并包含原始字符串经UNICODE转换后的字符串

在对象尾部包含 2 NULL 字节，代表字符串的结束

因为堆与堆分配是 确定的，直接假设，如果继续分配内存块，分配器将会在连续/领近的地址分配堆块

最后分配的内存块将会覆盖掉某个地址，至少是可预测的地址，虽然首次分配的地址是可变的，

但利用堆喷射，在分配一定次数的内存块后，就可在可预测的地址上分配内存

unescape 其实就是 解码编码字符串

如果用一些事 unicode 的字符串赋予变量，那么它就不用再转换成unicode了，用 %u 即可实现

haXe（发音如hex）是一种开源的编程语言。

可以使用haXe开发以下平台的程序：
Javascript：你可以把一个haXe程序编译成单个的.js文件。你可以使用autocompletion支持来访问典型浏览器的DOM API，并且所有的依赖都会在编译的时候被解决。
NekoVM：你可以把一个haXe程序编译成NekoVM的二进制代码。这可以应用在像动态网页的服务器端编程（使用mod_neko for Apache），但也可以用于命令行或桌面应用软件，因为NekoVM是可嵌入的和可通过一些其它的DLL扩展的。
PHP：你可以把一个haXe程序编译成.php文件。

（顺便提下，追踪IE8下的heap spray字符串分配的最简单方法是对jscript!JsStrSubstr函数下断。）IE8是目前最流行使用最广泛的浏览器之一，它支持DEP（通过调用SetProcessDEPPolicy()）保护，使其问题更加复杂化。在更新版本的操作系统中，由于安全意识及设置的提高，DEP无法再置之不理了。即使你能够顺利完成heapspray，但如果无法稳定地绕过DEP，那也是白搭。也就是说，你不能仅仅跳转到堆上的nop区域。其它如Firefox、Google Chrome、Opera和Safari等等近期新旧版本的浏览器也是允许DEP保护。后面看下heaplib为何物，以及它的作用。

有Internet Explorer的分配内存损坏通常由浏览器堆漏洞三个主要组成部分。
1)是MSHTML.DLL库，负责对当前显示的页面上的HTML元素管理内存。它在页面的初始呈现分配内存，并且在任何后续的DHTML操作。内存从默认进程堆中分配的，当一个页面被关闭或HTML元素被破坏被释放。 

2)用于管理存储器的JSCRIPT.DLL JavaScript引擎。内存新的JavaScript对象是由一个专门的JavaScript堆中分配的，除了字符串，这是从默认进程堆中分配的。未被引用的对象被垃圾收集器，它运行时的总的内存消耗或对象的数量超过某一阈破坏。垃圾收集器也可以通过调用CollectGarbage（）函数明确地触发。
3)在大多数浏览器漏洞的最后一个组件是ActiveX控件，导致堆损坏。某些ActiveX控件使用专用堆，但大部分分配和默认进程堆内存破坏。 
一个重要的发现是，Internet Explorer的所有三个组成部分使用相同的默认进程堆。这意味着，分配和使用JavaScript释放内存改变使用MSHTML和ActiveX控件堆的布局，ActiveX控件堆损坏漏洞可以被用来覆盖由其他两个浏览器组件分配的内存。

JavaScript引擎分配大部分内存与MSVCRT malloc()和new()函数，使用过程中的CRT初始化创建一个专用的堆。其中一个重要的例外是针对JavaScript字符串的数据。它们被存储为BSTR字符串，所用的COM接口基本字符串类型。他们的内存是从由SysAllocString家族在 OLEAUT32.DLL 函数的默认进程堆分配。 
下面是在JavaScript字符串分配一个典型的回溯：

在堆上分配一个新的字符串，我们需要创建一个新的JavaScript字符串对象。我们不能简单地指定字符串到一个新的变量，因为这不会创建字符串数据的备份。相反，我们需要连接两个字符串或使用substr 函数。例如：

从这个例子其中str1字符串上面会在内存中的表示形式如下：

字符串的存储方式可以让我们写一个函数，通过分配一个新的字符串分配一个任意大小的内存块。该代码将计算所需的字符串长度使用len = (bytes - 6) / 2的公式，并调用substr来分配长度的新字符串。该字符串将包含填充串复制的数据。如果我们想要把具体的数据到新的内存块，我们只需要初始化字符串填充它先。

