Windows内存漏洞--堆溢出漏洞的分析利用&格式化字符串漏洞及利用分析

堆的基本知识

  • 典型的栈变量包括函数内部的普通变量、数组等栈变量在使用时不需要额外的申请操作系统栈会根据函数中的变量声明自动在函数栈帧中给其预留空间 栈空间由系统维护,它的分配和回收都是由系统来完成的,最终达到栈平衡,所有这些对程序员来说都是透明的
  • 堆是一种在程序运行时动态分配的内存,所谓动态,是指所需内存的大小在程序设计时不能鱼线确定或内存过大无法在栈中进行分配,需要在程序运行时参考用户的反馈
  • 堆在使用时需要程序员使用专有的函数进行申请,如C语言中的malloc等,C++中的new运算符等都是最常见的分配堆内存的方法 堆内存申请有可能成功,也有可能失败,这与申请内存的大小、机器性能和当前运行环境有关
  • 一般用一个堆指针来使用申请得到的内存,读、写、释放都通过这个指针来完成。
  • 堆使用完毕后需要将堆指针传给堆释放函数以回收这片内存,否则会造成内存泄露 典型的释放方法包括free,delete等。

堆的结构

  • 现代操作系统中堆的数据结构一般包括堆块和堆表两类

  • 堆块:分为块首和块身,块首是一个堆块头部的几个字节,用于标识这个堆块自身的信息:本块的大小、本块是占用还是空闲等信息;块身:块身是紧跟在块首后面的部分,也是最终分配给用户使用的数据区

  • 空闲的堆块会被链入空链表中,由系统管理 而占有态的堆块会返回一个有程序员定义的句柄,由程序员管理

  • 堆表一般位于堆区的起始位置,用于索引堆区中所有堆块的重要信息,包括堆块的位置、大小等 在实现方面,可能使用平衡二叉树等高级数据结构

堆溢出漏洞及其利用

堆系统管理的三种方式:堆块分配、堆块释放、合并堆块
都是对堆链表的修改

DWORD Shoot

  • 堆溢出的精髓就是使用精心设计的数据来覆盖下一个堆块的块首,就是修改块首中的前向指针和后向指针,然后在分配、释放和合并等操作发生时伺机获得一次向内存地址写入任意数据段机会。这种机会被称为DWORD Shoot。这种情况发生时,不但可以控制射击的目标,还可以选用适当的目标数据 通过DWORD Shoot,攻击者可以进而劫持进程,运行shellcode。
node->blink->link = flink;
node->flink->blink = blink;

Heap Spray

是使用栈溢出和堆结合的一种技术,这种技术可以在很大程度上解决溢出攻击在不同版本不兼容的问题,并且可以减少对栈的破坏 缺陷在于只能在浏览器相关溢出中使用,但是相关思想却被广泛应用于其他类型攻击中

  • 这种技术的关键在于,首先将shellcode放置到堆中,然后在栈溢出时,控制函数执行流程,a跳转到堆中执行shellcode
  • 在一次漏洞利用过程中,关键是用传入的shellcode所在的位置去覆盖EIP。在实际攻击中,用什么覆盖EIP是可控的,但是这个值指向的地址是否有shellcode就很重要了假设地址A表示shellcode的起始地址 地址B表示在缓冲区溢出中用于覆盖的函数返回地址或者函数指针的值 因此如果B<A,而地址B到地址A之间如果有诸如nop这样的不改变程序状态的指令,那么在执行完B到A间的这些指令后,就可以继续执行shellcode。

格式化串漏洞

  • 格式化串漏洞的产生源于数据输出函数中对输出格式解析的缺陷,其根源也是C语言中不对数组边界进行检查的缓冲区错误
  • 例如printf函数,其进行格式化输出时,会根据格式化串中的格式化控制符在栈上取相应的参数,然后按照所需格式输出 ,如果函数调用给出的输出数据列表少于格式控制符的个数,甚至没有给出输出数据列表,系统仍然会按照格式化串中格式化控制符个数输出栈中的数据
#include<stdio.h>
int main(){
	int a=44,b=77;
	printf("a=%d,b=%d\n",a,b);
	printf("a=%d,b=%d \n");
	return 0;
}
  • 对于上述代码,第一个printf函数一切正常,输出结果为a=44,b=77
    第二个异常 a=4218928,b=44
    这是因为第二次调用的printf函数参数中缺少了输出数据列表部分,故只压入格式控制符参数,当栈上取与格式化控制符%d和%d对应的两个变量输出时,错误的把栈上其他数据当做a、b的值进行了输出

格式化串漏洞利用

  • 通过改变格式化串中的输出参数个数来修改指定地址的值:可以修改填充字符串的长度,也可修改填充字符串的宽度如%8d。
  • 通过改变格式化串中格式符的个数,调整格式符对应参数在栈中的位置,从而实现对栈中特定位置数据的修改 如果恰当的修改栈中函数的返回地址,那么就有可能实现程序执行流程的控制也可修改其他函数指针改变执行流程。相对于修改返回地址,改写指向异常处理程序的指针,然后引起异常,这种方法猜测地址的拿去比较小,成功率比较高

利用printf函数从内存中读取数据

#include<stdio.h>
int main(int argc,char **argv)
{
	printf(argv[1]);
}

利用printf向内存中写入数据

#include<stdio.h>
int main()
{
	int num = 0x61616161;
	printf("Before:num=%#x \n",num);
	printf("%.20d%n\n",num,&num);//将num的地址压入栈中
	printf("After:num=%#x \n",num);
	return 0;
}

格式化串漏洞是一类真实存在的危害较大的漏洞,但是对于栈溢出等漏洞而言案例并不多,而且由于形成的原因较为简单,只要通过静态扫描就能发现。

  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值