HeapSpray原理演示

最新推荐文章于 2021-03-01 17:37:55 发布
最新推荐文章于 2021-03-01 17:37:55 发布
阅读量1.9k 收藏 3
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/andy7002/article/details/72834644
本文详细介绍了HeapSpray技术的工作原理及其应用实例。通过构造含有大量滑板指令的代码段并填充到进程的堆内存中,结合特定的漏洞攻击手段,使程序执行转向自定义的ShellCode,从而实现远程代码执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 前言

Heap Spray是一种通过比较巧妙的方式控制堆上数据,继而把程序控制流导向ShellCode的古老艺术。

在shellcode的前面加上大量的slidecode(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他的漏洞攻击技术控制程序流,使得程序执行到堆上,最终将导致shellcode的执行。

传统slide code(滑板指令)一般是NOP指令,但是随着一些新的攻击技术的出现,逐渐开始使用更多的类NOP指令,譬如0x0C(0x0C0C代表的x86指令是OR AL 0x0C),0x0D等等,不管是NOP还是0C,他们的共同特点就是不会影响shellcode的执行。

Heap Spray只是一种辅助技术,需要结合其他的栈溢出或堆溢出等等各种溢出技术才能发挥作用。

这里以溢出局部变量覆盖对象指针的方式来演示其原理。


0x01 准备

a. 关闭vs2015的优化和securitycheck


 

0x02  运行

a. 代码

#include"stdafx.h"

#include<windows.h> 

#include<stdio.h> 

 

#defineMAGICCODE"000000000000\x0c\x0c\x0c\x0c"

 

classfactory

{

    char m_buf[8];

public:

 

    virtual int factoryCreate1()

    {

        printf("%s\n", "factoryInit1");

        return0;

    }

    virtual int factoryCreate2()

    {

        printf("%s\n", "factoryInit2");

        return0;

    }

};

 

/*

*   溢出局部变量,并利用HeapSpray执行自定义的shellcode

*/

void spray1()

{

    unsignedint bufLen = 0xffffffff;

   

    factory*factoryObj =newfactory;

 

    memcpy(&bufLen, MAGICCODE,sizeof(MAGICCODE)-1);

    factoryObj->factoryCreate1();

 

    return;

}

 

/*

*   申请200M堆空间

*/

void spray0()

{

    unsigned int bufLen = 200 * 1024 * 1024;

    DWORD dwOld = 0;

 

    char*spray = new char[bufLen];


    memset(spray, 0x0c, sizeof(char)*bufLen);

    memset(spray + bufLen - 0x10, 0xcc,0x10);           //写入自定义的shellcode,即0xcc

 

    VirtualProtect(spray, bufLen, PAGE_EXECUTE, &dwOld); // 设置堆内存可执行代码

 

    return;

}

 

int main()

{

    spray0();

    spray1();

    return0;

}

b.运行代码

执行spray0(),地址0x0c0c0c0c内容被成功修改


断点下在溢出前


根据ida识别的局部变量,在bufLen后第3个DWORD为factoryObj,中间2个DWORD为垃圾数据,可以覆盖。

验证一下找的factoryObj正确与否,windbg自动识别出了factoryCreate1源码,说明factoryObj是正确的。


F10单步步过执行溢出代码


在执行factoryObj->factoryCreate1()这句时,会解析0x0c0c0c0c0c指向对象的虚表,并尝试执行虚表里第一个虚函数。


第一个虚函数的地址为0x0c0c0c0c, 所以eip会指向0x0c0c0c0c, 开始执行代码,前面slidecode都为or al,0cH(0c0c), 该指令不会影响shellcode,所以代码会一直执行到我们自定义的shellcode,至此目标完成。

 

0x03 小结

     为了绕过操作系统的一些安全保护,使用较多的攻击技术是覆盖虚函数指针(这是一个多级指针),这种情况下,slidecode选取就比较讲究了,如果你依然使用0x90来做slidecode,而用0x0C0C0C0C去覆盖虚函数指针,那么现在的虚表(假虚表)里面全是0x90909090,程序跑到0x90909090(内核空间)去执行,直接就crash了。