操纵浏览器堆的布局是不够的，能够分配任意大小的内存块，我们还需要一种方法来释放他们。 JavaScript的运行时使用一个简单的标记 - 清除垃圾收集，最详尽的描述，是中。 
垃圾收集是通过各种试探法，如自上次运行中创建的对象的数量触发。标记 - 清除算法识别在JavaScript运行时的所有未引用的对象，并破坏它们。当一个字符串对象被销毁，其数据将被释放通过调用SysFreeString在OLEAUT32.DLL。

要释放我们分配的字符串中的一个，我们需要删除所有的引用，并且运行垃圾回收器。

幸运的是，我们不必等待启发式之一来触发它，因为在Internet Explorer中的JavaScript实现提供了CollectGarbage（）函数强制垃圾收集器立即运行。使用此功能显示在下面的代码：

不幸的是，事实证明，调用SysAllocString并不总是导致从系统堆分配。分配和释放BSTR的字符串函数使用一个自定义的内存分配器，在OLEAUT32的APP_DATA类中实现。该内存分配器维护释放的内存块的缓存和重用他们的未来分配。这类似于由系统内存分配器保持后备列表。 

缓存由4个垃圾桶，每持有一定的尺寸范围内6个街区。当一个块被释放用 APP_DATA:: FreeCachedMem()函数，它存储在分区中的一个。如果垃圾桶已满，在垃圾桶最小的块用 HeapFree释放了，并替换为新的块。块大于32767字节的不缓存，总是直接释放。 

当APP_DATA:: AllocCachedMem()被调用来分配内存时，它会在适当的大小垃圾桶一个空闲块。如果有足够大的块被找到，它被从缓存中移除，并返回给调用者。否则，函数HeapAlloc分配新的内存()。

为了确保每个字符串分配来自于系统堆，我们需要分配的最大规模的6块每个垃圾箱。由于高速缓存可以容纳在一个垃圾桶只有6个块，这将确保所有缓存箱是空的。下一个字符串分配是保证导致调用HeapAlloc（）。 

如果我们释放我们刚刚分配的字符串，它会进入高速缓存分区中的一个。我们可以通过释放，我们分配在前面的步骤6的最大大小的块冲洗出来的高速缓存。该FreeCachedMem（）函数将推动所有较小的块从缓存中，而我们的字符串将被释放与HeapFree（）。在这一点上，高速缓存将满，所以我们需要通过分配6的最大大小的块为每个垃圾箱再次清空。 

实际上，我们使用的是6块作为柱塞推了所有更小的块进行缓存，然后我们拉柱塞通过再次分配了6个块。 

下面的代码显示了柱塞技术的实现：

push 块从缓存中，并用HeapFree（释放它），它必须比其垃圾箱的最大尺寸小。否则，条件min_size <  FreeCachedMem 大小 不会合理和柱塞块将被释放。这意味着，我们不能释放32，64，256或32768 的块，但是这并不是一个严重的限制。

我们实施了上一节名为HeapLib一个JavaScript库描述的概念。它提供的alloc（）和free（）直接映射到调用系统分配器的功能，以及许多的更高水平的堆操作例程。

这个程序分配一个16字节的块, 拷贝字符串“AAAAA”进去。该块被打上了标记为“foo”，这就是后来作为一个参数传递给了free（）。在free（）函数释放带有此标签的所有内存块。 

在其上堆效果来看，程序等同于下面的C代码：

HeapLib提供了许多可用于调试库，并检查其在堆上效应功能。这是小例子，它说明了调试功能： 

要查看调试输出，连接WinDbg到iexplore.exe进程，并设置以下断点：

 

 
 

 WinDbg断点。这使我们有机会与JavaScript执行，然后再继续检查堆的状态。
 
 

 

该库还提供了功能操作的开发中使用的数据。这是一个使用addr（）和padding（）函数来编写一个假虚函数表块的例子： 

 得到一个指针 / 虚指针的控制，大部分发生在 UAF 类型的漏洞中，可以在一个给定的地址伪造 一个虚指针。
 
 

 这个伪造的虚指针表中的一些指针包含特定的值，这样就不能直接引用之前的 heap spray 
 
 

 
 

 
 

 如果没有额外空间在你控制的栈里面，但是有一个寄存器指向你的heap spray 地址，你可以简单的直接ROP指向他，然后覆盖EIP-ret
 
 

 
 

 

 

 

 

 唯一需要搞清楚  PADDING 的偏移大小，根据大小 生成整个喷射结构
 
 

