Windows内存漏洞--堆溢出漏洞的分析利用&格式化字符串漏洞及利用分析

于 2023-05-28 17:57:03 发布
阅读量613 收藏 4
点赞数 1
分类专栏: 系统安全 信息安全 基础知识 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/theglasssky/article/details/130914001
版权

堆的基本知识

  • 典型的栈变量包括函数内部的普通变量、数组等栈变量在使用时不需要额外的申请操作系统栈会根据函数中的变量声明自动在函数栈帧中给其预留空间 栈空间由系统维护,它的分配和回收都是由系统来完成的,最终达到栈平衡,所有这些对程序员来说都是透明的
  • 堆是一种在程序运行时动态分配的内存,所谓动态,是指所需内存的大小在程序设计时不能鱼线确定或内存过大无法在栈中进行分配,需要在程序运行时参考用户的反馈
  • 堆在使用时需要程序员使用专有的函数进行申请,如C语言中的malloc等,C++中的new运算符等都是最常见的分配堆内存的方法 堆内存申请有可能成功,也有可能失败,这与申请内存的大小、机器性能和当前运行环境有关
  • 一般用一个堆指针来使用申请得到的内存,读、写、释放都通过这个指针来完成。
  • 堆使用完毕后需要将堆指针传给堆释放函数以回收这片内存,否则会造成内存泄露 典型的释放方法包括free,delete等。

堆的结构

  • 现代操作系统中堆的数据结构一般包括堆块和堆表两类

  • 堆块:分为块首和块身,块首是一个堆块头部的几个字节,用于标识这个堆块自身的信息:本块的大小、本块是占用还是空闲等信息;块身:块身是紧跟在块首后面的部分,也是最终分配给用户使用的数据区

  • 空闲的堆块会被链入空链表中,由系统管理 而占有态的堆块会返回一个有程序员定义的句柄,由程序员管理

  • 堆表一般位于堆区的起始位置,用于索引堆区中所有堆块的重要信息,包括堆块的位置、大小等 在实现方面,可能使用平衡二叉树等高级数据结构

堆溢出漏洞及其利用

堆系统管理的三种方式:堆块分配、堆块释放、合并堆块
都是对堆链表的修改

DWORD Shoot

  • 堆溢出的精髓就是使用精心设计的数据来覆盖下一个堆块的块首,就是修改块首中的前向指针和后向指针,然后在分配、释放和合并等操作发生时伺机获得一次向内存地址写入任意数据段机会。这种机会被称为DWORD Shoot。这种情况发生时,不但可以控制射击的目标,还可以选用适当的目标数据 通过DWORD Shoot,攻击者可以进而劫持进程,运行shellcode。
node->blink->link = flink;
node->flink->blink = blink;

Heap Spray

是使用栈溢出和堆结合的一种技术,这种技术可以在很大程度上解决溢出攻击在不同版本不兼容的问题,并且可以减少对栈的破坏 缺陷在于只能在浏览器相关溢出中使用,但是相关思想却被广泛应用于其他类型攻击中

  • 这种技术的关键在于,首先将shellcode放置到堆中,然后在栈溢出时,控制函数执行流程,a跳转到堆中执行shellcode
  • 在一次漏洞利用过程中,关键是用传入的shellcode所在的位置去覆盖EIP。在实际攻击中,用什么覆盖EIP是可控的,但是这个值指向的地址是否有shellcode就很重要了假设地址A表示shellcode的起始地址 地址B表示在缓冲区溢出中用于覆盖的函数返回地址或者函数指针的值 因此如果B<A,而地址B到地址A之间如果有诸如nop这样的不改变程序状态的指令,那么在执行完B到A间的这些指令后,就可以继续执行shellcode。

格式化串漏洞

  • 格式化串漏洞的产生源于数据输出函数中对输出格式解析的缺陷,其根源也是C语言中不对数组边界进行检查的缓冲区错误
  • 例如printf函数,其进行格式化输出时,会根据格式化串中的格式化控制符在栈上取相应的参数,然后按照所需格式输出 ,如果函数调用给出的输出数据列表少于格式控制符的个数,甚至没有给出输出数据列表,系统仍然会按照格式化串中格式化控制符个数输出栈中的数据
#include<stdio.h>
int main(){
	int a=44,b=77;
	printf("a=%d,b=%d\n",a,b);
	printf("a=%d,b=%d \n");
	return 0;
}
  • 对于上述代码,第一个printf函数一切正常,输出结果为a=44,b=77
    第二个异常 a=4218928,b=44
    这是因为第二次调用的printf函数参数中缺少了输出数据列表部分,故只压入格式控制符参数,当栈上取与格式化控制符%d和%d对应的两个变量输出时,错误的把栈上其他数据当做a、b的值进行了输出

