5.4 堆溢出利用(上)——DWORD SHOOT

最新推荐文章于 2023-12-04 22:28:12 发布
最新推荐文章于 2023-12-04 22:28:12 发布
阅读量1.8k 收藏 13
点赞数 2
分类专栏: 0day安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/127156557
版权

目录

一、预备知识

二、实验环境

三、实验代码

四、实验步骤

一、预备知识

        堆管理系统的三类操作:堆块分配、堆块释放和堆快合并归根结底都是对链表的修改。堆溢出利用的精髓就是用精心构造的数据溢出下一个堆块的块首,改写块首中的前向指针(flink)和后向指针(blink),然后在分配、释放、合并等操作发生时伺机获得一次向内存任意地址写入任意数据的机会。这种能够向内存任意地址写入任意数据的机会称之为“DWORD SHOOT”。

        通过DWORD SHOOT,攻击者可以劫持进程,运行shellcode,主要有如下情形:

点射目标(target)子弹(payload)改写后的结果
栈帧中的函数返回地址shellcode的起始地址函数返回时,跳去执行shellcode
栈帧中S.E.H句柄shellcode的起始地址异常发生时,跳去执行shellcode
重要函数调用地址shellcode的起始地址函数调用时,跳去执行shellcode

        举一个例子说明DWORD SHOOT究竟时如何发生的。将一个结点从双向链表中“卸下”的函数很可能是这样的:(参考数据结构)

int remove (ListNode * node) 
{ 
    node -> blink -> flink = node -> flink; 
    node -> flink -> blink = node -> blink; 
    return 0; 
}
        当堆溢出发生时,非法数据可以淹没下一个堆块的块首。这时,块首是可以被攻击者控制 的,即块 首中存放的前向指针( flink )和后向指针( blink )是可以被攻击者伪造的。当这个堆 块被从双向链表中“卸下”时, node -> blink -> flink = node -> flink 将把伪造的 flink 指针值写入伪造的 blink 所指的地址中去,从而发生 DWORD SHOOT。过程如下:
        注:图5.3.1为正常“拆卸”,图5.3.2为异常拆卸!!!

 

         !!!另外,请特别注意实际内存中的前向指针和后向指针示意图:(与数据结构中有一点点不一样,图中释放顺序为h1、h3、h4)

二、实验环境

        操作系统:Windows 2000 professional

        软件版本:原版OD(实时调试状态)、VC++6.0(release)

三、实验代码

#include <windows.h>

main()
{
	HLOCAL h1, h2,h3,h4,h5,h6; 
    HANDLE hp; 
    hp = HeapCreate(0,0x1000,0x10000); 
    h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); 
    h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); 
    h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); 
    h4 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); 
    h5 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); 
    h6 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	

	_asm int 3//used to break the process 
    //free the odd blocks to prevent coalesing 
    
    HeapFree(hp,0,h1); 
    HeapFree(hp,0,h3); 
    HeapFree(hp,0,h5); //now freelist[2] got 3 entries 
    //will allocate from freelist[2] which means unlink the last entry h5
    
    h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); 

    return 0;
}
        注意:
        (1 )程序首先创建了一个大小为 0x1000 的堆区,并从其中连续申请了 6 个大小为 8 字节
的堆块(加上块首实际上是 16 字节),是从初始的尾块中“切”下来的。
        (2)释放奇数次申请的堆块是为了防止堆块合并的发生。
        (3)三次释放结束后, freelist[2] 所标识的空表中应该链入了 3 个空闲堆块,它们依次是 h1 h3 h5 。 (链入尾部)
        (4)再次申请 8 字节的堆块,应该从 freelist[2] 所标识的空表中分配,这意味着最后一个堆
h5 被从空表中“拆下”。
        (5)如果我们手动修改 h5 块首中的指针,应该能够观察到 DWORD SHOOT 的发生。

四、实验步骤

        1、编译程序,直接进入OD界面,停在断点处:

         2、F8释放三次内存,手动更改H5的前向指针为0x44444444,后向指针为0x00000000.

         3、执行内存申请的指令,会发现编译器运行错误。

         根据:

node->blink->flink=node->flink
        无法将0x44444444写入0x00000000。

 
PT_silver
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Dword shoot
这里没人
05-14 2327
简介 Dword shoot,一种很简单的漏洞溢出技巧,所以就简单的说明一下吧。dword shoot漏洞是出现在双向链表表删除的时候出现的一种漏洞类型。(双向链表是什么不用我解释吧)在进行双向链表的操作过程中如果因为处置不当,比如溢出等等的情况下,构成双向链表的指向前一个和后一个节点的两个指针被恶意的改写的话,就会在链表删除的时候发生的漏洞。 漏洞原理与利用 这里我们先定义一个结构体作...
glibc 学习(一)-基础概念
weixin_44222568的博客
02-10 467
在程序运行过程中,可以提供动态分配的内存,允许程序申请大小未知的内存。其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理的那部分程序为管理器。
基础溢出原理与DWORD SHOOT实现
最新发布
huxyc的博客
12-04 336
1.快表中的空闲块被设置为占用态,故不会发生块合并操作。2.快表只有精确匹配时才会分配,故不存在"搜索次优解"和"找零钱"现象。3.快表是单向链表,操作比双链表简单,插入删除都少用很多指令。4.综上所述,快表很快,故再分配和释放时,总是优先使用快表,失败时才用空表。5.快表只有四项,很容易就被填满,因此空表也是很频繁被使用的。综上所述,Windows的管理策略兼顾了内存合理使用、分配效率等多方面因素。二调试。
DWORDSHOOT的攻击方法
inquisiter
01-01 1244
DWORDSHOOT的攻击方法 本文由《0day安全软件漏洞分析》中的章节总结形成,作为一个笔记。 其实我开始看着书的时候没做啥笔记,但后来调试过程觉得块这块挺重要的就返回去把这一章的内容单独摘出来,并把一个叫做DWORDSHOOT的攻击方法作为深入理解的例子记了下来。 在内存中的数据结构形式如图,占用态和空闲状态可以由flag标志清楚的分辨。其中大小和前后指针的位置更是一目...
溢出 对DWORD SHOOT的原理进行简单了解
Misaka10046的博客
09-19 1406
代码 #include <windows.h> main() { HLOCAL h1, h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); h4 = HeapAlloc(hp,H
溢出利用
wangtiankuo的博客
10-10 1347
本文整理自《0day安全:软件漏洞分析技术》 1 2 代码 #include "stdafx.h" #include &lt;Windows.h&gt; int _tmain(int argc, _TCHAR* argv[]) { //HANDLE和HLOCAL 是 void* HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp=HeapCre...
shoot——need.rar
12-03
标题"shoot——need.rar"可能是指一个项目或软件的更新版本,可能与射击游戏或训练系统有关,但这个标题没有直接涉及Elastic-Job。然而,由于标签为"elastic-job",我们可以聚焦在Elastic-Job相关的知识上。 首先,...
shoot_game_Shoot!_移动靶游戏_
09-30
《基于VHDL的"Shoot! 移动靶游戏"详解》 在现代电子技术领域,硬件描述语言(HDL)如VHDL扮演着至关重要的角色,它使得设计者能够以程序化的方式描述数字系统的行为和结构。本文将深入探讨一款名为"Shoot! 移动靶...
shoot_game
01-02
在这个项目中,开发者利用VS2013的特性,将游戏逻辑与QPC的实时特性相结合,创建了一个动态且响应迅速的游戏环境。 “shoot_game”项目的核心在于射击游戏的设计。射击游戏通常包含玩家控制的主角、敌人、武器系统...
shoote_obtainyrp_WaTaGunShoote_shoot_zip_
09-29
标题中的"shoote_obtainyrp_WaTaGunShoote_shoot_zip_"似乎是一个组合词,可能代表一个特定的项目或者版本标识,而"hibubble-shooter-example"则暗示这是一个关于泡泡射击游戏的示例。从标签"obtainyrp ...
java——飞机大作战
07-06
"飞机大作战"是利用Java语言编写的一款射击类游戏,它展示了如何利用Java进行游戏逻辑设计、图形渲染和音频处理。这个游戏对初学者和有一定经验的开发者来说都是很好的学习资源,因为它涵盖了游戏开发的多个关键知识...
《0day》-5-溢出
Starr
05-11 1702
第 5 章 溢出利用 文章目录第 5 章 溢出利用5.1 的工作原理5.1.1 Windows 的历史5.1.2 与栈的区别5.1.3 的数据结构与管理策略表空表快表的管理策略块分配块释放块合并小结5.2 在中漫游5.2.1 分配函数之间的调用关系5.2.2 的调试方法5.2.3 识别表5.2.4 ...
Windows内存漏洞--溢出漏洞的分析利用&格式化字符串漏洞及利用分析
theglasssky的博客
05-28 600
溢出漏洞和格式化串漏洞的原理利用以及相关知识
溢出(三)快表DWORD SHOOT
Reshahar 的博客
03-20 1338
Windows 溢之快表DWORD SHOOT By Rweb@Reshahar 0x000 环境 1. 虚拟机 VirtualBox 5.0.20 2. 系统 windows 2000 Kali linux 3. 工具 VC++6.0 OllyDbg 1.10 汉化版 AsmToE v5.20 0x001溢出
DWORD SHOOT
weixin_30672019的博客
08-29 222
我知道原理了: 当 int remove() { node->blink->flink = node->flink; //这个是flink \x88\x06\x36\x00 这个是blink //\x20\xf0\xfd\x7f"; //将系统RtlEnterCritucalSection 的 flink指向 我们的shellcode起始...
总结windows下溢出的三种利用方式
老裴
12-11 1264
1.利用RtlAllocHeap 这是ISNO提到的,看这个例子 main (int argc, char *argv[]) {  char *buf1, *buf2;  char s[] = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa/x03/x00/x05/x00/x00/x01/x08/x00/x11/x11/x11/x11/x21/x21/x21/x21";  bu
袁孝健-06172151-网络攻防作业1
08-03
8. 溢出利用:通过DWORDSHOOT案例,学生学习了如何利用溢出进行攻击,这是高级安全分析和漏洞利用技术的一部分。 这份报告全面地覆盖了网络安全攻防中的关键概念和技术,对于提高学生的实战能力和理论理解具有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值