 位图喷射法在IE8 上也可运行，虽然可能需要在图片里面添加一些随机化数据=使得喷射更加稳定可靠
 
 

 每一张图片对应一个单独的堆喷射块。 这样我们就可以按照逻辑把数据填充到图片中（就是我们之前说的0x1000的ROP/SHELLCODE/PADDING），同时注意，地址0x0c0c0c0c 要指向ROP链开始处
 
 

 Nozzle & BuBBle  两种堆喷射防御机制。 被部署在浏览器中，他们尝试 检测堆喷射，并阻止他们
 
 

 Nozzle 微软发布，试图检测能被转化成有效汇编代码的字段，如果它发现了重复的，可以被转变成有效汇编代码（EG: NOP），这样的内存申请将被阻止
 
 

 BuBBle 如果JS尝试申请有相同内容的重复的块，并且内容包含这些字段，BuBBle 就会阻止这样的内存申请，被应用于Firefox中
 
 

 这些技术能成功的阻止多数基于NOP+SHELLCODE的堆喷射。
 
 

 微软的免费软件，允许启用多种保护机制，将减少漏洞可以被用来接管系统的可能性，
 
 

 heao soray 将分配一定的“流行”的内存区域，不会有很大的意义
 
 

 预先在特定的内存地点申请内存（EMET也这样），并注入特定的shellcode，让进程退出
 
 

 
 

 检测专用内存使用，并允许设置一个给定的脚本允许分配的最大内存量
 
 

 
 

 注意到IE8中用到的方法 对于IE9不再有效了。没有任何喷射的痕迹
 
 

 IE9使用了 Nozzle  或者  Bubble 或者类型的防御措施。检测NOPS，或者包含重复内容的内存申请，并阻止它们
 
 

 为了克服这个问题，修改了heaplib 在metasplot 模块的形式出现
 
 

 变化时随机的分分配块的很大一部分，确保每块中都有不同的填充（内容上，而不是大小），似乎很好的打败了保护
 
 

 在精确地喷射中，填充在开始的和结束的0x800 字节的块只是垃圾
 
 

 如果我们使用随机字节，并确保每个分配和前一个是不同的，应该能够逃过 Nozzle 或者 Bubble
 
 

 需要精确喷射是因为 DEP的存在（VISTA 和以上版本）
 
 

 IE9中的堆喷射事实上并不是 oleaut32分配的，仍然使用了 heaplib 开申请块
 
 

 当然，库中任何 heaplib 都完全可以不需要
 
 

 
 

 
 

 如果大小不够，可以改变块大小，或者取一个较低的地址
 
 

 
 

 由于我们使用重复的0x800字节在一个堆块中，ROP链可能被一些块跟随，从而我们又可以发现shellcode 在填充后ROP链，你只需置放/执行向前跳
 
 

 
 

 
 

 
 

 
 

 需要ROP前的内存可执行
 
 

 
 

 

 

 
 

 查看 申请大于3ffff 大小的内存块的信息
 
 

 
 

 
 

 
 

 遇到的最大问题 居然是我莫名其妙的把IE8 合并为一个进程  造成了不能heapspray精确
 
 

 我意外发现 这样反而保护了IE浏览器
 
 

 

 

 

 
 

 MS开发了新的ROP阻止方案，使得DEP BYPASS更加复杂
 
 

 一些API 将会被检测，如果这些API的参数都在栈上，当变换ESP到堆里面时，这些API都不能被调用，于系统相关
 

四年级学生上学期学习计划范文

　　新学期，新起点，新气象。在新的学期里，学习负担越来越重，我们该如何安排作息时间呢？先来看看我的学习计划吧。

　　4）PM4：50~7：00写作业、复习、预习

　　5）PM7：30~8：30看语文课外书和学新新概念英语

　　2）AM9：30~10：30读英语文章和语文书

　　4）AM12：30~PM2：00复习、看课外书（各种各样的书）

　　1、语文课本要背的必须向家长背，要签名；作业要写工整

　　2、数学题不会的就要问，写数学作业时，字迹要清楚，答题要答明确

　　3、英语也是一门重要的语言，课本上的句子一定要翻译成中文

　　1、语文争取不扣分，我的.目标是考95分以上

　　2、数学一定要用草稿纸计算，我的目标是考95分以上

　　3、英语选择题一定不能扣分，我的英语考试目标要考95分以上

　　以上是我的学习目标和计划，请老师与家长监督我，相信我能做到的！

【四年级学生上学期学习计划范文】相关文章：