堆喷射中的问题

最新推荐文章于 2023-07-28 17:12:42 发布
最新推荐文章于 2023-07-28 17:12:42 发布
阅读量827 收藏 7
点赞数 3
分类专栏: 漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/105078410
版权

在CSDN上边讲解堆喷射的文章有很多,这里也就不再赘述,记录一下自己在看的过程中遇到的一些问题:
1、第一个问题其实就是比较简单的 什么是堆喷射?
事实上,对于堆喷射的概念一直没有一个统一的定义,大家都是通过对堆喷射的原理的理解进行自我解读的。我认为堆喷射就是,通过在堆中申请大量空间,将这段空间使用shellcode和滑板指令结合成的代码段进行填充,真样的话就会导致进程空间的大量地址被占用,之后再配合其它的攻击手段来控制程序的EIP,使程序执行到ShellCode上。
2、什么是滑板指令?滑板指令的作用是什么?
首先要清楚,我们的滑板指令是和我们的ShellCode结合形成一段代码段的,之后使用这段代码段来填充申请到的堆空间。
其次,当我们控制了EIP之后,目的是执行我们设计好的ShellCode,但是具体要怎么将EIP指向ShellCode这个过程没有办法做到那么精准。滑板指令的作用这个时候就发挥出来了:
1、滑板指令一般是nop指令或者类nop指令,所谓的类nop指令就是执行之后不会对我们执行ShellCode指令造成影响。
2、滑板指令其实对于ShellCode也起到一定的保护作用,防止造成Shell Code的破坏。所谓保护作用,用下图来解释
3、滑板指令的另一个作用就是增加ShellCode的命中率
3、怎么挑选滑板指令?
就如同我们上边所说,滑板指令再挑选方面其实就是一个要素,是空指令或者是类空指令,空指令:0x90 类空指令:0x0A0A0A0A,0x0C0C0C0C,0x0D0D0D0D 因此原则上来说只要是空指令或者是类空指令都可以成为我们的选择,具体要选择哪一个指令还得看其他要素
4、为什么一般挑选0x0c0c0c0c
上边说如何挑选滑板指令,事实上我们要覆盖到的地址,以及这个指令的自指向性都是我们考虑的要素,上边说的类空指令或者空指令只是滑板指令挑选的“门槛”。
这里说到指令的自指向,觉得有必要解释一下:
1、我们说的ShellCode和滑板指令组成的代码段在堆空间是怎样的分布状态:
在这里插入图片描述
在一段堆空间会有很多这样的代码段,而且从图上也可以很明显的看出滑板指令的大小比ShellCode的大小大很多,这是为什么呢?其实这样做是为了提高ShellCode的生存率,提高ShellCode的命中率,因为我们知道ShellCode必须命中ShellCode开始的第一条指令才能够正常工作,如果代码段分布是下边这种情况的话,反而不容易命中:
在这里插入图片描述
2、上边介绍了代码段在堆空间的分布状态,接下来我们说一下一般的触发堆喷射的方式(也是我在查阅各方资料中见到的最频繁的堆喷射的方式):通过覆盖虚表指针的方式来构造自指向,这里有必要说明一下虚函数的实现方式:
虚函数的实现方式:
虚函数是C++中的一种函数定义形式,虚函数(Virtual Function)是通过虚函数表(Virtual Table)来进行索引的,而这个虚函数表里边存放的是一个类的虚函数的地址表,靠着这张表可以解决继承、覆盖的问题。当然这不是重点,重点是虚函数的实现方式是依靠虚表进行索引的。当调用一个虚函数的时候,它的大致过程如下:
在这里插入图片描述
每一个class产生一堆指向虚函数的指针,放在表格之中。这个表格称之为虚函数表(virtual table,vtbl)
其实可以简单的把这个过程当作是一个数组的索引过程,这样就好理解的多。
我们上边说的自指向的意思就是借用虚函数实现的原理来实现的,具体过程如下:
在这里插入图片描述
我们把虚函数指针府改为0x0c0c0c0c,这个时候程序会跳转到0x0c0c0c0c的地址空间去执行相应的指令,而这个时候我们同样使用滑板指令0x0c0c0c0c去覆盖这段空间,就导致它指向自己,这个过程就是所谓的自指向。一直执行到我们的ShellCode就达成目的了
5、看好多文章都说覆盖200MB以上的内容,为什么?
上边解释了关于滑板指令的选取过程,到这里其实就好理解多了,我们知道在堆喷射中0x0c0c0c0c是一个臭名昭著的地址,我们可以计算一下,200M转换过来对应十六进制的C80 0000‬,如果我们堆喷射覆盖到200M以上的时候可以肯定的是一定会覆盖到0x0c0c0c0c这个地址的,所以才会说一般情况下覆盖到200M以上的内容
6、可能在堆喷射的时候,调试过程中可以运行,但是实际实现的时候不能成功,什么原因呢?
这个又可能是你处在调试状态下,调试的时候ShellCode指向都已经调整好了,但是有一个问题不能忽略,在调试模式和正常模式下,堆的管理策略是不一样的。调试堆与调试栈不同,不能直接用调试器 Ollydbg、Windbg 来加载程序,否则堆管理函数 会检测到当前进程处于调试状态,而使用调试态堆管理策略。
应该在程序开始的地方下断点,在程序断下来的时候再附加调试器,进行调试

