Windows内存漏洞--堆溢出漏洞的分析利用&格式化字符串漏洞及利用分析

最新推荐文章于 2024-04-15 15:49:43 发布
最新推荐文章于 2024-04-15 15:49:43 发布
阅读量613 收藏 4
点赞数 1
分类专栏: 系统安全 信息安全 基础知识 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/theglasssky/article/details/130914001
版权

堆的基本知识

  • 典型的栈变量包括函数内部的普通变量、数组等栈变量在使用时不需要额外的申请操作系统栈会根据函数中的变量声明自动在函数栈帧中给其预留空间 栈空间由系统维护,它的分配和回收都是由系统来完成的,最终达到栈平衡,所有这些对程序员来说都是透明的
  • 堆是一种在程序运行时动态分配的内存,所谓动态,是指所需内存的大小在程序设计时不能鱼线确定或内存过大无法在栈中进行分配,需要在程序运行时参考用户的反馈
  • 堆在使用时需要程序员使用专有的函数进行申请,如C语言中的malloc等,C++中的new运算符等都是最常见的分配堆内存的方法 堆内存申请有可能成功,也有可能失败,这与申请内存的大小、机器性能和当前运行环境有关
  • 一般用一个堆指针来使用申请得到的内存,读、写、释放都通过这个指针来完成。
  • 堆使用完毕后需要将堆指针传给堆释放函数以回收这片内存,否则会造成内存泄露 典型的释放方法包括free,delete等。

堆的结构

  • 现代操作系统中堆的数据结构一般包括堆块和堆表两类

  • 堆块:分为块首和块身,块首是一个堆块头部的几个字节,用于标识这个堆块自身的信息:本块的大小、本块是占用还是空闲等信息;块身:块身是紧跟在块首后面的部分,也是最终分配给用户使用的数据区

  • 空闲的堆块会被链入空链表中,由系统管理 而占有态的堆块会返回一个有程序员定义的句柄,由程序员管理

  • 堆表一般位于堆区的起始位置,用于索引堆区中所有堆块的重要信息,包括堆块的位置、大小等 在实现方面,可能使用平衡二叉树等高级数据结构

堆溢出漏洞及其利用

堆系统管理的三种方式:堆块分配、堆块释放、合并堆块
都是对堆链表的修改

DWORD Shoot

  • 堆溢出的精髓就是使用精心设计的数据来覆盖下一个堆块的块首,就是修改块首中的前向指针和后向指针,然后在分配、释放和合并等操作发生时伺机获得一次向内存地址写入任意数据段机会。这种机会被称为DWORD Shoot。这种情况发生时,不但可以控制射击的目标,还可以选用适当的目标数据 通过DWORD Shoot,攻击者可以进而劫持进程,运行shellcode。
node->blink->link = flink;
node->flink->blink = blink;

Heap Spray

是使用栈溢出和堆结合的一种技术,这种技术可以在很大程度上解决溢出攻击在不同版本不兼容的问题,并且可以减少对栈的破坏 缺陷在于只能在浏览器相关溢出中使用,但是相关思想却被广泛应用于其他类型攻击中

  • 这种技术的关键在于,首先将shellcode放置到堆中,然后在栈溢出时,控制函数执行流程,a跳转到堆中执行shellcode
  • 在一次漏洞利用过程中,关键是用传入的shellcode所在的位置去覆盖EIP。在实际攻击中,用什么覆盖EIP是可控的,但是这个值指向的地址是否有shellcode就很重要了假设地址A表示shellcode的起始地址 地址B表示在缓冲区溢出中用于覆盖的函数返回地址或者函数指针的值 因此如果B<A,而地址B到地址A之间如果有诸如nop这样的不改变程序状态的指令,那么在执行完B到A间的这些指令后,就可以继续执行shellcode。

