Windows堆dword shoot

最新推荐文章于 2026-06-17 14:23:34 发布
原创 最新推荐文章于 2026-06-17 14:23:34 发布 · 363 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#windows #堆溢出 #漏洞 #安全

Windows NT堆dword shoot

本文总结自《0day安全:软件漏洞分析技术》,加上了一些笔者的愚见。

前置知识

在这里插入图片描述

在用户态的NT堆中,Windows系统使用链表来维护一个堆中的空闲内存:

在这里插入图片描述

从Windows 7开始,Lookaside被低碎片堆(LFH)取代,但链表思想得以延续。

如果要分配一块内存,就要从空闲链表中移出一个节点:

int remove (ListNode * node)      
{ 
	node -> blink -> flink = node -> flink; 
	node -> flink -> blink = node -> blink; 
	return 0; 
}

攻击原理

以通过修改函数返回地址实现劫持为例说明dword shoot的攻击原理。

假设内存中有一个边界检查不严格的堆块H1,我们可以通过堆溢出覆盖与H1相邻的堆块H2的块首,这样就修改了H2的blink和flink。H2在被分配时,原本会执行:

	node -> blink -> flink = node -> flink; 
	node -> flink -> blink = node -> blink;

但是我们修改blink为堆栈中函数的返回地址(Target),修改flink为shell code的地址(payload),于是就使得:

// node -> blink -> flink = node -> flink;
*(Target) = payload;

这样就实现了任意地址写,当函数返回时,就执行了payload。

现代Windows相关防护机制

在现代版本的Windows中,启用了多种策略缓解堆溢出。这里提一下段堆机制,它和NT堆有许多差异,具体查看笔者的另一篇文章:

Windows堆管理:https://blog.csdn.net/Oorchi/article/details/161770852?spm=1001.2014.3001.5501

