堆溢出(二)空表 DWORD SHOOT
本系列文章讲述了windows 2000 下 堆溢出的方法
0x000 环境
- 虚拟机 VirtualBox 5.0.20
- 系统 windows 2000 Kali linux
- 工具 VC++6.0 OllyDbg 1.10 汉化版 AsmToE v5.20
0x001堆溢出之空表
代码
1234567891011121314151617181920212223242526272. #include <stdio.h>3. #include <windows.h>4.5. int main()6. {7. HANDLE hp;8. HLOCAL h1,h2,h3;9. char * buf;10.11.12. hp = HeapCreate(0,0x1000,0x10000);13.14. __asm int 315.16. buf = (char *)HeapAlloc(hp,HEAP_ZERO_MEMORY,8);17. h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);18. h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);19.20. HeapFree(hp,0,h1);21.22. strcpy(buf,"AAAAAAAABBBBBBBBCCCCDDDD");23. //buf大小为8,而字符串的长度是('A'*8+'B'*8+'C'*4+'D'*4)2424. //,这里会产生溢出25. //其中'A'覆盖buf申请的空间,而'B'会覆盖下一个堆块的头(这里)26. h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); //DWORD SHOOT27. return 0;28. }空表溢出原理及现象分析
a) 编译程序,运行等等我在这里就不一一赘述了,上篇文章已经写的很明白了,溢这里主要就是讲堆出的原理和利用的方式。
b) 首先运行上面的程序,程序崩溃,进入OD调试,这和上篇文章的操作一样,断点的位置都是一样的,转到堆上。
c) 单步调试,直到堆块分配完毕,一共分配三块堆块(这是有原因的,首先堆是初始化的状态,所有分配的堆块都是从“尾块”分配,分配的地址是连续的,这对后期的堆溢出有很大帮助),从下图可以验证上述所说的内容,其中上面的就是三块新分配的堆块,下面的是尾块。
d) 继续单步调试结合源代码可以看出来,将第二块的堆块释放了,他被链接到了空表free2的上了,而这块堆块正是要被溢出的堆块,(同时这里解释一下第三个堆块的作用,防止发生堆块合并,如果没有第三块,那么在第二块的释放后,第二块会和后面的堆块发生合并,变成新的“尾块”,这里虽然不会影响堆溢出,但是现象不如现在的结果明显),具体现象如下图,其中选中部分是第二堆块,红色框分别为Flink和Blink指针。
e) 结合源代码可以看出来之后调用了strcpy函数,从分配的堆块大小可以看出发生了溢出,同时我也在旁边的位置标注了注释,可以很清楚的看出,溢出的位置和对应位置的数据,单步直到复制完毕,可以看到下图的变化,选中的部分是复制的数据,对比上面的图,可以看出来43(’C’)的位置就是Flink,而44(‘D’)就是Blink。
f) 下面直接运行程序,程序会断在下面的位置,我在这些位置做了注释,大家可以对照着看,分析一下堆块卸载的过程,可以分析出来,在堆块卸载的过程会将节点Flink的值写入Blink所指向的地址。- 总结
通过对上面的小程序的调试和分析,我们从源代码和汇编的角度清楚的明白了空表溢出的原理及现象,并且可以知道空表堆溢出会造成一次任意地址写。0x002 DWROD SHOOT代码植入
- 修改代码
将上面的代码修改成下面这样,大家可以结合注释来看,这个程序运行之后,附加调试器,最后会断在和上面程序一样的地址,就是要将43434343 写入地址44444444,这里的地址是不访问的所以断了下来,我们可以将44444444换成程序可以写入的地址,再将43434343设置成要写入的数据(比如shellcode的地址等),就可以完成DWORD SHOOT。(其中\x90 对应的指令是nop,跳到shellcode 中就可以滑行了)
|
|
- 寻找DWORD SHOOT 地址
a) 确定DWORD SHOOT目标
《0day安全》中也说了很多的目标,我这里就选用这个函数RtlEnterCriticalSection(进入临界区的函数)为目标。