格式化串漏洞利用

  • 通过改变格式化串中的输出参数个数来修改指定地址的值:可以修改填充字符串的长度,也可修改填充字符串的宽度如%8d。
  • 通过改变格式化串中格式符的个数,调整格式符对应参数在栈中的位置,从而实现对栈中特定位置数据的修改 如果恰当的修改栈中函数的返回地址,那么就有可能实现程序执行流程的控制也可修改其他函数指针改变执行流程。相对于修改返回地址,改写指向异常处理程序的指针,然后引起异常,这种方法猜测地址的拿去比较小,成功率比较高

利用printf函数从内存中读取数据

#include<stdio.h>
int main(int argc,char **argv)
{
	printf(argv[1]);
}

利用printf向内存中写入数据

#include<stdio.h>
int main()
{
	int num = 0x61616161;
	printf("Before:num=%#x \n",num);
	printf("%.20d%n\n",num,&num);//将num的地址压入栈中
	printf("After:num=%#x \n",num);
	return 0;
}

格式化串漏洞是一类真实存在的危害较大的漏洞,但是对于栈溢出等漏洞而言案例并不多,而且由于形成的原因较为简单,只要通过静态扫描就能发现。

Theglassessky
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
溢出漏洞简介
这里没人
05-14 8316
简介 这次来介绍一下溢出漏洞。不过这次的溢出漏洞比较复杂,不像栈溢出一样容易理解。所以这一次的内容会比较多。我尽量详细的介绍溢出漏洞,以及相关的知识。 首先,关于神马是溢出。简而言之就是在上产生的溢出。一般我们使用malloc等函数申请的内存都会储存在段上。并且由操作系统来管理已经使用和剩余内存,完成内存分配以及回收等等的操作。而溢出便是因为程序员的粗心大意,造成了读入的数据超过...
溢出利用
4ct10n
05-02 6471
的工作原理与利用
Windows内存漏洞——栈溢出漏洞及其利用分析
theglasssky的博客
05-25 785
windows系统中内存漏洞中关于栈溢出的部分
格式化字符串漏洞原理理解
Ttw_
03-16 505
在X86结构下,格式化字符串的参数通过栈传递,根据cdecl的调用约定,在进入printf函数前,程序将参数从右往左依次压栈;使用多个%s当作printf的格式化字符串参数即可让程序触发崩溃,原因是%s会让printf从栈中获取一个数字并将其当作一个地址,当该数字不是一个地址时,或该地址受到保护,都会使程序触发崩溃。攻击者使用类似"%s"的格式规范就可以泄露出参数(指针)所指向内存的数据,如果攻击者可以操纵这个参数的值,那么就可以泄露任意地址的内容。我们可以通过%7$p来打印我们输入的一个双字的内容。
windbg分析溢出
Jaylon的专栏
03-02 2190
本文实验的例子来自《windows高级调试》第6.2.2节,参考书中的方法进行。 1.通过windbg分析块 (1)在命令行运行程序,输入参数(输入超过10个字符),在出现如下提示的时候,使用windbg attach到该进程。 (2)按任意键继续执行,执行完后,程序崩溃到windbg,使用kb命令查看栈如下: (3)我们看到报的栈信息是在HeapFree函...
上的格式化字符串漏洞
qq_36495104的博客
05-27 1097
上构造栈帧,然后将栈迁移到上, 栈帧如下 system_addr bbbb binsh_addr
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
例如,设置断点查看Canary,并通过格式化字符串漏洞来泄露Canary的值。在`printf`函数处下断点,利用格式化字符串的 `%n` 或其他方式来读取栈上的内存。通过计算偏移量,可以找出Canary相对于栈上其他已知地址的位置...
windows平台下的格式化字符串漏洞利用技术[整理].pdf
10-12
Windows平台下的格式化字符串漏洞利用技术》 格式化字符串漏洞是C语言编程中的一种安全问题,源于对用户输入的格式化字符串处理不当。在Windows平台上,这种漏洞可能导致程序崩溃或者执行恶意代码,严重威胁系统...
格式化字符串漏洞实验-内含源码以及设计说明书(可以自己运行复现).zip
最新发布
05-08
3. **代码执行**:在某些情况下,格式化字符串漏洞可以与溢出漏洞结合,使得攻击者能够覆盖返回地址,从而实现远程代码执行。 **二、实验步骤** 1. **源码分析**:首先,我们需要阅读提供的源码,理解程序的...
《0day安全》溢出利用(下)——代码植入
sunr_的博客
08-25 484
