Пытаюсь разбираться с переполнением буфера в куче

@rjrf · Регистрация: 24.10.2013

Студворк — интернет-сервис помощи студентам

Нашел такой код:

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
#include <stdio.h>
#include <string.h>
#include <windows.h>
int main(int argc, char* argv[])
{
    char *c = (char *)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, 10);
    char *d = (char *)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, 32);
    char *e = (char *)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, 10);
    strcpy(c, "Hello!");
    strcpy(d, "Big!");
    strcpy(e, "World!");
    HeapFree(GetProcessHeap(), 0, e);
    return 0;
}

насколько я понял при переполнении одной кучи затирается другая отсюда и уязвимость, но где это затирание можно в vs увидеть так и не понял...

@nmcf · 03.04.2015, 23:20

Что и где здесь затирается? Строки короче 10.

@rjrf · 03.04.2015, 23:47 **[ТС]**

Сообщение от nmcf

Что и где здесь затирается? Строки короче 10.

Ну тут как бы очевидно что и как переполнить))

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
#include <stdio.h>
#include <string.h>
#include <windows.h>
int main(int argc, char* argv[])
{
    char *c = (char *)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, 3);
    char *d = (char *)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, 3);
    char *e = (char *)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, 3);
    strcpy(c, "AAAAAAAAAAAAAAA");
    strcpy(d, "AAAAAAA");
    strcpy(e, "AAAAAAA");
    HeapFree(GetProcessHeap(), 0, e);
    return 0;
}

Но мне непонятно где находится эта самая куча, то бишь для меня единственный видимый признак переполнения - сообщение об ошибке, в общей памяти ее как то нашел, а где еще искать беспонятия

@Robar · 04.04.2015, 02:02

Assembler
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Debugger name and version: GNU gdb (GDB) 7.5
Child process PID: 812
At C:\Users\\overl\main.cpp:8
At C:\Users\\overl\main.cpp:9
At C:\Users\\overl\main.cpp:10
At C:\Users\\overl\main.cpp:11
> p c
$1 = 0x4e4878 ""
> p d
$2 = 0x4e4898 ""
> p e
$3 = 0x4e48b8 ""
At C:\Users\\overl\main.cpp:12
At C:\Users\\overl\main.cpp:13
At C:\Users\\overl\main.cpp:14
> p c
$4 = 0x4e4878 'A' <repeats 15 times>
> p d
$5 = 0x4e4898 "AAAAAAA"
> p e
$6 = 0x4e48b8 "AAAAAAA"
Program received signal SIGTRAP, Trace/breakpoint trap.
In ntdll!TpWaitForAlpcCompletion () (C:\Windows\system32\ntdll.dll)
Debugger finished with status 0

Ну это просто крэш. А где эксплуатация - сиречь запуск чужого когда?
Кстати, тут код располагается выше чем куча, а куча растет вниз. Не получится тут buffer overflow

@rjrf · 04.04.2015, 12:12 **[ТС]**

Robar,
"Если происходит переполнение буфера в куче, то
при атаке перезаписывается следующий по порядку блок кучи, включая и заголовок. Если есть возможность перезаписать в памяти заголовок следующего блока,то в память можно записать и подготовленные данные."
не понимаю как это работает, но так в книжке написано
https://www.williamspublishing... /part7.pdf

Убежденный · 04.04.2015, 12:50

Сообщение от Robar

а куча растет вниз.

Это где такое написано ?

@Robar · 04.04.2015, 13:52

Сообщение от Убежденный

Это где такое написано ?

Ну в данном случае вниз -

Assembler
1
2
3
4
5
6
> p c
$1 = 0x4e4878 ""
> p d
$2 = 0x4e4898 ""
> p e
$3 = 0x4e48b8 ""

А вообще конечно расти может куда угодно.

@rjrf · 06.04.2015, 14:53 **[ТС]**

Сообщение от Robar

Assembler
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Debugger name and version: GNU gdb (GDB) 7.5
Child process PID: 812
At C:\Users\\overl\main.cpp:8
At C:\Users\\overl\main.cpp:9
At C:\Users\\overl\main.cpp:10
At C:\Users\\overl\main.cpp:11
> p c
$1 = 0x4e4878 ""
> p d
$2 = 0x4e4898 ""
> p e
$3 = 0x4e48b8 ""
At C:\Users\\overl\main.cpp:12
At C:\Users\\overl\main.cpp:13
At C:\Users\\overl\main.cpp:14
> p c
$4 = 0x4e4878 'A' <repeats 15 times>
> p d
$5 = 0x4e4898 "AAAAAAA"
> p e
$6 = 0x4e48b8 "AAAAAAA"
Program received signal SIGTRAP, Trace/breakpoint trap.
In ntdll!TpWaitForAlpcCompletion () (C:\Windows\system32\ntdll.dll)
Debugger finished with status 0

Ну это просто крэш. А где эксплуатация - сиречь запуск чужого когда?
Кстати, тут код располагается выше чем куча, а куча растет вниз. Не получится тут buffer overflow

Спасибо, все действительно так, но в книжке написано что уязвимость тут не как обычном переполнении буфера(функция strcpy), а в функции free
"Искажая данные в полях заголовка, хакер может заставить программу управле>
ния кучей после вызова функции HeapFree прочесть данные из других областей
памяти"

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .

@nmcf 7804 / 6568 / 2988 Регистрация: 14.04.2014 Сообщений: 28,705
	03.04.2015, 23:20
	Что и где здесь затирается? Строки короче 10. 0

@rjrf 0 / 0 / 0 Регистрация: 24.10.2013 Сообщений: 89
	04.04.2015, 12:12 [ТС]
	Robar, "Если происходит переполнение буфера в куче, то при атаке перезаписывается следующий по порядку блок кучи, включая и заголовок. Если есть возможность перезаписать в памяти заголовок следующего блока,то в память можно записать и подготовленные данные." не понимаю как это работает, но так в книжке написано https://www.williamspublishing... /part7.pdf 0

Пытаюсь разбираться с переполнением буфера в куче

Решение