Heap Spray原理

最新推荐文章于 2023-07-28 17:12:42 发布
最新推荐文章于 2023-07-28 17:12:42 发布
阅读量1.8k 收藏 7
点赞数 4
分类专栏: 软件安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46161993/article/details/104846792
版权

什么是Heap Spray?

  堆喷射是在 shellcode 的前面加上大量的slide code(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得内存被大量的注入代码占据。然后通过结合其他漏洞控制程序流,使得程序执行到堆上,最终将导致shellcode的执行。
  常见的slide code有NOP指令,还有一些类NOP指令,比如0x0c,0x0d等。它们的共同特点都是不会影响shellcode的执行。
  可能覆盖到的地址是0x0A0A0A0A(160M),0x0C0C0C0C(192M),0x0D0D0D0D(208M)等。

Heap Spray实现过程

  我们通过解决以下问题来理解堆喷射的实现过程及原理:

Q1:slide code和shellcode是如何填充的?

  在我们申请并填充的大量堆空间中,并不是只有一个shellcode,实际上,由于系统对堆的管理是有分块机制存在的,因此我们将申请到的空间分成了很多块来分别进行填充,在每一块空间中,都先使用slide code进行填充,而在该空间末端用shellcode进行填充。这意味着我们填充的大量堆空间的形式类似如下:

Heap
±-------------+
| silde code |
| shellcode |
±-------------+
| silde code |
| shellcode |
±-------------+

Q2:为什么要在shellcode前加上大量slide code?

  由于只有在攻击时命中shellcode的第一条语句,才能成功执行shellcode,如果用shellcode进行填充,意味着在MB级别内可能仅有几十Byte左右的语句是shellcode的起始语句,这决定了命中shellcode的概率极小,几乎接近0。
  若我们使用slide code进行填充,根据Heap Spray的描述我们知道,由于slide code是nop指令或者类似于nop的空指令,因此只要我们命中slide code中的任意一条指令,这条指令都将引导程序执行到shellcode的第一条命令。而又因为slide code占了堆空间的绝大部分,因此命中的概率几乎接近100%。

Q3:为什么填充内存常在200MB以上?
  1. 由于堆的分布不均衡(存在碎片),所以最先分配的一些堆块的地址可能是无规律的,但是如果大量的分配堆块,就会出现稳定的地址分布。也就是说,内存中碎片过多,必须喷射到更高的地址才能使 exploit 更稳定。
  2. 通常在申请的内存超过200M时,地址0x0c0c0c0c才会确定被含有shellcode的内存片覆盖,以便执行shellcode。

堆分配图:

Q4:为什么是0x0c0c0c0c?

  当然也可以为其他地址,如:0x0A0A0A0A(160M),0x0C0C0C0C(192M),0x0D0D0D0D(208M)等,但地址0x0c0c0c0c是堆喷射应用中最著名的地址。堆喷射成功的前提是,我们填充的过程中恰好覆盖了一个虚函数指针,当该虚函数被调用时,先取得栈中的对象指针,通过对象指针取得虚表指针,然后在虚表内适当偏移处取得函数指针执行,过程如下:

  因此根据上述过程,当我们使用“0c0c0c0c”作为slide code进行填充时,我们地址0x0c0c0c0c处也必须为“0c0c0c0c”,而正由于这个地址是自指向的,因此恰好执行“0c0c0c0c”命令直到执行shellcode。若为其他地址,将会导致指针跳转至其他地方,无法确保完成shellcode的执行。
  也可以通过缓冲区溢出漏洞将EIP修改为0x0c0c0c0c就能跳转到该位置,然后完成shellcode的执行。

Heap Spray的优缺点

优点:

  1. 增加缓冲区溢出攻击的成功率;
  2. 覆盖地址变得更加简单了,可以简单使用类nop指令来进行覆盖;
  3. 它也可以用于堆栈溢出攻击,用slide code覆盖堆栈返回地址即可;

缺点:

  1. 会导致被攻击进程的内存占用暴增,容易被察觉;
  2. 不能用于主动攻击,一般是通过栈溢出利用或者其他漏洞来进行协同攻击;
  3. 上面说了,如果目的地址被shellcode覆盖,则shellcode执行会失败,因此不能保证100%成功。

