Question

首先我想给满分 corelanc0d3r 所做的工作. “堆喷射揭秘”是非常好并且很有深度的教程，解释了堆喷射用于 payload 传递的细节. 我很抱歉使用了 corelanc0d3r 之前做的一些工作，但我有我的目的：用一个实际的漏洞来解释堆喷射。

我们知道程序栈可利用的空间是有限的. 堆管理器可以动态的分配很大一块内存，例如程序需要存储临时定义的数据. 堆十分复杂，我不会解释所有的细节. 但我会给你足够的信息帮助你了解它。

关于堆分配器有几件事我们需要知道:

(1) 由于内存动态分配和释放，会产生堆碎片。

(2) 堆内存块释放，会由前端或后端分配器回收（依赖操作系统). 分配器类似于缓存服务那样优化内存块分配. 像之前提到堆分配和释放产生堆碎片(=bad), 为了较少堆碎片，新分配一块内存时，堆分配器会直接返回之前释放的一块同样大小的内存. 从而减少了新分配的次数(=good).

(3) 虽然堆内存是动态分配的，但是分配器往往会连续的分配内存块 (为了减少堆碎片) 这意味着从攻击者的角度来看堆是确定的. 连续的分配内存我们就可以在某个可预测的地址上布置我们的数据。

“堆喷射”概念第一次由 SkyLined 在 2004 年提出. 当时被用于 IE 浏览器 iframe 缓冲区溢出漏洞利用. 这个通用的技术已经被用于大多数浏览器, IE7, firefox 3.6.24, Opera 11.60. 精确堆喷射将在第二部分介绍。

考虑一下这种情况. 如果一个漏洞（可以控制 EIP, UAF, 等等) 允许写任意 4 字节. 我们可以在堆上分配一系列内存块（包含 shellcode), 然后利用漏洞实现 4 字节改写 EIP, 就可以跳去执行堆上的代码. Javascript 可以直接在堆上分配字符串，通过巧妙的布置堆我们可以 exploit 任何的浏览器. 现在主要问题是如何实现稳定的堆分配. 下图应该能给你一些启发:

这足以提起你的兴趣. 首先我们了解堆分配的过程，接下来我们用它实现 ActiveX 的漏洞利用。