代码
#include <windows.h>
main()
{
HLOCAL h1, h2,h3,h4,h5,h6;
HANDLE hp;
hp = HeapCreate(0,0x1000,0x10000);
h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
h4 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
h5 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
h6 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
_asm int 3//break the process
HeapFree(hp,0,h1);
HeapFree(hp,0,h3);
HeapFree(hp,0,h5);
_asm int 3
h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
return 0;
}
实验目的
简单理解DWORD SHOOT
实验准备
环境:windows xp
编译器:vc++
调试器:OD
实验过程
1.根据之前动调空表的经验直接找到申请的堆块的位置,六块申请了8个字节的空间,算上堆头8个字节,就相当于六块16个字节的内存,直接从尾块上面“切”下来。
2.释放奇数位的堆块,防止堆块合并
发现h1,h3,h5都链入了Freelist[2]
此时堆块的占用状况
| NAME | Flag | 向前指针 | 向后指针 |
|---|---|---|---|
| h1 | 1 占用态 | 0x003a06a8 (h3) | 0x003a0188(Freelist[2]) |
| h2 | 0 空闲态 | NULL | NULL |
| h3 | 1 占用态 | 0x003a06c8 (h5) | 0x003a0688(h1) |
| h4 | 0 空闲态 | NULL | NULL |
| h5 | 1 占用态 | 0x003a0188(Freelist[2]) | 0x003a06a8 (h3) |
| h6 | 0 空闲态 | NULL | NULL |
如果这时候对某一串数据的向前指针或是向后指针进行修改,那么就能使自己的shellcode成功的载入进程序里面.
例如将h3中的后向指针改为0x12345678前向指针改成0x11111111,那么最后执行链表拆卸的时候就是把0x12345678指向的东西移到前向指针的位置上。如果把这些地址换成shellcode的地址就成功装入程序了。
实际上堆块的分配、释放、合并操作都能引发 DWORD SHOOT,因为都涉及到了链表,只要修改指针就能导入恶意代码。
摘抄《0day安全》
这本书简单的介绍了一下溢出的攻击方式,感觉介绍的也比较全面,所以直接摘抄一手。
(1)内存变量:修改能够影响程序执行的重要标志变量,往往可以改变程序流程。例如,更改身份验证函数的返回值就可以直接通过认证机制。栈溢出时溢出的数据必须连续,而 DWORD SHOOT 可以更改内存中任意地址的数据。
(2)代码逻辑:修改代码段重要函数的关键逻辑有时可以达到一定攻击效果,例如,程序分支处的判断逻辑,或者把身份验证函数的调用指令覆盖为 0x90(nop)。
(3)函数返回地址:栈溢出通过修改函数返回地址能够劫持进程,堆溢出也一样可以利用DWORD SHOOT 更改函数返回地址。但由于栈帧移位的原因,函数返回地址往往是不固定的,甚至在同一操作系统和补丁版本下连续运行两次栈状态都会有不同,故 DWORD SHOOT 在这种情况下有一定局限性,因为移动的靶子不好瞄准。
(4)攻击异常处理机制:当程序产生异常时,Windows 会转入异常处理机制。堆溢出很容易引起异常,因此异常处理机制所使用的重要数据结构往往会成为 DWORD SHOOT 的上等目标,这包括 S.E.H、F.V.E.H、进程环境块中的 U.E.F 、线程环境块中存放的第一个S.E.H 指针。
(5)函数指针:系统有时会使用一些函数指针,比如调用动态链接库中的函数、C++中的虚函数调用等。改写这些函数指针后,在函数调用发生后往往可以成功地劫持进程。但可惜的是,不是每一个漏洞都可以使用这项技术,这取决于软件的开发方式。
(6)P.E.B 中线程同步函数的入口地址:天才的黑客们发现在每个进程的 P.E.B 中都存放着一对同步函数指针,指向 RtlEnterCriticalSection()和 RtlLeaveCriticalSection(),并且在进程退出时会被 ExitProcess()调用。如果能够通过 DWORD SHOOT 修改这对指针中的其中一个,那么在程序退出时 ExitProcess()将会被骗去调用我们的 shellcode。由于 P.E.B 的位置始终不会变化,这对指针在 P.E.B 中的偏移也始终不变,这使得利用堆溢出开发适用于不同操作系统版本和补丁版本的 exploit 成为可能。这种方法一经提出就立刻成为了 Windows 平台下堆溢出利用的最经典方法之一,因为静止的靶子比活动的靶子好打得多,我们只需要把枪架好,闭着眼睛扣扳机就是了。