检测与防范

  1. 如果发现应用程序的内存大量增加(设置阈值),立即检测堆上的数据,看是否包含大量的slidecode。
  2. 当浏览器的脚本解释器开始重复申请堆的时候,监控模块可以记录堆的大小、内容和数量,如果这些重复的堆请求到达了一个阀值或者覆盖了指定的地址(譬如0x0C0C0C0C,x0D0D0D0D等等),监控模块立即阻止脚本的执行。
  3. 对于一些利用脚本(Javascript Vbscript Actionscript)的进行Heap Spray攻击的情况,可以通过hook脚本引擎,分析脚本代码,根据一些Heap Spray常见特征,检测是否受到Heap Spray攻击。
  4. 开启DEP

参考资料

[1]. Heap Spray(堆喷射)简介
[2]. Heap Feng Shui in JavaScript
[3]. 32位下的堆喷射技术
[4]. Heap Spray原理浅析

D-A-X
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 14
    评论
专栏目录
Exploit 编写系列教程--堆喷射技术揭秘
04-15
英文文档翻译而来,详细描述了堆喷射技术的原理与应用,附带几个实例。
Heap Spray 技术
tony的专栏
10-25 1283
Heap Spray 技术 1、堆喷射堆块大小 ≈ 程序堆块分配大小,以减小堆空隙大小。 2、不能使用堆缓存块,否则可能破坏地址的可预测性,可通过申请6块相应大小的堆块来清空缓存。 3、精确定位ROP地址,目标地址如0x0c0c0c0c至堆块数据起始地址的offset = ( 0x0c0c0c0c - UserP
linux kernel ping_init_sock poc,Kernel Pwn 学习之路 - 番外
weixin_35675138的博客
05-13 373
0x01 前言由于关于Kernel安全的文章实在过于繁杂,本文有部分内容大篇幅或全文引用了参考文献,若出现此情况的,将在相关内容的开头予以说明,部分引用参考文献的将在文件结尾的参考链接中注明。从本篇番外开始,将会记录在CTF中Kernel Pwn的一些思路,由于与Kernel Pwn 学习之路(X)系列的顺序学习路径有区别,故单独以番外的形式呈现。本文将会以实例来说几个Linux提权思路,本文主要...
Linux_Android_内核_Heap_Spray_的几种姿势.pdf
08-08
内容概要 For newbies 基础简介,环境搭建 SLUB 细节和特性 讨论内核 Heap Spray 两个实例 几种 spray 的实际应用
堆喷射例子
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
07-28 305
【代码】堆喷射的小例子。
演示Heap Spray(堆喷射)的原理
热门推荐
lixiangminghate的专栏
12-01 1万+
Heap Spray原理浅析 这篇文章应该是网上阐释堆喷原理最为详尽和易懂的一篇。唯一让我感到遗憾的是:文章结尾处给出的例子是基于javascript的,这对于我这种门外汉来说并不是一个很好的练功房。结合自己对文章的理解,在这给出c++版本的堆喷射演示代码。 #include #include class base { char m_buf[8]; public: int setBuf
Heap Spray
guilanl的专栏
04-17 1026
Heap Spray 定义基本描述 Heap Spray 并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。 Heap Spray 是在 shellcode 的前面加上大量的 slide code (滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他
堆溢出,堆喷射简介
kernweak的博客
11-21 3958
堆简介 堆上分配内存,就是比如malloc,就是从堆上把这块内存的链表,摘下来共我们使用。堆上自己是按桶的结构进行管理(一个hash表),从2^1,2^2,2^3,2^4.....,如果申请一个50字节内存,就从,2^6分配,64-50=14,有14个内存碎片。我们申请内存就是从这个内存表中把某一个节点从这个双向链表中摘掉。即 Node->bp->fp=Node->fp; ...
HeapAnalyzer
03-05
本文将详细介绍HeapAnalyzer的用途、工作原理以及如何使用。 1. **HeapAnalyzer简介** HeapAnalyzer是由IBM开发的一款强大的内存分析工具,主要针对Java应用的堆内存进行深度分析。通过对JVM的dump文件进行解析,...
IBM HeapAnalyzer
05-02
下面我们将详细探讨IBM HeapAnalyzer的工作原理、使用方法以及如何分析OOM问题。 1. **IBM HeapAnalyzer的工作原理** IBM HeapAnalyzer通过解析由`jmap`命令生成的堆转储文件(heap dump)来分析内存状态。`jmap`...
