| Windows内存漏洞--堆溢出漏洞的分析利用&格式化字符串漏洞及利用分析 | 您所在的位置:网站首页 › windows缓冲区溢出攻击 › Windows内存漏洞--堆溢出漏洞的分析利用&格式化字符串漏洞及利用分析 |
|
堆的基本知识
典型的栈变量包括函数内部的普通变量、数组等栈变量在使用时不需要额外的申请操作系统栈会根据函数中的变量声明自动在函数栈帧中给其预留空间 栈空间由系统维护,它的分配和回收都是由系统来完成的,最终达到栈平衡,所有这些对程序员来说都是透明的堆是一种在程序运行时动态分配的内存,所谓动态,是指所需内存的大小在程序设计时不能鱼线确定或内存过大无法在栈中进行分配,需要在程序运行时参考用户的反馈堆在使用时需要程序员使用专有的函数进行申请,如C语言中的malloc等,C++中的new运算符等都是最常见的分配堆内存的方法 堆内存申请有可能成功,也有可能失败,这与申请内存的大小、机器性能和当前运行环境有关一般用一个堆指针来使用申请得到的内存,读、写、释放都通过这个指针来完成。堆使用完毕后需要将堆指针传给堆释放函数以回收这片内存,否则会造成内存泄露 典型的释放方法包括free,delete等。
堆的结构
现代操作系统中堆的数据结构一般包括堆块和堆表两类 堆块:分为块首和块身,块首是一个堆块头部的几个字节,用于标识这个堆块自身的信息:本块的大小、本块是占用还是空闲等信息;块身:块身是紧跟在块首后面的部分,也是最终分配给用户使用的数据区 空闲的堆块会被链入空链表中,由系统管理 而占有态的堆块会返回一个有程序员定义的句柄,由程序员管理 堆表一般位于堆区的起始位置,用于索引堆区中所有堆块的重要信息,包括堆块的位置、大小等 在实现方面,可能使用平衡二叉树等高级数据结构 堆溢出漏洞及其利用堆系统管理的三种方式:堆块分配、堆块释放、合并堆块 都是对堆链表的修改 DWORD Shoot 堆溢出的精髓就是使用精心设计的数据来覆盖下一个堆块的块首,就是修改块首中的前向指针和后向指针,然后在分配、释放和合并等操作发生时伺机获得一次向内存地址写入任意数据段机会。这种机会被称为DWORD Shoot。这种情况发生时,不但可以控制射击的目标,还可以选用适当的目标数据 通过DWORD Shoot,攻击者可以进而劫持进程,运行shellcode。 node->blink->link = flink; node->flink->blink = blink; Heap Spray是使用栈溢出和堆结合的一种技术,这种技术可以在很大程度上解决溢出攻击在不同版本不兼容的问题,并且可以减少对栈的破坏 缺陷在于只能在浏览器相关溢出中使用,但是相关思想却被广泛应用于其他类型攻击中 这种技术的关键在于,首先将shellcode放置到堆中,然后在栈溢出时,控制函数执行流程,a跳转到堆中执行shellcode在一次漏洞利用过程中,关键是用传入的shellcode所在的位置去覆盖EIP。在实际攻击中,用什么覆盖EIP是可控的,但是这个值指向的地址是否有shellcode就很重要了假设地址A表示shellcode的起始地址 地址B表示在缓冲区溢出中用于覆盖的函数返回地址或者函数指针的值 因此如果B printf(argv[1]); } 利用printf向内存中写入数据 #include int main() { int num = 0x61616161; printf("Before:num=%#x \n",num); printf("%.20d%n\n",num,&num);//将num的地址压入栈中 printf("After:num=%#x \n",num); return 0; }格式化串漏洞是一类真实存在的危害较大的漏洞,但是对于栈溢出等漏洞而言案例并不多,而且由于形成的原因较为简单,只要通过静态扫描就能发现。 |
| CopyRight 2018-2019 实验室设备网 版权所有 |