格式化串漏洞

  • 格式化串漏洞的产生源于数据输出函数中对输出格式解析的缺陷,其根源也是C语言中不对数组边界进行检查的缓冲区错误
  • 例如printf函数,其进行格式化输出时,会根据格式化串中的格式化控制符在栈上取相应的参数,然后按照所需格式输出 ,如果函数调用给出的输出数据列表少于格式控制符的个数,甚至没有给出输出数据列表,系统仍然会按照格式化串中格式化控制符个数输出栈中的数据
#include<stdio.h>
int main(){
	int a=44,b=77;
	printf("a=%d,b=%d\n",a,b);
	printf("a=%d,b=%d \n");
	return 0;
}
  • 对于上述代码,第一个printf函数一切正常,输出结果为a=44,b=77
    第二个异常 a=4218928,b=44
    这是因为第二次调用的printf函数参数中缺少了输出数据列表部分,故只压入格式控制符参数,当栈上取与格式化控制符%d和%d对应的两个变量输出时,错误的把栈上其他数据当做a、b的值进行了输出

格式化串漏洞利用

  • 通过改变格式化串中的输出参数个数来修改指定地址的值:可以修改填充字符串的长度,也可修改填充字符串的宽度如%8d。
  • 通过改变格式化串中格式符的个数,调整格式符对应参数在栈中的位置,从而实现对栈中特定位置数据的修改 如果恰当的修改栈中函数的返回地址,那么就有可能实现程序执行流程的控制也可修改其他函数指针改变执行流程。相对于修改返回地址,改写指向异常处理程序的指针,然后引起异常,这种方法猜测地址的拿去比较小,成功率比较高

利用printf函数从内存中读取数据

#include<stdio.h>
int main(int argc,char **argv)
{
	printf(argv[1]);
}

利用printf向内存中写入数据

#include<stdio.h>
int main()
{
	int num = 0x61616161;
	printf("Before:num=%#x \n",num);
	printf("%.20d%n\n",num,&num);//将num的地址压入栈中
	printf("After:num=%#x \n",num);
	return 0;
}