块首指针加密

块首中的指针(如Flink/Blink)可能被加密(与堆基址、全局Cookie进行异或),直接读取或预测其值几乎不可能。

元数据与用户数据分离

部分元数据(如块大小、状态)存储在独立的元数据区域,而非紧邻用户数据。

分配偏移随机化

在LFH中,每次分配的实际地址会在一个“桶”内随机偏移。

链表修改验证

链表操作前验证Flink->Blink == node && Blink->Flink == node

Windows保护机制原理及其绕过
WdIg-2023的博客
04-09 1395
1>.刚初始化,所以我们申请的是从FreeList[0]中申请的,从FreeList[0]中拆卸下来的chunk在分配好后将剩余的空间新建一个chunk插入到FreeList[0]中,这样的话,h1后面就会有一大段空闲的空间。.后面的chunk块首被覆盖了,当h2再申请空间的时候,程序就会从破坏了的chunk中申请空间,并将剩余的空间新建为一个chunk并插入到FreeList[0]中。大家考虑一下,如果说,我们将旧chunk的Flink和Blink都覆盖掉了,那么会发生什么情况?
基础堆溢出原理与DWORD SHOOT实现
huxyc的博客
12-04 1249
1.快表中的空闲块被设置为占用态,故不会发生块合并操作。2.快表只有精确匹配时才会分配,故不存在"搜索次优解"和"找零钱"现象。3.快表是单向链表,操作比双链表简单,插入删除都少用很多指令。4.综上所述,快表很快,故再分配和释放时,总是优先使用快表,失败时才用空表。5.快表只有四项,很容易就被填满,因此空表也是很频繁被使用的。综上所述,Windows管理策略兼顾了内存合理使用、分配效率等多方面因素。二调试。
dword 占用多少信_堆溢出DWORD SHOOT的原理进行简单了解
weixin_39683025的博客
12-19 109
代码#include main(){HLOCAL h1, h2,h3,h4,h5,h6;HANDLE hp;hp = HeapCreate(0,0x1000,0x10000);h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8...
《0day安全》中的堆溢出利用调试
Lethe's Blog
06-26 1154
0x01 的工作原理 实验环境: 推荐使用环境 备注 操作系统 Windows20000虚拟机 分配策略对操作系统非常敏感 编译器 Visual C++ 6.0 默认编译选项 编译选项 默认编译选项 VS2003/VS2005的GS选项将导致实验失败 build 版本 release VS2003/VS2005的GS选项将导致实验失败 调试器 Ollydbg 需要配置Make OllyDbg just-in-time debugger选项 调试代码如下: #inclu
xp sp3不让dword shoot
爱杀之爪的矩阵
02-18 1028
重读0day利用书的第7章的 seh利用时发现在发生DWORD SHOOT时,我是xp sp3的系统总是不成功,才发现...7C930EF8    898D ECFEFFFF   MOV DWORD PTR SS:[EBP-114],ECX7C930EFE    8B39            MOV EDI,DWORD PTR DS:[ECX]                      ; 取seh处理函数7C930F00    3B78 04         CMP EDI,DWORD PTR DS
堆溢出(三)快表DWORD SHOOT
Reshahar 的博客
03-20 1466
Windows 溢之快表DWORD SHOOT By Rweb@Reshahar 0x000 环境 1. 虚拟机 VirtualBox 5.0.20 2. 系统 windows 2000 Kali linux 3. 工具 VC++6.0 OllyDbg 1.10 汉化版 AsmToE v5.20 0x001堆溢出
xp下堆溢出DWORD SHOOT---狙击空闲表
lixiangminghate的专栏
08-23 1613
前面写过通过堆溢出利用快表,这次我的目标是利用空闲表。千万不要觉得这是炒作话题,利用空闲表比利用快表要复杂很多,因此希望读者不要弃篇。     行文开始前,我想对0day安全:软件漏洞的作者提到的DWORD Shoot的环境做一些补充说明:作者说实验应在w2k下完成,在xp sp3下会失败。这是因为作者DWORD SHOOT的目标是PEB!RtlEnterCriticalSection函数地址,
DWORD Shoot利用Crt库free函数
lixiangminghate的专栏
09-16 995
之前写过Win32运行库的DWORD Shoot,随着windows安全性检查的升级,简单的DWORD shoot并不能达到利用程序的目的。但是这种技术就被淘汰了吗?我个人觉得并不是这样,因为DWORD shoot技术本质上是钻了链表出链时不检查内存地址合法性的漏洞,因此只要在代码中找到有链表存在的影子就有利用的可能。 C Programmer一般用Crt运行库提供的库函数malloc/free
漏洞利用原理(初级)
wk19951125的博客
08-13 1059
堆溢出利用的工作原理Windows的历史与栈的区别的数据结构与管理策略在中漫游分配函数之间的调用关系 的工作原理 Windows的历史 微软操作系统管理机制的发展大致可以分为三个阶段(Win32): Windows 2000~Windows XP SP1:管理只考虑完成分配任务和性能因素,丝毫没有考虑安全因素 Windows XP 2~Windows 2003:加入了安全因素...
