代码

#include <windows.h>
main()
{  
	HLOCAL h1, h2,h3,h4,h5,h6;
	HANDLE hp;
	hp = HeapCreate(0,0x1000,0x10000);
	h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	h4 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	h5 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	h6 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	_asm int 3//break the process

	HeapFree(hp,0,h1);
	HeapFree(hp,0,h3);
	HeapFree(hp,0,h5); 
	_asm int 3
	
	h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
	return 0;
} 

实验目的

简单理解DWORD SHOOT

实验准备

环境：windows xp
编译器：vc++
调试器：OD

实验过程

1.根据之前动调空表的经验直接找到申请的堆块的位置，六块申请了8个字节的空间，算上堆头8个字节，就相当于六块16个字节的内存，直接从尾块上面“切”下来。

2.释放奇数位的堆块，防止堆块合并
发现h1，h3，h5都链入了Freelist[2]

此时堆块的占用状况

如果这时候对某一串数据的向前指针或是向后指针进行修改，那么就能使自己的shellcode成功的载入进程序里面.
例如将h3中的后向指针改为0x12345678前向指针改成0x11111111，那么最后执行链表拆卸的时候就是把0x12345678指向的东西移到前向指针的位置上。如果把这些地址换成shellcode的地址就成功装入程序了。
实际上堆块的分配、释放、合并操作都能引发 DWORD SHOOT，因为都涉及到了链表，只要修改指针就能导入恶意代码。

摘抄《0day安全》

这本书简单的介绍了一下溢出的攻击方式，感觉介绍的也比较全面，所以直接摘抄一手。
（1）内存变量：修改能够影响程序执行的重要标志变量，往往可以改变程序流程。例如，更改身份验证函数的返回值就可以直接通过认证机制。栈溢出时溢出的数据必须连续，而 DWORD SHOOT 可以更改内存中任意地址的数据。
（2）代码逻辑：修改代码段重要函数的关键逻辑有时可以达到一定攻击效果，例如，程序分支处的判断逻辑，或者把身份验证函数的调用指令覆盖为 0x90(nop)。
（3）函数返回地址：栈溢出通过修改函数返回地址能够劫持进程，堆溢出也一样可以利用DWORD SHOOT 更改函数返回地址。但由于栈帧移位的原因，函数返回地址往往是不固定的，甚至在同一操作系统和补丁版本下连续运行两次栈状态都会有不同，故 DWORD SHOOT 在这种情况下有一定局限性，因为移动的靶子不好瞄准。
（4）攻击异常处理机制：当程序产生异常时，Windows 会转入异常处理机制。堆溢出很容易引起异常，因此异常处理机制所使用的重要数据结构往往会成为 DWORD SHOOT 的上等目标，这包括 S.E.H、F.V.E.H、进程环境块中的 U.E.F 、线程环境块中存放的第一个S.E.H 指针。
（5）函数指针：系统有时会使用一些函数指针，比如调用动态链接库中的函数、C++中的虚函数调用等。改写这些函数指针后，在函数调用发生后往往可以成功地劫持进程。但可惜的是，不是每一个漏洞都可以使用这项技术，这取决于软件的开发方式。
（6）P.E.B 中线程同步函数的入口地址：天才的黑客们发现在每个进程的 P.E.B 中都存放着一对同步函数指针，指向 RtlEnterCriticalSection()和 RtlLeaveCriticalSection()，并且在进程退出时会被 ExitProcess()调用。如果能够通过 DWORD SHOOT 修改这对指针中的其中一个，那么在程序退出时 ExitProcess()将会被骗去调用我们的 shellcode。由于 P.E.B 的位置始终不会变化，这对指针在 P.E.B 中的偏移也始终不变，这使得利用堆溢出开发适用于不同操作系统版本和补丁版本的 exploit 成为可能。这种方法一经提出就立刻成为了 Windows 平台下堆溢出利用的最经典方法之一，因为静止的靶子比活动的靶子好打得多，我们只需要把枪架好，闭着眼睛扣扳机就是了。