堆溢出利用原理
溢出利用的精髓就是用精心构造的数据去溢出下一个堆块的块首,改写块首中的前向指针(flink)和后向指针(blink),然后在分配、释放、合并等操作发生时伺机获得一次向内存任意地址写入任意数据的机会。
我们把这种能够向内存任意位置写入任意数据的机会称为“DWORD SHOOT”。注意:DWORD SHOOT 发生时,我们不但可以控制射击的目标(任意地址),还可以选用适当的子弹(4 字节恶意数据),32位系统的话地址是4字节,就是dword,所以这名字也容易理解。
通过 DWORD SHOOT,攻击者可以进而劫持进程,运行 shellcode。
Target | payload | result |
---|---|---|
栈帧中的函数返回地址 | shellcode起始地址 | 函数返回时,跑去执行shellcode |
栈帧中的S.E.H句柄 | shellcode起始地址 | 异常发生时,跑去执行shellcode |
重要函数的调用地址 | shellcode起始地址 | 函数调用时,跑去执行shellcode |
源码
#include <windows.h>
int main()
{