heap exploit.pdf
08-06
关于堆溢出的利用,深入浅出的介绍,从原理到利用,入门必看
Heap Snapshot工具
03-09
Heap Snapshot工具 获取Java堆内存详细信息,可以分析出内存泄漏的问题
堆喷射(Heap Spray
LYSM
03-01 1023
简而言之: 1.用途 一般用在浏览器,因为 Javascript 可以直接在堆上分配字符串。 2.如何堆喷射 js中大量分段申请0c0c0c0c内存,每段后面跟shellcode 0到0c0c0c0c总共不到200m 碰运气覆盖一个函数指针 这个函数被调用的时候就会跳到0c0c0c0c处执行 0c对应汇编指令or al,0c 然后一直往下执行 到达shellcode… 原理参考: https://blog.csdn.net/lixiangminghate/article/details/53413863
漏洞利用—堆喷
谈成(C/C++)
04-28 847
1.堆喷的原理主要在于申请大量内存,直到跨过0x0C0C0C0C地址为止。 0x0C0C0C0C地址的总长为19210241024大小。所以只要申请的内存超过200MB,即可将0x0C0C0C0C地址包含在我们自己的内存之中。 2.当0x0C0C0C0C地址被包含在我们申请的堆中时,我们就可以将栈溢出的返回地址覆盖为0x0C0C0C0C。 3.此时发生溢出后,系统的eip就会去执行0x0C0C0C0C处的代码。而此时,我们的最终目的是执行shellcode代码。执行0x0C0C0C0C是不可能刚好命中sh
利用pdf的js函数漏洞构造堆喷射的攻击思路
学 习 点 滴
08-20 5458
利用pdf的js函数漏洞构造堆喷射的攻击思路         首先声明一下,本人对于漏洞这块也是小菜鸟一个,没研究多久,自己对于漏洞的一些理解也不是很全面。但是研究了一些CVE的分析后,有点收获,所以写了此文章分享自己的思路,也没保证完全是正确的,所以希望大家看后有什么意见可以和我交流,咱们一些学习嘛。 最近研究了下PDF文件的漏洞,有点小发现,所以就整理了一下自己的思路。 经过这几天的研究
堆喷射中的问题
sxr__nc的博客
04-01 812
在CSDN上边讲解堆喷射的文章有很多,这里也就不再赘述,记录一下自己在看的过程中遇到的一些问题: 1:进程中的堆: 进程在创建之初会初始或一个进程默认的堆,在实际的使用过程中我们可以使用GetProcessHeap(void)这个函数来获得系统默认堆的句柄,并对其进行操作 HANDLE GetProcessHeap(void); 与之相对应的就是用户在程序中自己申请的堆空间,我们称之为私有堆,可...
linux通用内核,Linux内核通用堆喷射技术详解
weixin_28982257的博客
04-29 419
简介这个内核堆喷射技术曾经在beVX研讨会期间进行过相应的演示,之后,还曾被用于内核IrDA子系统(Ubuntu 16.04)的0day攻击。与已知的堆喷射不同,该技术适用于非常小的对象(大小不超过8或16字节)或需要控制前N个字节的对象(即目标对象中没有不受控制的头部)。这种技术可以用来利用两个UAF内核漏洞,正如我在研讨会上提到的那样,“堆喷射”这个术语在利用UAF漏洞时并不适用,因为它通常不...
利用OllyDbg完成序列号的逆向破解
m0_46161993的博客
01-20 5811
打开程序,输入任意值,输入错误时弹出对话框提示输入错误,并同时得知序列号形式为“xxxx-xxxx-xxxx-xxxx”,如下图: 由此可知该序列号破解存在一个切入点,即序列号错误时MassageBoxA的调用。因此利用OD的“设置API断点”对所有MassageBoxA设下断点,如下图: 运行程序,输入任意测试序列号后,成功截断。分析此时堆栈中的信息提示,如下图: 观察到图中最后一行提及父函数,点击该行并回车后将进入父函数,如下图:(高亮行即为回车后返回行) 至此,回溯到序列号验证位置。但由于该方
flume heap
最新发布
09-13
Flume Heap是Apache Flume中的一个概念。在Flume的体系结构中,Heap是用来存储事件数据的内存区域。当Flume Agent接收到事件数据时,它会暂时存储在Heap中,然后再根据配置将数据传输到目标位置(例如HDFS、Kafka等)。 Heap的大小可以根据需求进行配置,通常会根据Agent的处理能力和可用内存来确定。如果Heap的大小设置得太小,可能会导致数据丢失或Agent无法跟上数据的产生速度。而设置得过大,则可能占用过多的内存资源。因此,在配置Flume Agent时,需要合理地设置Heap的大小,以便在性能和资源利用之间取得平衡。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

D-A-X

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值