《0day2》溢出利用(下)——代码植入 常用狙击目标(xp sp1前) 与栈溢出中的“地毯式轰炸”不同,溢出更加精准,往往直接狙击重要目标。精准是DWORD SHO OT 的优点,但“火力不足”有时也会限制溢出利用,这样就需要选择最重要的目标用来“狙击”。 &emps;1.内存变量:修改能够影响程序执行的重要标志变量,往往可以改变程序流程。(比如改了绕过身份验证) &emps;2.代码逻辑:修改代码段重要函数的关键逻辑有时可以达到一定攻击效果。(例如,程序分支处的判断逻辑,或者把
最简单的一个溢出攻击实例 (2) [by Progsoft]
ProgSoft
11-22 1900
下面我们以Release版本为例,解剖程序。将exe反汇编得到关键代码如下:函数ShowComputerName:   00401030: 8B 4C 24 04        mov         ecx,dword ptr [esp+4]  00401034: 83 EC 0C           sub         esp,0Ch  00401037: 8D 44 24
windows溢出利用的七种方式
u011809276的专栏
11-02 1262
文本由 www.169it.com 收集 windows下的溢出攻击和unix下的,原理基本相同。但是,由于windows用户进程地址空间分配和栈处理有其独立的特点,导致了windows 环境下溢出攻击时,使用的溢出字符串,与unix下的,区别很大。另外,windows的版本也导致了windows下的exploit不具有通用性。windows版本不同,而exploit使用了很多
(59.1)【windows提权】系统内核溢出漏洞提权:原理、利用过程、利用工具
05-25 1399
【提权】系统内核溢出漏洞
格式化字符串漏洞
qq_43674956的博客
02-02 368
格式化字符串漏洞 ​ 可变参数函数 有些函数的参数是变化的,是不确定个数的,比如格式化字符函数中的printf,后面可以有n个参数 如何使用这些可变参数 printf的实现中采用了stdarg.h头文件中的宏定义。 初始化va_list指针,它用来指向可变参数,初始化为第一个参数位置。 在printf中,根据匹配的格式字符来决定自己的移动字节数,如%d就动4字节,%d就8字节,这样来找到下一个参数的位置 隐藏的危险 当匹配的格式字符串,交由用户输入,或者有部分用户输入,那格式字符多于实际传入参数的数目后,就
windows内存分配函数比较
chenzhongjing的专栏
08-07 1236
GlobalAlloc/LocalAlloc: 在16位Windows中是有区别的,因为在16位windows用一个全局和局部来管理内存,每一个应用程序或dll装入内存时,代码段被装入全局,而系统又为每个实例从全局中分配了一个64kb的数据段作为该实例的局部,用来存放应用程序的栈和所有全局或静态变量。 而LocalAlloc/GlobalAlloc就是分别用于在局部或全局中分配内
溢出漏洞攻击原理及防护技术
wei.zhou的专栏
08-12 8093
文/H3C攻防研究团队 现阶段的安全漏洞种类很多,包括大家熟悉的SQL注入漏洞、缓存溢出漏洞、XSS跨站脚本漏洞等。而栈溢出漏洞作为缓冲区溢出漏洞的一种特定的表现形式,在现实网络环境中比较普遍。本文将从栈溢出漏洞的原理、攻击形式及防护方法等方面进行介绍 一、 栈溢出漏洞的原理 栈溢出(Stack Overflow)是在网络与分布式系统中被广泛利用的一种漏洞类型。在汇编中,以线程为线索的指令执
微软NTLM协议曝出巨大漏洞,现有安全保护措施也无用!
systemino的博客
06-12 714
近日Preempt研究小组发现了两个关键的微软漏洞,这两个漏洞都和三个NTLM中的逻辑漏洞有关,这些漏洞允许攻击者在任何Windows计算机上远程执行恶意代码,或对支持Windows集成身份验证(WIA)的任何web服务器(如Exchange或ADFS)进行身份验证。根据测试,目前所有 Windows 版本都会受到这两个漏洞影响。更糟糕的是,这两个漏洞可绕过微软此前已部署的所有安全保护措施。 ...
漏洞利用原理(高级)
wk19951125的博客
08-29 501
保护保护机制的原理攻击中存储的变量利用chunk重设大小攻击利用Lookaside表进行溢出参考文献 保护机制的原理 微软在中添加的安全校验操作: PEB random Safe Unlink:改写了操作双向链表的代码,在XP SP2后会提前验证块前向指针和后向指针的完整性 Heap Cookie:类似于Security Cookie 元数据加密:块首中的一些重要数据在保存时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值