总结:关于堆的这些问题最近一直在研究,但是限于资料比较少,所以很艰难,堆喷射找到的资料也比较少,个人水平有限,如果有错欢迎大家指正。同时还要感谢Dagger-axe-x的解惑

相关参考资料
https://blog.csdn.net/m0_46161993/article/details/104846792
https://blog.csdn.net/magictong/article/details/7391397

Psy_Hacker
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
喷射学习笔记~
weixin_30693183的博客
07-18 2019
分析网页上数据的存储: IE6 IE7 而言, 快速(在块大小与重复喷射次数之间找到平衡点), 稳定(每次喷射都能使目标地址指向NOPS) JS 上分配字符串 会变成 BSTR字符串对象,该对象有一个 头信息 + 终止符, 并包含原始字符串经UNICODE转换后的字符串 ...
喷射(Heap Spray)
墨鱼菜鸡
03-01 261
简而言之: 1.用途 一般用在浏览器,因为 Javascript 可以直接在上分配字符串。 2.如何喷射 js大量分段申请0c0c0c0c内存,每段后面跟shellcode0到0c0c0c0c总共不到200m碰...
探究喷射(heap spray)
weixin_30706507的博客
10-10 511
  博客园的自动保存系统真心不咋地,写的差不多的文章蓝屏之后就没有了,醉了!   浏览器是互联网世界最主要的软件之一,从IE6到IE11安全攻防在不断升级,防御措施的实施促使喷射技巧不断变化。写这篇博文想好好整理并实践一下这些年的喷射技巧。   文章主要参考《灰帽黑客》,近几年的安全大会的一些演说,一些安全团队的blog,当然由于水平有限,如有错误,欢迎指教。   1.Windows X...
溢出,喷射简介
kernweak的博客
11-21 4016
简介 上分配内存,就是比如malloc,就是从上把这块内存的链表,摘下来共我们使用。上自己是按桶的结构进行管理(一个hash表),从2^1,2^2,2^3,2^4.....,如果申请一个50字节内存,就从,2^6分配,64-50=14,有14个内存碎片。我们申请内存就是从这个内存表把某一个节点从这个双向链表摘掉。即 Node->bp->fp=Node->fp; ...
一种非喷射的IE浏览器漏洞利用技术研究
03-02
喷射漏洞利用技术是针对浏览器或操作系统存在的漏洞进行攻击的一种方法。喷射是一种常见的浏览器漏洞利用技术,攻击者通过在内存区域填充大量数据来实现攻击。这种技术依赖于浏览器或应用程序在处理内存时...
Exploit 编写系列教程第十一篇:喷射技术揭秘(上).part1.rar
08-07
Exploit 编写系列教程第十一篇:喷射技术揭秘(上).part1.rar
核电站一体式二级喷射泵的应用与设计方法.zip
03-27
在核电站运行,安全是首要考虑的因素,而喷射泵在核反应喷淋系统扮演着至关重要的角色。一体式二级喷射泵作为喷射泵的一种特殊形式,其应用与设计方法对于确保核电站的安全性和效率具有深远影响。 首先,让...
内存喷射在安卓Root利用
07-26
内存喷射是安全领域的一项技术,特别是在安卓系统的Root利用扮演着重要的角色。在深入了解内存喷射在安卓Root利用的应用之前,我们先来介绍几个相关概念,以便更好地理解内存喷射技术。 内存随机化机制是指...
Exploit 编写系列教程第十一篇:喷射技术揭秘(上).part2.rar
08-07
Exploit 编写系列教程第十一篇:喷射技术揭秘(上).part2.rar
喷射例子
最新发布
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
07-28 318
【代码】喷射的小例子。
基于CVE-2012-1889漏洞的喷射利用分析
wojiukanxia的博客
02-27 615