结合虚函数,0x0C0C0C0C即作为地址,也作为opcode,体现了漏洞利用的艺术性。

 

0x04 参考文献

Heap Spray原理浅析 http://blog.youkuaiyun.com/magictong/article/details/7391397

 

演示Heap Spray(堆喷射)的原理 http://blog.youkuaiyun.com/lixiangminghate/article/details/53413863

andy7002
关注
C++ 堆喷射(Heap Spray):攻击技术与防御机制
weixin_41455464的博客
07-08 972
但是,堆喷射就像是,你不管三七二十一,拿着一模一样的图纸,在空地上到处乱盖房子,盖得密密麻麻,希望其中一栋房子正好能盖在你想要的位置上。攻击者希望这些恶意代码能够占据特定的内存地址,这样,当程序试图跳转到这些地址执行代码时,就会执行攻击者的恶意代码,从而达到攻击的目的。堆喷射是一种常见的攻击技术,虽然听起来很复杂,但只要理解了它的原理,就可以采取相应的防御措施。咱们来用 C++ 写一个简单的堆喷射示例,虽然这个示例不会真的执行恶意代码,但可以帮助你理解堆喷射的原理。既然堆喷射这么厉害,那我们该如何防御呢?
堆(Heap)的原理与C++实现
Lostgreen的博客
02-05 1651
堆(Heap)是一种特殊的树形数据结构,通常用于实现优先队列。最大堆(Max Heap):每个节点的值都大于或等于其子节点的值。最小堆(Min Heap):每个节点的值都小于或等于其子节点的值。堆通常是一个完全二叉树,这意味着除了最后一层,其他层都是完全填满的,并且最后一层的节点都尽可能地靠左排列。堆是一种非常高效的数据结构,特别适用于需要频繁获取最大或最小元素的场景。通过数组实现堆,可以充分利用其完全二叉树的性质,使得插入、删除和构建堆的操作都能在 O(log n) 的时间内完成。
《0day安全》 MS06-055 分析: 实战 Heap Spray
weixin_50287973的博客
10-14 273
MS06-055 简介 MS06-055 指的是 IE 在解析 VML 标记语言时存在的基于栈的缓冲区溢出漏洞。 漏洞分析 引起栈溢出的是 IE 的核心组件 vgx.dll。 vgx.dll is a module associated with Microsoft Vector Graphics Rendering(VML) from Microsoft Corporation. 引起漏洞的函数是 SHADETYPE_TEXT::TEXT(ushort co nst * ,in t),它会将页面中<
Heap Spray原理浅析
热门推荐
magictong的专栏
03-24 3万+
Heap Spray原理浅析 Magictong 2012/03   摘要:本文主要介绍Heap Spray的基本原理和特点、以及防范技术。 关键词:Heap Spray、溢出攻击、漏洞利用、堆溢出   Heap Spray定义基本描述 Heap Spray并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。Heap Spray是在sh
Heap Spray 技术
tony的专栏
10-25 1359
Heap Spray 技术 1、堆喷射堆块大小 ≈ 程序堆块分配大小,以减小堆空隙大小。 2、不能使用堆缓存块,否则可能破坏地址的可预测性,可通过申请6块相应大小的堆块来清空缓存。 3、精确定位ROP地址,目标地址如0x0c0c0c0c至堆块数据起始地址的offset = ( 0x0c0c0c0c - UserP
Heap Spray
guilanl的专栏
04-17 1174
Heap Spray 定义基本描述 Heap Spray 并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。 Heap Spray 是在 shellcode 的前面加上大量的 slide code (滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他
【Kernel】漏洞利用技术 Heap Spray检测方法研究
think_ycx的专栏
10-09 533