b) 通过OD确定RtlEnterCriticalSection地址
这里首先要了解一些知识(PEB和TEB)
PEB:进程环境块
TEB:线程环境块
(这里我也只说一些相关的知识,如果想深入理解个两个结构,可以上网搜索一些相关资料)
1) 首先和上面一样运行程序,调试,附加OD后会断下来,在寄存器窗口,可以看到FS寄存器它存储的就是TEB的地址
2) 它在PEB偏移为0x20的位置,而PEB在TEB结构中偏移0x30的位置,我们来查看一下(在OD下面的command中输入 dd 7ffde000数据窗口就会显示对应的数据),如下图偏移0x30的值是0x7ffdf000
3) 同上查看PEB(在command中输入dd 7ffdf000 )的结果如下图,红框的地方就是RtlEnterCriticalSection的地址,它在PEB偏移0x20的位置
c) 总结
至此,我们通过OD调试器找到了目标(RtlEnterCriticalSection)地址7ffdf020(当然在每个机子上地址将会不同,请大家自己动手调试),这里也记录一下 这个地址上的数据,在后面的时候会用到。 - 查找shellcode的地址
因为最后shellcode 要复制到申请的第一个堆块中,所以找到第一个堆块的起始地址就行了,在我的电脑中的地址是0x00360688 - 再次修改代码
将刚才得到的shellcode地址放到Flink的位置,将存放RtlEnterCriticalSection函数的地址放到Blink的位置,在将shellcode从开始第八个字节之后的任意一个字节改成”\xcc”(至于为什么是8个字节之后,一会我在后面解释),这样相当于int 3 断点,这样可以使程序断下来,便于我们观察,具体修改结果如下图。 - 验证DWORD SHOOT
重新编译后再次调试程序,我这里直接F9运行,结果断了下来,在查看存放RtlEnterCriticalSection函数的地址0x7ffdf020,可以看到这个地址现在存放的就是0x00360688,就是之前Flink的值,而程序也跳的shellcode去执行了,这些都证明了DWORD SHOOT成功了,具体结果如下图。 - 完善生成并替换shellcode
- 恢复现场
我们修改了RtlEnterCriticalSection函数的地址,这很可能影响到系统的其他程序,所以在我们运行shellcode之前应该,将之前的数据恢复,之前我们也记录了正确的RtlEnterCriticalSection函数地址我们将它恢复回去。
我们可以使用下面三条的汇编指令实现
mov eax,77F89103h
mov ebx,7FFDF020h
mov dword ptr ds:[ebx],eax
使用AsmToE工具将汇编转换成机器码如下,
\xB8\x03\x91\xF8\x77\xBB\x20\xF0\xFD\x7F\x89\x03 - 生成shellcode
我这里使用Kali 系统的msfpayload生成了一个shellcode,命令如下:
msfpayload windows/exec CMD=”cmd /k calc” R|msfencode -e x86/shikata_ga_nai -b “\x00” -t c - 替换shellcode
终极shellcode如下图: 注释掉断点运行结果如下图,可以看出来shellcode运行成功了,我们的攻击也成功了。
指针反射
这里讲一下之前为什么要求shellcode从第八个字节之后,在正式开始,我们可以先看一下DWORD SHOOT 之后第一个堆块里的变化,可以看到第四个字节之后写入了新的数据并不是之前的90,这是因为DOWRD SHOOT 发生在链表卸载的第一句上,第二句会继续执行,将Blink的值写入shellcode起始位置偏移加4的位置,好在大多是情况下不会影响shellcode的正常运行。- 对”指针反射”的解决
这里也提出一个办法绕过可以使用下面的指令短跳转过这四个字节,他们的机器码为EB+偏移,shellcode修改如下图即可。0x003 总结
经过这次实验,对上一节的堆结构更加深入的理解,同时对空表DWORD SHOOT 的利用有了更深入的了解,以后一定要多动手多练习,这样才能加深对知识的理解和利用,下一节我会动手多一下块表的DWORD SHOOT 的原理和利用。0x004 参考书籍
[1]:《0day安全 软件漏洞分析技术 (第二版)》王清