反转链表完全指南:辅助容器、三指针、头插法
左手是诗,右手是代码。
06-15 335
**反转单链表**是面试与教材里极高频的一题:给定头结点,把 `1 → 2 → 3 → nullptr` 变成 `3 → 2 → 1 → nullptr`。
JAVA 集合框架(一) Collection集合详解和常用方法
最新发布
06-17 100
Java集合框架是用于组织、存储和操作对象集合的标准库,主要包括Collection和Map两大接口体系。Collection接口分为List(有序可重复,如ArrayList、LinkedList)和Set(无序唯一,如HashSet、TreeSet);Map接口存储键值对(如HashMap、TreeMap)。常用操作包括添加/删除元素、查询集合状态及遍历(迭代器、foreach、Stream API等)。该框架提供了灵活高效的数据结构实现,支持泛型并遵循统一的操作规范,是Java开发中处理集合数据的核心
音频格式之WAV
qazwsxwtc的专栏
06-16 787
RIFFchunk结构分为3个子块,chunk id、chunk size和chunk format。2.2子块字节数含义Chunk id4“RIFF”, 所有的wav都固定为这个值。Chunk size4该子块之后文件的总字节数。文件长度 - 8 =Chunk size。4“WAVE”, 所有的wav都固定为这个值。子块字节数含义ID4"fmt ",固定值。Size4。
Python的数据结构,推导式、迭代器和生成器
Liu Zijian‘s Blog
06-12 290
在Python中,有四种常见的数据结构数据结构是否可变是否允许重复是否有序定义符号列表(List)可变允许有序[]元组(Tuple)不可变允许有序()字典(Dict)可变键不允许,值允许有序{}集合(Set)可变不允许无序{}
数据结构之链表OJ题(下)
2503_92261635的博客
06-12 655
本文介绍了三个链表相关算法题解:1) 141题使用快慢指针判断链表是否有环;2) 142题在判断有环基础上找到环入口,通过计算两段链表长度差定位交点;3) LCR026题重排链表,先找到中点,逆置后半段,再交替插入前半段。三题均涉及快慢指针技巧,并综合运用了链表基本操作,展现了处理链表问题的典型思路。
Hermes Agent 中 Skills 与 Tools 的关系分析
LOUISLIAOXH的专栏
06-16 221
Hermes Agent 中 Skills 与 Tools 的关系分析 Hermes Agent 将 Skills 功能通过 3 个独立 tool(skills_list、skill_view、skill_manage)暴露给大模型,而非单一工具。这些工具注册在 skills toolset 下,并在系统初始化时加载。 内容装载采用三级机制: 系统提示注入:初始化时在 system prompt 中嵌入紧凑的技能索引(仅名称和简介); 工具 Schema 描述:每次 API 调用携带详细功能说明; 按需加载
C#之名称获取运算符nameof
飞鹰技术
06-11 323
nameof 运算符,用于安全获取C#中标识符名称字符串;该操作在编译时完成,没有运行时开销,适用于变量、类型、成员等场景;避免硬编码字符串、支持重构时自动同步、提供编译时校验
Java 常用工具包 java.util
qq_65800683的博客
06-15 636
本文介绍了Java开发中最常用的java.util工具包核心组件,包括:List(有序数据存储)、Set(元素去重)、Map(键值对存储)三大集合框架,以及Collections/Arrays集合工具类。重点讲解了Optional处理空值、Stream流式数据处理、Objects安全判空比较等实用工具,并提及UUID生成唯一标识的用法。这些工具覆盖了Java日常开发中80%的集合操作和数据处理场景,开发者应重点理解其应用场景而非死记API。
Python 数据容器详解,list、tuple、str、set、dict 到底怎么选
风雨未有归期的博客
06-16 312
变量能保存一个值。但程序真正开始有用,往往是从处理一批数据开始的。学生名单、商品列表、电影信息、订单记录、接口返回的 JSON,这些都不是一个变量能优雅解决的。Python 提供了几种非常常用的数据容器:list、tuple、str、set、dict 很多初学者的问题不是不会写语法,而是不知道什么时候该用谁。这篇文章就把它们一次讲清楚。
C# WinForm TreeView 树形控件+ListView控件+菜单栏
2501_91389120的博客
06-15 470
/ 后续所有方法、构造函数全部写在该类内部树形结构层级:TreeView控件 > 顶级根节点 > 一级子节点 > 二级子节点(多层级无限嵌套);核心类与属性:TreeNode(节点实体)、Nodes(子节点集合)、Parent(父节点)、Text(节点展示文本);常用方法:Add()新增节点、Remove()删除节点、ExpandAll()展开所有节点;删除节点规范:禁止foreach遍历删除,统一使用倒序for循环执行删除操作。
深入学习C++11
nazisami的博客
06-14 264
深入了解C++11
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值