HeapSpray初窥(2014.12)

注：环境是xp+ie8

1.HeapSpray简介

Windows的堆因为动态分配和释放的特点，其看起来是不连续（没有规律的），但是仍可以找到一定的规律：大量的连续分配会更倾向使用连续的地址，减少了碎片化。这为利用找到了机会。

HeapSpray就是在内存中分配大量的空间，申请的这些内存都是由相同的NOPs+shellcode所构成。如果存在任意地址写的漏洞，就可以利用该HeapSpray：改变程序的流程，使EIP指向事先分配好的NOPs+shellcode的内存块。这样shellcode就可以得到执行了。

HeapSpray利用的步骤大概如下：

1.Spray the heap

2.Trigger the bug/vulnerability

3.control EIP and make EIP point directly into the heap

当然还要绕过一些安全机制如DEP，这和缓冲区溢出的绕过思路感觉一样。

2.BSTR string object结构

Windows在存储javascript字符串采用的是BSTR string，其结构包含一个用来描述string所占字节数的头+用Unicode编码的string+两字节的NUL：

并且字符串的string.length和bytes存在这样的换算关系：

bytes=length*2+6;

length=(bytes-6)/2;

如下面这句javascript代码，其在内存创建了一段字符串" FuzzySecurity"。其中unescape的功能是不让javascript再对FuzzySecurity的ascci码进行编码。

创建的字符串在内存中：

按照上面的换算公式：

bytes=7*2+6=20

length=(20-6)/2=7

值得注意的是，此时BSTR string head=0xe，而Shellcode.length=7=head/2。这是因为javascript是按Unicode编码来计算字符串的长度的，所以个数减半，javascript在操作字符串的时候也是按照Unicode编码来的，这点在后面布置Shellcode时有用。

3.一个例子

以CVE-2013-0025这个IE上的UAF漏洞为例子，编写exp，使用HeapSpray，并绕过DEP，最后弹出对话框。

3.1分析崩溃

POC如下：

运行这个POC后(不开启ust和hpa)，相关的崩溃信息：

可见，若能控制ecx指向内存的值(mov eax,dword ptr[ecx])，也就控制了EIP的值了(call edx)。

3.2占位    （好像是这样叫的吧。。。）

这一步的目的是为了控制EIP。

html如下:

相比上面的POC，只是增加了红框中的一小段javascript代码。具体为什么要这样，暂时还不知道。

然后再次崩溃：

可以看到此时eax的值已经被改变了，从0变成0x0c0c0c0c，这样执行call edx的时候就变成了：call [0x0c0c0c7c]。EIP改变成功，下一步就是布置shellcode到新EIP位置了。

3.3布置Block

先把框架弄好，再来填具体的东西。

所分配的Block内存布局的期望是这个样子的：

看起来有点奇怪：为何不直接将EIP指向shellcode开始的地方？这是有道理的，因为需要过DEP保护，需要先执行一点东西再去执行真正的shellcode（弹出对话框）。

接下来就来实现这个期望吧。

首先需要确定的是padding的大小，在windbg中利用!heap命令，可以找到0x0c0c0c0c所在堆的起始地址：

计算偏移：0x0c0c0c0c-0x0c080018=0x40bf4

0x40bf4对0x1000进行求余运算，得到0xbf4。(0x1000为我们分配的每一个Block的大小)。

这样得到的是所在的字节数，javascript代码所操作的是字符串的长度，这里需要按照上面提到的公式转换一下：

0xbf4/2-6=0x5f4

接下来的shellcode就先随便填一下，只是在+0x70的位置填上一个不一样的值，来确定是否在0x0c0c0c7c的位置能够写上值，为了方便查找还是填上" FuzzySecurity"。

最后这0x1000 大小的Block剩下空间就全部给NOPs了。

这三部分对应的javascript代码分别如下：

要经过大量的堆分配，似乎才可以保证堆"连续"，并且保证0x0c0c0c0c是"属于"我们的。所以接下来会分配150MB的堆，这些堆又会分成很多1MB的chunk，每个chunk都是具有很多个上面所构造的这种0x1000大小的Block。对应代码：

结果就像下面这样：

3.4编写shellcode

a.绕过DEP

所使用的方法是构造ROP链来调用VirtualProtect()改写目标地址的读写权限。使用的是下面这段利用msvcr71.dll来构造的ROP链：

引用地址https://www.corelan.be/index.php/security/corelan-ropdb/#msvcr71dll_8211_v71030524

b.执行真正的shellcode吧

现在已经可以执行shellcode这段空间的代码了，那么再跳回到0x0c0c0c7c下一个地址去执行弹出对话框的代码就好了,至于弹出对话框的代码，用metersploit生成一份就好了。

所以完整的如下：

代码会按照红à黄à绿à蓝执行。

最后就弹出对话框了~~