漏洞分析 分析环境 系统:Windows xp pro sp3 软件:IE 6.0,IE8.0 工具:x32dbg,windbg,mona,editplus,Notepad++ 获取poc 漏洞分析 漏洞复现 打开poc样本,使用x32dbg附加IE后,点击允许执行脚本 X32dbg捕获到异常断下 由于对js并不熟悉,这里仅做漏洞的利用学习,主要分析学习喷射...
linux通用内核,Linux内核通用喷射技术详解
weixin_28982257的博客
04-29 439
简介这个内核喷射技术曾经在beVX研讨会期间进行过相应的演示,之后,还曾被用于内核IrDA子系统(Ubuntu 16.04)的0day攻击。与已知的喷射不同,该技术适用于非常小的对象(大小不超过8或16字节)或需要控制前N个字节的对象(即目标对象没有不受控制的头部)。这种技术可以用来利用两个UAF内核漏洞,正如我在研讨会上提到的那样,“喷射”这个术语在利用UAF漏洞时并不适用,因为它通常不...
linux内核通用,Linux内核通用喷射技术详解
weixin_34259816的博客
04-29 270
简介这个内核喷射技术曾经在beVX研讨会期间进行过相应的演示,之后,还曾被用于内核IrDA子系统(Ubuntu 16.04)的0day攻击。与已知的喷射不同,该技术适用于非常小的对象(大小不超过8或16字节)或需要控制前N个字节的对象(即目标对象没有不受控制的头部)。这种技术可以用来利用两个UAF内核漏洞,正如我在研讨会上提到的那样,“喷射”这个术语在利用UAF漏洞时并不适用,因为它通常不...
演示Heap Spray(喷射)的原理
热门推荐
lixiangminghate的专栏
12-01 1万+
Heap Spray原理浅析 这篇文章应该是网上阐释喷原理最为详尽和易懂的一篇。唯一让我感到遗憾的是:文章结尾处给出的例子是基于javascript的,这对于我这种门外汉来说并不是一个很好的练功房。结合自己对文章的理解,在这给出c++版本的喷射演示代码。 #include #include class base { char m_buf[8]; public: int setBuf
二进制安全之——相关漏洞
PICACHU+++的博客
10-10 2573
主要是指用户动态申请的内存(如:调用malloc,alloc,alloca,new等函数)。glibc malloc源码有三种最基本的块数据结构,分别是heap_info,malloc_state,malloc_chunk。
mysql udp提权_linux内核提权系列教程(1):喷射函数sendmsg与msgsend利用
weixin_39875516的博客
02-07 305
本文从我的先知转过来。说明:实验所需的驱动源码、bzImage、cpio文件见我的github进行下载。本教程适合对漏洞提权有一定了解的同学阅读,具体可以看看我先知之前的文章,或者我的简书。一、 喷函数介绍在linux内核下进行喷射时,首先需要注意喷射块的大小,因为只有大小相近的块才保存在相同的cache。具体的cache块分布如下图:cache_distrubute.png本文的漏洞...
Heap Spray原理
m0_46161993的博客
03-13 1931
什么是Heap Spray?   喷射是在 shellcode 的前面加上大量的slide code(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得内存被大量的注入代码占据。然后通过结合其他漏洞控制程序流,使得程序执行到上,最终将导致shellcode的执行。   常见的slide code有NOP指令,还有一些类NOP指令,比如0x0c,0x0...
Heap Spray
guilanl的专栏
04-17 1047
Heap Spray 定义基本描述 Heap Spray 并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。 Heap Spray 是在 shellcode 的前面加上大量的 slide code (滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值