看文章如果没有点产出,过个一两天可能啥都不记得了。于是就有了这篇水文。 paper下载地址:http://www.wanfangdata.com.cn/details/detail.do?_type=perio&amp;id=xxaqytxbm201206032 这篇paper很短,只有三页,来自上海交通大学信息工程学院,总结了三种heap spray的检测方法。 最早,skylined 2...
Linux_Android_内核_Heap_Spray_的几种姿势.pdf
08-08
Linux和Android内核的Heap Spray技术是一种常见的攻击技术,它主要利用了内存管理中的一些漏洞,通过在内存中喷射大量的数据,来覆盖特定的内存地址,从而达到获取系统权限等目的。 首先,我们需要对Linux和Android...
JVM GC原理, heapsize调优
10-19
在JVM GC原理和heapsize调优的学习和实践过程中,需要理解多个关键概念和操作步骤,下面详细展开: 1. 垃圾回收机制的理解 在Java中,当对象不再被引用时,它们应该被垃圾回收器回收。GC机制基于几个关键概念工作,...
Heap Sort 的原理及Python实现
weixin_37621790的博客
01-29 1762
1.Heap表示方法 满足以下性质的二叉树Binary Tree可以成为Binary Heap: Complete Tree:所有的层都是完全的,除了最后一层,且最后一层的叶子靠左。 Min Heap or Max Heap:根节点是最大值或者最小值,而且这个性质对于任何递归得到的子树都成立。 Binary Heap通常使用array表示: 根节点在array[0]; array[(i-1)...
Exploit 编写系列教程--堆喷射技术揭秘
04-15
英文文档翻译而来,详细描述了堆喷射技术的原理与应用,附带几个实例。
堆喷射(Heap Spray)
LYSM
03-01 1161
简而言之: 1.用途 一般用在浏览器,因为 Javascript 可以直接在堆上分配字符串。 2.如何堆喷射 js中大量分段申请0c0c0c0c内存,每段后面跟shellcode 0到0c0c0c0c总共不到200m 碰运气覆盖一个函数指针 这个函数被调用的时候就会跳到0c0c0c0c处执行 0c对应汇编指令or al,0c 然后一直往下执行 到达shellcode… 原理参考: https://blog.youkuaiyun.com/lixiangminghate/article/details/53413863
探究堆喷射(heap spray)
weixin_30706507的博客
10-10 580
  博客园的自动保存系统真心不咋地,写的差不多的文章蓝屏之后就没有了,醉了!   浏览器是互联网世界最主要的软件之一,从IE6到IE11安全攻防在不断升级,防御措施的实施促使堆喷射技巧不断变化。写这篇博文想好好整理并实践一下这些年的堆喷射技巧。   文章主要参考《灰帽黑客》,近几年的安全大会的一些演说,一些安全团队的blog,当然由于水平有限,如有错误,欢迎指教。   1.Windows X...
Heap Spray原理
m0_46161993的博客
03-13 2235
什么是Heap Spray?   堆喷射是在 shellcode 的前面加上大量的slide code(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得内存被大量的注入代码占据。然后通过结合其他漏洞控制程序流,使得程序执行到堆上,最终将导致shellcode的执行。   常见的slide code有NOP指令,还有一些类NOP指令,比如0x0c,0x0...
传统的Heap Spray(转)
strongxu的专栏
11-26 2167
传统的Heap Spray是使用js分配内存。根据heap spray的思想,就是用同样的一个指令,去覆盖一片大内存地址,在每块分配到的内存最后,都付上我们的shellcode。     对这个指令的要求是,相当于NOPS的作用。且该指令指向的地址,正好落在我们覆盖的这片大存在地址中。     上面说的可能有些绕口,在实际exploit中,就是分配这样的一片内存区域,比如 0B270
windows环境下的heap spray+stack pivot gadget 实现绕过dep
weixin_30568715的博客
07-31 167
