缓冲区溢出攻击
缓冲区溢出攻击与防范实验
实验十二缓冲区溢出攻击与防范实验1.实验目的通过实验掌握缓冲区溢出的原理;通过使用缓冲区溢出攻击软件模拟入侵远程主机;理解缓冲区溢出危险性;理解防范和避免缓冲区溢出攻击的措施。
2.预备知识2.1缓冲区溢出攻击简介缓冲区溢出攻击之所以成为一种常见的攻击手段,其原因在于缓冲区溢出漏洞太普通了,并且易于实现。
而且,缓冲区溢出所以成为远程攻击的主要手段,其原因在于缓冲区溢出漏洞给予了攻击者所想要的一切:植入并且执行攻击代码。
被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序,从而得到被攻击主机的控制权。
下面简单介绍缓冲区溢出的基本原理和预防办法。
(1)缓冲区概念缓冲区是内存中存放数据的地方。
在程序试图将数据放到机器内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出。
而人为的溢出则是有一定企图的,攻击者写一个超过缓冲区长度的字符串,植入到缓冲区,然后再向一个有限空间的缓冲区中植入超长的字符串,这时可能会出现两个结果:一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统root特级权限。
缓冲区是程序运行的时候机器内存中的一个连续块,它保存了给定类型的数据,随着动态分配变量会出现问题。
大多时为了不占用太多的内存,一个有动态分配变量的程序在程序运行时才决定给它们分配多少内存。
如果程序在动态分配缓冲区放入超长的数据,它就会溢出了。
一个缓冲区溢出程序使用这个溢出的数据将汇编语言代码放到机器的内存里,通常是产生root权限的地方。
仅仅单个的缓冲区溢出并不是问题的根本所在。
但如果溢出送到能够以root权限运行命令的区域,一旦运行这些命令,那可就等于把机器拱手相让了。
造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。
缓冲区是一块用于存放数据的临时内存空间,它的长度事先已经被程序或操作系统定义好。
缓冲区类似于一个杯子,写入的数据类似于倒入的水。
第7章缓冲区溢出攻击及防御技术ppt课件
2024/3/29
网络入侵与防范技术
7
篮球比赛是根据运动队在规定的比赛 时间里 得分多 少来决 定胜负 的,因 此,篮 球比赛 的计时 计分系 统是一 种得分 类型的 系统
7.1 缓冲区溢出概述
隐蔽性:
第三,由于漏洞存在于防火墙内部的主机上,攻击者可 以在防火墙内部堂而皇之地取得本来不被允许或没有权 限的控制权;
2024/3/29
网络入侵与防范技术
1
篮球比赛是根据运动队在规定的比赛 时间里 得分多 少来决 定胜负 的,因 此,篮 球比赛 的计时 计分系 统是一 种得分 类型的 系统
7.1 缓冲区溢出概述
什么是缓冲区?它是包含相同数据类型实例的一个 连续的计算机内存块。是程序运行期间在内存中分 配的一个连续的区域,用于保存包括字符数组在内 的各种数据类型。
Windows系统中缓冲区溢出的事例更是层出不穷。 2001年“红色代码”蠕虫利用微软IIS Web Server中
的缓冲区溢出漏洞使300 000多台计算机受到攻击; 2003年1月,Slammer蠕虫爆发,利用的是微软SQL
Server 2000中的缺陷; 2004年5月爆发的“振荡波”利用了Windows系统的活
产生碎片不同 对堆来说,频繁的new/delete或者malloc/free势必会造成 内存空间的不连续,造成大量的碎片,使程序效率降低。 对栈而言,则不存在碎片问题,因为栈是先进后出的队列, 永远不可能有一个内存块从栈中间弹出。
生长方向不同 堆是向着内存地址增加的方向增长的,从内存的低地址向高 地址方向增长。 栈的生长方向与之相反,是向着内存地址减小的方向增长, 由内存的高地址向低地址方向增长。
1999年w00w00安全小组的Matt Conover写了基于 堆缓冲区溢出专著,对堆溢出的机理进行了探索。
浅析缓冲区溢出攻击原理及防御
缓冲区溢出攻击课程设计
缓冲区溢出攻击课程设计一、课程目标知识目标:1. 学生能够理解缓冲区溢出攻击的基本概念,掌握其工作原理;2. 学生能够描述常见缓冲区溢出漏洞的类型及其影响;3. 学生能够解释防范缓冲区溢出攻击的策略和技术。
