就不再赘述,记录一下自己在看的过程中遇到的一些问题: 1:进程中的: 进程在创建之初会初始或一个进程默认的,在实际的使用过程中我们可以使用GetProcessHeap(void)这个函数来获得系统默认的句柄,并对其进行操作 HANDLE GetProcessHeap(void); 与之相对应的就是用户在程序中自己申请的空间,我们称之为私有,可...
溢出,喷射简介
kernweak的博客
11-21 3976
简介 上分配内存,就是比如malloc,就是从上把这块内存的链表,摘下来共我们使用。上自己是按桶的结构进行管理(一个hash表),从2^1,2^2,2^3,2^4.....,如果申请一个50字节内存,就从,2^6分配,64-50=14,有14个内存碎片。我们申请内存就是从这个内存表中把某一个节点从这个双向链表中摘掉。即 Node->bp->fp=Node->fp; ...
喷射原理
suprole的黑皮本
05-25 3117
js中大量申请0c0c0c0c内存 0到0c0c0c0c约
喷射学习笔记~
weixin_30693183的博客
07-18 1997
分析网页上数据的存储: IE6 IE7 而言, 快速(在块大小与重复喷射次数之间找到平衡点), 稳定(每次喷射都能使目标地址指向NOPS) JS 上分配字符串 会变成 BSTR字符串对象,该对象有一个 头信息 + 终止符, 并包含原始字符串经UNICODE转换后的字符串 ...
漏洞分析挖掘基础知识
君子谬
12-06 9005
漏洞原理: I.通用漏洞类型 1.栈溢出   栈溢出是缓冲区溢出的一种,往往由于对缓冲区的长度没有判断,导致缓冲区的大小超过了预定的大小,导致在栈内的保存的返回地址被覆盖,这时候返回地址将指向未知的位置.造成访问异常的错误. 而当我们精心构造一段shellcode保存在某个位置,并且通过滑板指令以及其他特定的方法跳转至shellcode的位置上执行shellcode,此时就可以通过she
Heap 的原理与实现
star的博客
02-05 1514
文章目录原理实现 原理 &nbsp; &nbsp; &nbsp; &nbsp; 是一种数状数据结构,若是满足以下特性,即可称为:“给定中任意节点 P 和 C,若 P 是 C 的母节点,那么 P 的值会小于等于(或大于等于) C 的值”。若母节点的值恒小于等于子节点的值,此称为最小(min heap);反之,若母节点的值恒大于等于子节点的值,此称为最大(max heap)。在中最顶端...
HeapSpray+ROP绕过IE8的DEP防护 ——喷射技术利用超星老漏洞
huhu2017的专栏
08-07 6051
喷射技术已经发展很多个年头了,相关的研究也挺多的,虽然现在Win7、Win8系统下的利用越来越难,但是该技术仍然是可用的,比如最近新出的IE8 use after free漏洞(CVE-2013-1347),Metasploit里的利用代码就是使用技术及ROP实现Shellcode的布置和绕过DEP防护的,网上有关的资料不多,0Day2书中有关的内容并不多,只是简单介绍了HeapSpray技
汽车发动机燃油喷射系统详解
该资源是关于“汽车发动机燃油喷射系统”的PPT,详细介绍了这一系统的主要组成部分、分类、传感器和执行器的工作原理,以及相关的控制过程和维护检修方法。 汽车发动机燃油喷射系统是现代汽车的核心部分,它负责...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值