[工学]堆溢出利用的介绍.pdf

Reliable Windows Heap Exploits Matt Conover Oded Horovitz 翻译：ICBM Agenda 堆溢出利用的介绍 Windows 堆管理内部机制 覆盖写任意内存的说明 写任意内存的应用和一个利用的演示 对heap shellcodes的特殊说明 XP SP2 堆保护机制 Q A 2 页 介绍 堆溢出攻击成为主流 DCOM (seems to be the inflection point), Messenger, MSMQ, Script Engine 从事堆溢出的研究者: – David Litchfield – “Windows 堆溢出” – LSD – “Microsoft windows RPC 安全弱点” – Dave Aitel – “MSRPC 堆溢出利用I,II” – Halvar – “第三代溢出利用” 3 页 介绍 尽管许多专家利用各种巧妙的技术作为exploit的 主要因素 – 做4字节的覆盖（后面讨论）是一个猜测的工作 – 失败的原因不是很清楚 可用的利用程序都是有版本依赖的 – Shellcode地址未知, – 不同的sp版本中，SEH 地址各不相同 – 异常处理中，指向buffer的指针可以在栈中找到 （在 异常的记录中） – 需要一个访问栈的指令的地址，这也是和sp版本相关 的 4 页 介绍：我们的发现 发现了在各个阶段堆溢出的技术，极大地改善了 （堆溢出利用的）可靠性 更好地理解了windows堆的内部机制和内部过程 弄清楚了为什么现有的技术不可靠 XP SP2 极大地增强了保护性，并且使当前所有 的技术均不再可用 5 页 Windows 堆内部机制 包括的内容 – 有助于堆溢出利用的堆内部机制 对于进程的关系 堆的主要数据结构 分配与释放算法 不包括的内容 – 烦你到死的堆内部机制 – 和溢出利用没有直接关系的部分 – “慢速”分配或者堆调试的算法 6 页 Windows 堆内部机制 多个堆可以共存在一个进程内 PEB 0x0010 默认堆 0x0080 堆计数 0x0090 堆链表 0x70000 默认堆 默认堆 0x170000 第二个堆 第二个堆 7 页 Windows 堆内部机制 堆起始于一个很大的段 大部分的段内存被保留使用 堆管理结构也是从堆中分配出来的！ 管理结构