Question

fuzzySecurity 于 16 年更新了数篇 Windows 内核 exp 的教程，本文是用户层的最后一篇。 点击查看原文 。

欢迎回到堆喷射系列两部分教程的第二部分。本文会在 IE8 上完成精准的堆喷射。在这两种基本情形下你需要实现严格而精准的堆喷射：

1. 你需要处理 DEP，这种情况你需要重定向执行流到 ROP 链的起始
2. 利用 UAF 漏洞需要满足虚表（Vtable）方法的条件

我想找出一个案例来同时处理这两种情况，让你痛并快乐着。然而大部分这种漏洞本身都相当复杂，不适合也不需要作为初学者的导读内容。这里需要澄清两件事。首先就是熟能生巧，找到漏洞，将他们拆分，疯狂打脸。然后加把劲，少挨几个耳光并继续前行。其次本教程并不会聚焦于漏洞的分析，本教程旨在描摹你在编写 exp 是会遇到的障碍以及教会你如何去克服它们。

今天我们来看看 MS13-009， 你可以在这里找到对应的 metasploit 模块 here 。我也附加了一些阅读材料的链接在下面，我强烈推荐你阅读以下，如果你想要对这个课题更加了解的话。

Debugging Machine：

Windows XP SP3 with IE8

Links:

Exploit writing tutorial part 11 : Heap Spraying Demystified (corelan) - here

Heap Feng Shui in JavaScript (Alexander Sotirov) - here

Post-mortem Analysis of a Use-After-Free Vulnerability (Exploit-Monday) - here

Heap spraying in Internet Explorer with rop nops (GreyHatHacker) - here

CVE-2013-0025 MS13-009 IE SLayouRun (Chinese analysis of ms13-009, you will probably need to load this from the google cache) - here