HeapSpray初窥(2014.12)

时间:2020-12-15 08:56:35

注:环境是xp+ie8

1.HeapSpray简介

Windows的堆因为动态分配和释放的特点,其看起来是不连续(没有规律的),但是仍可以找到一定的规律:大量的连续分配会更倾向使用连续的地址,减少了碎片化。这为利用找到了机会。

HeapSpray就是在内存中分配大量的空间,申请的这些内存都是由相同的NOPs+shellcode所构成。如果存在任意地址写的漏洞,就可以利用该HeapSpray:改变程序的流程,使EIP指向事先分配好的NOPs+shellcode的内存块。这样shellcode就可以得到执行了。

HeapSpray利用的步骤大概如下:

1.Spray the heap

2.Trigger the bug/vulnerability

3.control EIP and make EIP point directly into the heap

当然还要绕过一些安全机制如DEP,这和缓冲区溢出的绕过思路感觉一样。

2.BSTR string object结构

Windows在存储javascript字符串采用的是BSTR string,其结构包含一个用来描述string所占字节数的头+用Unicode编码的string+两字节的NUL:

HeapSpray初窥(2014.12)

并且字符串的string.length和bytes存在这样的换算关系:

bytes=length*2+6;

length=(bytes-6)/2;

如下面这句javascript代码,其在内存创建了一段字符串" FuzzySecurity"。其中unescape的功能是不让javascript再对FuzzySecurity的ascci码进行编码。

HeapSpray初窥(2014.12)

创建的字符串在内存中:

HeapSpray初窥(2014.12)

按照上面的换算公式:

bytes=7*2+6=20

length=(20-6)/2=7

值得注意的是,此时BSTR string head=0xe,而Shellcode.length=7=head/2。这是因为javascript是按Unicode编码来计算字符串的长度的,所以个数减半,javascript在操作字符串的时候也是按照Unicode编码来的,这点在后面布置Shellcode时有用。

3.一个例子

以CVE-2013-0025这个IE上的UAF漏洞为例子,编写exp,使用HeapSpray,并绕过DEP,最后弹出对话框。

3.1分析崩溃

POC如下:

HeapSpray初窥(2014.12)

运行这个POC后(不开启ust和hpa),相关的崩溃信息:

HeapSpray初窥(2014.12)

可见,若能控制ecx指向内存的值(mov eax,dword ptr[ecx]),也就控制了EIP的值了(call edx)。

3.2占位    (好像是这样叫的吧。。。)

这一步的目的是为了控制EIP。

html如下:

HeapSpray初窥(2014.12)

相比上面的POC,只是增加了红框中的一小段javascript代码。具体为什么要这样,暂时还不知道。

然后再次崩溃:

HeapSpray初窥(2014.12)

可以看到此时eax的值已经被改变了,从0变成0x0c0c0c0c,这样执行call edx的时候就变成了:call [0x0c0c0c7c]。EIP改变成功,下一步就是布置shellcode到新EIP位置了。

3.3布置Block

先把框架弄好,再来填具体的东西。

所分配的Block内存布局的期望是这个样子的:

HeapSpray初窥(2014.12)

看起来有点奇怪:为何不直接将EIP指向shellcode开始的地方?这是有道理的,因为需要过DEP保护,需要先执行一点东西再去执行真正的shellcode(弹出对话框)。

接下来就来实现这个期望吧。

首先需要确定的是padding的大小,在windbg中利用!heap命令,可以找到0x0c0c0c0c所在堆的起始地址:

HeapSpray初窥(2014.12)

计算偏移:0x0c0c0c0c-0x0c080018=0x40bf4

0x40bf4对0x1000进行求余运算,得到0xbf4。(0x1000为我们分配的每一个Block的大小)。

这样得到的是所在的字节数,javascript代码所操作的是字符串的长度,这里需要按照上面提到的公式转换一下:

0xbf4/2-6=0x5f4

接下来的shellcode就先随便填一下,只是在+0x70的位置填上一个不一样的值,来确定是否在0x0c0c0c7c的位置能够写上值,为了方便查找还是填上" FuzzySecurity"。

最后这0x1000 大小的Block剩下空间就全部给NOPs了。

这三部分对应的javascript代码分别如下:

HeapSpray初窥(2014.12)

HeapSpray初窥(2014.12)

HeapSpray初窥(2014.12)

HeapSpray初窥(2014.12)

要经过大量的堆分配,似乎才可以保证堆"连续",并且保证0x0c0c0c0c是"属于"我们的。所以接下来会分配150MB的堆,这些堆又会分成很多1MB的chunk,每个chunk都是具有很多个上面所构造的这种0x1000大小的Block。对应代码:

HeapSpray初窥(2014.12)

结果就像下面这样:

HeapSpray初窥(2014.12)

3.4编写shellcode

a.绕过DEP

所使用的方法是构造ROP链来调用VirtualProtect()改写目标地址的读写权限。使用的是下面这段利用msvcr71.dll来构造的ROP链:

HeapSpray初窥(2014.12)

引用地址https://www.corelan.be/index.php/security/corelan-ropdb/#msvcr71dll_8211_v71030524

b.执行真正的shellcode吧

现在已经可以执行shellcode这段空间的代码了,那么再跳回到0x0c0c0c7c下一个地址去执行弹出对话框的代码就好了,至于弹出对话框的代码,用metersploit生成一份就好了。

所以完整的如下:

HeapSpray初窥(2014.12)

代码会按照红à黄à绿à蓝执行。

最后就弹出对话框了~~