《0day安全》堆溢出利用(上)——DWORD SHOOT

最新推荐文章于 2023-12-04 22:28:12 发布
最新推荐文章于 2023-12-04 22:28:12 发布
阅读量896 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 漏洞 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sunr_/article/details/108216491
本文深入探讨了堆溢出利用原理,解释了如何通过构造数据改写堆块指针实现DWORD SHOOT,即在32位系统中向任意地址写入4字节数据。通过示例源码和实验过程,展示了如何利用DWORD SHOOT进行内存操控,以及可能引发的安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

堆溢出利用原理

溢出利用的精髓就是用精心构造的数据去溢出下一个堆块的块首,改写块首中的前向指针(flink)和后向指针(blink),然后在分配、释放、合并等操作发生时伺机获得一次向内存任意地址写入任意数据的机会。
我们把这种能够向内存任意位置写入任意数据的机会称为“DWORD SHOOT”。注意:DWORD SHOOT 发生时,我们不但可以控制射击的目标(任意地址),还可以选用适当的子弹(4 字节恶意数据),32位系统的话地址是4字节,就是dword,所以这名字也容易理解。
通过 DWORD SHOOT,攻击者可以进而劫持进程,运行 shellcode。
在这里插入图片描述

Target payload result
栈帧中的函数返回地址 shellcode起始地址 函数返回时,跑去执行shellcode
栈帧中的S.E.H句柄 shellcode起始地址 异常发生时,跑去执行shellcode
重要函数的调用地址 shellcode起始地址 函数调用时,跑去执行shellcode