ASLR+DEP是windows平台下最为常见的两种保护手段。这两种手段使得最基础的jmp esp等手法不再适用,而单纯的堆喷也会因为堆内存不可执行而失效。那么这里就来介绍一下heap spray+stack pivot,我一般称为堆喷+换栈的手法。堆喷是一个较为经典的漏洞利用方法,比如我们通过一个内存破坏类漏洞控制了一个对象的内存内容,那么我们就可以构造伪虚表来把程序的执行流程控制到我们的手中...
通用网页/ie 0day溢出heapspray(spray heap)挂马技术研究/分析与注释/解释
lionzl的专栏
07-07 2230
通用网页/ie 0day溢出heapspray(spray heap)挂马技术研究/分析与注释/解释 var shellcode = unescape("%u9090%u9090%u9090%u9090" + "%u68fc%u0a6a%u1e38%u6368%ud189%u684f%u7432%u0c91" + "%uf48b%u7e8d%u33f4%ub7db%u2b0
java heap转储原理
最新发布
04-02
### Java Heap Dump 的工作原理及生成机制 #### 1. **Heap Dump 定义** Heap Dump 是 JVM 在某一时刻内存使用情况的快照,它记录了当前堆中所有的对象及其引用关系。通过分析 Heap Dump 文件,开发人员可以深入了解应用程序的内存分配状况,识别潜在的内存泄漏问题以及优化内存使用效率。 这种文件通常用于调试和性能调优场景下,能够帮助开发者定位哪些对象占用了过多内存或者是否存在未释放的对象引用[^1]。 #### 2. **Heap Dump 的组成结构** Heap Dump 中主要包含了以下几类信息: - 对象实例:每个对象的具体数据。 - 类定义:描述这些对象所属的类元数据。 - 引用链路:展示不同对象之间的相互引用关系。 由于在生成过程中可能会触发 Full GC(全局垃圾回收),因此最终生成的 Heap Dump 可能不包含已经被标记为可回收的对象,从而减少了无关噪声的影响[^4]。 #### 3. **常见生成方式** ##### (a) 使用 `jmap` 工具 这是最常用的命令行工具之一来创建标准 `.hprof` 格式的堆转储文件。其基本流程包括两步——先确定目标进程 ID (`PID`) ,再利用该 PID 调用相应参数完成导出任务: ```bash # 查找Java应用对应的PID ps -ef | grep java # 或者更简洁地查看所有Java进程ID列表 jps -l # 导出heap dump到指定路径下的文件名 jmap -dump:live,format=b,file=/path/to/dumpfile.hprof <PID> ``` 上述指令中的 `-dump:live,...` 参数表示只捕获存活的对象;而如果不加此选项,则会连同那些即将被清理掉的数据也一并保存下来[^3]。 ##### (b) JVisualVM / MAT 等图形界面工具 除了命令行外,还有许多可视化管理平台可以直接连接远程服务端进行在线采集或是离线解析已有的 hprof 文件。例如 Oracle 提供的 VisualVM 就集成了多种监控功能于一体,并允许用户一键获取最新的 heap snapshot 数据。 另外像 Eclipse Memory Analyzer Tool(MAT),不仅擅长读取各种类型的 dump 文档,还提供了丰富的统计图表辅助理解复杂的内部状态变化趋势图谱等高级特性。 ##### (c) 自动化配置规则 对于生产环境而言,手动干预往往不够及时高效,为此可以通过设置特定条件自动触发展开过程。比如借助于 JVM 内置参数实现当 OOM 发生前即刻保留现场证据以便后续审查之需: ```properties -XX:+HeapDumpOnOutOfMemoryError \ -XX:HeapDumpPath=/desired/location/ ``` 一旦检测到 OutOfMemoryException 即自动生成一份完整的 heap image 存放在预设目录位置等待进一步处理[^2]。 #### 4. **注意事项** 尽管 Heap Dumps 非常有用,但也存在一些局限性和风险需要注意: - 大型系统的 heap size 很大时,生成时间较长且占用额外磁盘空间; - 如果频繁操作可能会影响正常业务运行表现; - 不同版本之间兼容性可能存在差异等问题都需要提前规划好应对策略[^5]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值