格式化串漏洞是一类真实存在的危害较大的漏洞,但是对于栈溢出等漏洞而言案例并不多,而且由于形成的原因较为简单,只要通过静态扫描就能发现。

Theglassessky
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
例如,设置断点查看Canary,并通过格式化字符串漏洞来泄露Canary的值。在`printf`函数处下断点,利用格式化字符串的 `%n` 或其他方式来读取栈上的内存。通过计算偏移量,可以找出Canary相对于栈上其他已知地址的位置...
Windows内存漏洞——栈溢出漏洞及其利用分析
theglasssky的博客
05-25 785
windows系统中内存漏洞中关于栈溢出的部分
glibc 学习(一)-基础概念
weixin_44222568的博客
02-10 467
在程序运行过程中,可以提供动态分配的内存,允许程序申请大小未知的内存其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理的那部分程序为管理器。
漏洞学习笔记——溢出原理
谈成(C/C++)
04-14 3641
最近在学习溢出原理,但是查了网上和书上的一些讲解,总是感觉缺少一些关键点。所以理解起来总是有点晕,经过努力的调试分析后,总结了下面的更为详细的溢出原理。如果不准确的地方,希望大佬可以提醒一哈~ 1.的结构: struct _LIST_ENTRY{ DWORD Flink; DWORD Blink; } //空闲头结构 struct _HEAP_FREE_ENTRY{ union{ struct{ union{ struct { WORD Size;
Java内存泄漏概念、造成原因及检测方式(全)
码农研究僧的博客
10-12 4284
本身java有垃圾回收器GC,可以内存管理,但为什么还会造成内存泄漏(内存泄漏不等于内存溢出),内存泄漏在项目实战或者企业项目是不被允许,甚至在企业面试中也是常考的题型。
溢出利用
wangtiankuo的博客
10-10 1351
本文整理自《0day安全:软件漏洞分析技术》 1 2 代码 #include "stdafx.h" #include &lt;Windows.h&gt; int _tmain(int argc, _TCHAR* argv[]) { //HANDLE和HLOCAL 是 void* HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp=HeapCre...
格式化字符漏洞
IT_huanhuan的博客
05-25 1125
格式化字符串是由普通字符(包括%)和转换规则构成的字符序列。普通字符被原封不动地复制到输出流中。转换规则根据与实参对应的转换指示符对其进行转换,然后将结果写入到输出流中。转换规则由可选的部分和必选部分组成。其中只有转换指示符type是必选部分,用来表示转换类型。用 printf() 为例,它的第一个参数就是格式化字符串 :“Color %s,Number %d,Float %4.2f”然后 printf 函数会根据这个格式化字符串来解析对应的其他参数。
windows平台下的格式化字符串漏洞利用技术[整理].pdf
10-12
Windows平台下的格式化字符串漏洞利用技术》 格式化字符串漏洞是C语言编程中的一种安全问题,源于对用户输入的格式化字符串处理不当。在Windows平台上,这种漏洞可能导致程序崩溃或者执行恶意代码,严重威胁系统...
格式化字符串漏洞实验-内含源码以及设计说明书(可以自己运行复现).zip
最新发布
05-08
3. **代码执行**:在某些情况下,格式化字符串漏洞可以与溢出漏洞结合,使得攻击者能够覆盖返回地址,从而实现远程代码执行。 **二、实验步骤** 1. **源码分析**:首先,我们需要阅读提供的源码,理解程序的...
格式化字符串溢出
每昔的博客
07-29 9922
漏洞原理:        printf是c语言中少有的支持可变参数的库函数。对于可变参数的函数。函数的调用者可以自由的指定函数参数的数量和类型,被调用者无法知道在函数调用之前到底有多少参数被压入栈帧当中。        格式化字符串漏洞的产生根源主要源于对用户输入未进行过滤,这些输入数据都作为数据传递给某些执行格式化操作的函数,如printf,sprintf,vprintf,vprintf。恶...
格式化字符串漏洞原理理解
Ttw_
03-16 505
在X86结构下,格式化字符串的参数通过栈传递,根据cdecl的调用约定,在进入printf函数前,程序将参数从右往左依次压栈;使用多个%s当作printf的格式化字符串参数即可让程序触发崩溃,原因是%s会让printf从栈中获取一个数字并将其当作一个地址,当该数字不是一个地址时,或该地址受到保护,都会使程序触发崩溃。攻击者使用类似"%s"的格式规范就可以泄露出参数(指针)所指向内存的数据,如果攻击者可以操纵这个参数的值,那么就可以泄露任意地址的内容。我们可以通过%7$p来打印我们输入的一个双字的内容。
Windows平台下的溢出利用技术(二)(上篇)
weixin_33704234的博客
03-08 1207
lxj616 · 2014/05/06 16:270x00 背景开头我讨论了在旧版本Windows利用溢出的技术,试着给读者提供一些关于unlink过程是怎样执行的、以及freelist[n]里面的flink/blink是如何被攻击者控制并提供简单的任意“4字节写”操作 的 实用的知识。本文的主要目的是重新提醒自己(我很健忘)并且帮助安全专家获取对老版本windows(NT v5 及以下)管...
总结windows溢出的三种利用方式
老裴
12-11 1268
1.利用RtlAllocHeap 这是ISNO提到的,看这个例子 main (int argc, char *argv[]) {  char *buf1, *buf2;  char s[] = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa/x03/x00/x05/x00/x00/x01/x08/x00/x11/x11/x11/x11/x21/x21/x21/x21";  bu
windbg分析溢出
Jaylon的专栏
03-02 2190
本文实验的例子来自《windows高级调试》第6.2.2节,参考书中的方法进行。 1.通过windbg分析块 (1)在命令行运行程序,输入参数(输入超过10个字符),在出现如下提示的时候,使用windbg attach到该进程。 (2)按任意键继续执行,执行完后,程序崩溃到windbg,使用kb命令查看栈如下: (3)我们看到报的栈信息是在HeapFree函...
EIP & EBP & ESP
f413933206的专栏
12-20 7136
eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 汇编语言中CPU上的通用寄存器的名称,是32位的寄存器。如果用C语言来解释,可以把这些寄存器当作变量看待。比方说:add eax,-2 ;   //可以认为是给变量eax加上-2这样的一个值。这些32位寄存器有多种用途,但每一个都有“专长”,有各自的特别之处。EAX 是"累加器"(accumulator), 它是很多加法乘法指令的缺省寄存器。EBX 是"基地址"(base)寄存器, 在内存寻址时存放基地址。ECX 是计
【C/C++】常见问题之内存泄露
crr411422的博客
05-22 2816
C/C++是一种常见的编程语言,其直接管理内存的特性,使其更加容易出现内存泄漏问题。本篇博客将详细介绍C/C++中的内存泄漏问题,包括内存泄漏的概念、原因、影响以及预防内存泄漏的方法。
SpringBoot 未授权访问漏洞挖掘
菜鸟的自学之路
04-15 2727
HeapDump内存泄露漏洞复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值