源码

#include <windows.h>
int main()
{
最低0.47元/天 解锁文章

200万优质内容无限畅学
0day安全堆溢出利用(上) DWORD SHOOT
weixin_50287973的博客
09-07 400
堆溢出利用的精髓就是用精心构造的数据去溢出下一个堆块的块首,改写块首中的前向指针(flink)和后向指针(blink),然后在分配、释放、合并等操作发生时伺机获得一次向内存任意地址写入任意数据的机会。 我们把这种能够向内存任意位置写入任意数据的机会称为“DWORD SHOOT”。 在调试中体会“DWORD SHOOT” 代码 #include <windows.h> main() { HLOCAL h1, h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,
Dword shoot
这里没人
05-14 2501
简介 Dword shoot,一种很简单的漏洞溢出技巧,所以就简单的说明一下吧。dword shoot漏洞是出现在双向链表表删除的时候出现的一种漏洞类型。(双向链表是什么不用我解释吧)在进行双向链表的操作过程中如果因为处置不当,比如溢出等等的情况下,构成双向链表的指向前一个和后一个节点的两个指针被恶意的改写的话,就会在链表删除的时候发生的漏洞。 漏洞原理与利用 这里我们先定义一个结构体作...
堆溢出DWORD SHOOT的原理进行简单了解
Misaka10046的博客
09-19 1520
代码 #include <windows.h> main() { HLOCAL h1, h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); h4 = HeapAlloc(hp,H
5.4 堆溢出利用(上)——DWORD SHOOT
qq_55202378的博客
10-03 2536
堆溢出
堆溢出利用
anyingga7675的博客
10-08 320
1. 堆的数据结构 堆表索引空闲态堆块,重要的堆表有两类:空表、快表。我们通过下面代码练习识别堆表、堆块: #include <windows.h> main() { HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000);//InitialSize:0x1000, ...
0day安全堆溢出利用(下)——代码植入
sunr_的博客
08-25 602
0day2》堆溢出利用(下)——代码植入 常用狙击目标(xp sp1前) 与栈溢出中的“地毯式轰炸”不同,堆溢出更加精准,往往直接狙击重要目标。精准是DWORD SHO OT 的优点,但“火力不足”有时也会限制堆溢出利用,这样就需要选择最重要的目标用来“狙击”。 &emps;1.内存变量:修改能够影响程序执行的重要标志变量,往往可以改变程序流程。(比如改了绕过身份验证) &emps;2.代码逻辑:修改代码段重要函数的关键逻辑有时可以达到一定攻击效果。(例如,程序分支处的判断逻辑,或者把
堆溢出(二)空表DWORD SHOOT
Reshahar 的博客
03-18 1258
0x000 环境 虚拟机 VirtualBox 5.0.20 系统 windows 2000 Kali linux 工具 VC++6.0 OllyDbg 1.10 汉化版 AsmToE v5.20 0x001堆溢出之空表 代码 2. #include <stdio.h> 3. #include <windows.h> 4. 5. int
总结windows下堆溢出的三种利用方式
justaseeker的专栏
09-11 1219
转自安焦总结windows下堆溢出的三种利用方式1.利用RtlAllocHeap这是ISNO提到的,看这个例子main (int argc, char *argv[]){??char *buf1, *buf2;??char s[] = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa/x03/x00/x05/x00/x00/x01/x08/x00/x11/x11/x11/x1
Linux内核之堆溢出利用
蚁景网安学院
09-13 520
用户进程会通过malloc等函数进行动态内存分配相应的内核也有一套动态的内存分配机制。该项目在执行read模块时会从内核堆地址中拷贝信息到用户空间中去,但是这里的拷贝没有对长度做限制,因此存在着越界读的漏洞。
堆溢出和堆利用
07-16
这是一本讲述堆溢出利用方法的书,第一部分讲基本原理,第二部分讲方法,第三部分讲战略
堆溢出利用技术
03-10
堆溢出利用技术.rar
堆溢出(三)快表DWORD SHOOT
Reshahar 的博客
03-20 1424
Windows 堆溢之快表DWORD SHOOT By Rweb@Reshahar 0x000 环境 1. 虚拟机 VirtualBox 5.0.20 2. 系统 windows 2000 Kali linux 3. 工具 VC++6.0 OllyDbg 1.10 汉化版 AsmToE v5.20 0x001堆溢出
总结windows下堆溢出的三种利用方式(2)
要饭's Blog
06-28 1900
的数据所指向的地址。我们可以控制这两个数据。 可见第二种方式的前提有三个: 1)构造堆(buf2)的flag必须含有HEAP_ENTRY_BUSY和HEAP_ENTRY_VIRTUAL_ALLOC,可以设成0xff 2)构造堆的flag前面那个字节要比0x40小 3)构造堆的上一个堆(即buf1)的长度必须大于或等于0x18+0x08即32个字节,否则在关键点三处,ESI会指向我们不能控制的区域,
glibc 堆学习(一)-基础概念
weixin_44222568的博客
02-10 549
在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理堆的那部分程序为堆管理器。
DWORD SHOOT
weixin_30672019的博客
08-29 268
我知道原理了: 当 int remove() { node->blink->flink = node->flink; //这个是flink \x88\x06\x36\x00 这个是blink //\x20\xf0\xfd\x7f"; //将系统RtlEnterCritucalSection 的 flink指向 我们的shellcode起始...
基础堆溢出原理与DWORD SHOOT实现
huxyc的博客
12-04 890
1.快表中的空闲块被设置为占用态,故不会发生堆块合并操作。2.快表只有精确匹配时才会分配,故不存在"搜索次优解"和"找零钱"现象。3.快表是单向链表,操作比双链表简单,插入删除都少用很多指令。4.综上所述,快表很快,故再分配和释放时,总是优先使用快表,失败时才用空表。5.快表只有四项,很容易就被填满,因此空表也是很频繁被使用的。综上所述,Windows的堆管理策略兼顾了内存合理使用、分配效率等多方面因素。二堆调试。
堆溢出dword shoot
最新发布
01-08
### 堆溢出中的 DWORD 错误分析 堆溢出是一种常见的内存安全漏洞,通常发生在程序试图向分配的堆空间写入超出其边界的数据时。当涉及到 `DWORD` 类型时,这类错误可能更加隐蔽和复杂。 #### 错误原因 1. **缓冲区大小不匹配** 如果程序员在申请堆内存时不恰当地计算了所需的空间量,可能会导致实际使用的缓冲区小于预期。例如,在某些情况下,开发者可能忘记考虑字符串终止符或其他额外字节的需求[^4]。 2. **指针操作失误** 不正确的指针算术运算可能导致越界访问。特别是对于像 `DWORD` 这样的固定宽度整数类型,任何对其数组的操作都应严格遵循定义好的界限。一旦越过这些界限,就可能发生覆盖相邻对象的情况,进而破坏程序状态或引发崩溃[^3]。 3. **缺乏输入验证** 当外部输入被用于决定动态分配多少个 `DWORD` 单元时,如果没有充分校验这个数值的有效性和合理性,则容易受到恶意构造的数据影响,造成非法写入行为。 #### 解决方案 为了防止上述提到的各种问题的发生,建议采取以下措施: - **精确控制内存分配** 使用适当的方法来确定所需的内存量,并始终留有足够的余量以应对潜在的增长需求。此外,优先选用高级别的抽象库来进行复杂的内存管理任务,因为它们往往内置了许多保护机制。 - **加强边界检查** 编程实践中应当养成良好的习惯——无论何时何地都要仔细审查涉及指针移动以及基于索引访问元素的地方。确保每次读取/写入都不会触及到不应该触碰的位置。 - **实施严格的参数过滤** 对所有来自外界的信息源施加必要的约束条件,拒绝接受那些看起来不合理或者明显有害的内容。这不仅有助于抵御有意为之的安全威胁,也能有效降低意外事故发生的概率[^5]。 ```cpp // 示例代码展示如何安全处理 DWORD 数组 void safe_write_dwords(DWORD* buffer, size_t count) { if (!buffer || count <= 0) return; // 预先设定最大允许长度 const size_t MAX_COUNT = (SIZE_MAX / sizeof(DWORD)) - 1; // 确保不会超过预设的最大值 size_t actual_count = std::min(count, MAX_COUNT); for (size_t i = 0; i < actual_count; ++i) { // 执行具体业务逻辑前再次确认索引有效性 if ((uintptr_t)(buffer + i) >= (uintptr_t)((char*)buffer + MAX_SAFE_SIZE)) break; *(buffer + i) = some_value(); // 安全赋值语句 } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值