傳統的Heap Spray是使用js分配內存。根據heap spray的思想,就是用同樣的一個指令,去覆蓋一片大內存地址,在每塊分配到的內存最後,都付上我們的shellcode。
對這個指令的要求是,相當於NOPS的作用。且該指令指向的地址,正好落在我們覆蓋的這片大存在地址中。
上面說的可能有些繞口,在實際exploit中,就是分配這樣的一片內存區域,比如
0B2701B0 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
0B2701C0 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
0B2701D0 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
0B2701E0 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
0B2701F0 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
0B270200 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
0B270210 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
0B270220 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
這樣,0x0c0c0c0c的地址的內容也是 0c0c0c0c
0C0C0C0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
0C0C0C1C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
0C0C0C2C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
0C0C0C3C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
0C0C0C4C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
0C0C0C5C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C 0C ................
而0c這個指令正好是雙字節指令,且對寄存器影響最小,可以起到nops的作用
0C0C0C0C 0C 0C OR AL,0C
0C0C0C0E 0C 0C OR AL,0C
0C0C0C10 0C 0C OR AL,0C
0C0C0C12 0C 0C OR AL,0C
0C0C0C14 0C 0C OR AL,0C
0C0C0C16 0C 0C OR AL,0C
所以如果我們把我們的eip指向了0x0c0c0c0c這個地址,就會一直在這片內存中執行下去,一直執行到我們的shellcode爲止