技能目标:1. 学生能够运用所学知识分析简单的缓冲区溢出漏洞;2. 学生能够运用相关工具检测并修复简单的缓冲区溢出漏洞;3. 学生能够编写简单的防止缓冲区溢出攻击的代码。
情感态度价值观目标:1. 学生培养对计算机安全的兴趣,增强网络安全意识;2. 学生树立正确的道德观念,遵循网络安全法律法规,不参与非法攻击行为;3. 学生培养合作精神,学会在团队中分享和交流网络安全知识。
课程性质:本课程属于计算机科学领域,针对高中年级学生,旨在让他们了解网络安全的基本概念,提高防范网络攻击的能力。
学生特点:高中年级学生对计算机有一定了解,具备基本的编程能力,但对网络安全知识相对陌生。
教学要求:结合学生特点,课程设计需注重理论与实践相结合,通过案例分析和实际操作,让学生掌握缓冲区溢出攻击的相关知识,提高网络安全技能。
同时,注重培养学生的道德观念和合作精神,使他们在学习过程中形成正确的价值观。
二、教学内容1. 缓冲区溢出攻击基本概念:介绍缓冲区溢出的定义、原理以及攻击者利用该漏洞的目的。
教材章节:第三章“计算机网络安全”第二节“缓冲区溢出攻击”2. 缓冲区溢出漏洞类型:分析常见缓冲区溢出漏洞,如栈溢出、堆溢出等,并举例说明。
教材章节:第三章“计算机网络安全”第二节“缓冲区溢出攻击”3. 防范缓冲区溢出攻击的策略和技术:讲解防范缓冲区溢出攻击的方法,如边界检查、使用安全编程语言等。
教材章节:第三章“计算机网络安全”第三节“防范网络攻击策略”4. 实践操作:结合相关工具,指导学生进行以下操作:a. 分析并检测简单的缓冲区溢出漏洞;b. 修复缓冲区溢出漏洞;c. 编写防止缓冲区溢出攻击的代码。
教材章节:第三章“计算机网络安全”第四节“实践操作”5. 案例分析:通过实际案例,让学生了解缓冲区溢出攻击对系统安全的影响,并分析案例中的漏洞和防范措施。
缓冲区溢出攻击原理
#include<iostream.h> #include<string.h> void input() { int access(0); //access为1时表示登录正确得到权限,初始为0 char password[4]; //用于存储用户输入的登录密码 cout<<"输入密码:"; cin>>password; if(strcmp(password,"1988")==0)//比较两个串是否相等,如果相等返回值为0 { access=1; //两串相等,将权限变量赋值1 } if(access!=0) //access非零,则登录成功 cout<<"登录成功"<<endl; else //access为零,登录失败 cout<<"error"; } void main() { input(); //函数调用 }
返回地址
4) 然后把当前的栈指针(SP)拷贝到FP,作为新的基 地址; 5) 最后为本地变量留出一定空间
实在参数 栈底(内存高端)
低 ESP→ ←buf→
缓 冲 区
缓 冲 区
缓 冲 区
寄存器 ESP→ 高 ←→ EIP argc argv ESP→ ①调用之前 ②参数、EIP压栈 ③寄存器压栈 分配局部变量 EIP argc argv ESP→
当前EBP
48h 4(n=4) 3(m=3) EBP EIP 5 6
语句执行前的ESP
语句执行前的EBP
当缓冲区溢出发生时……
int AFunc(int i,int j) { int m = 3; int n = 4; char szBuf[8] = {0}; strcpy(szBuf, “This is a overflow buffer!”); m = i; n = j; BFunc(m,n); return 8; }
缓冲区溢出攻击详细讲解
缓冲区溢出攻击详细讲解缓冲区溢出(Buffer Overflow)是计算机安全领域既经典而又古老的话题。
随着计算机系统安全性的加强,传统的缓冲区溢出攻击方式可能变得不再奏效,相应的介绍缓冲区溢出原理的资料也变得“大众化”起来。
其中看雪的《0day安全:软件漏洞分析技术》一书将缓冲区溢出攻击的原理阐述得简洁明了。
本文参考该书对缓冲区溢出原理的讲解,并结合实际的代码实例进行验证。
不过即便如此,完成一个简单的溢出代码也需要解决很多书中无法涉及的问题,尤其是面对较新的具有安全特性的编译器——比如MS的Visual Studio2010。
接下来,我们结合具体代码,按照对缓冲区溢出原理的循序渐进地理解方式去挖掘缓冲区溢出背后的底层机制。
一、代码 <=> 数据顾名思义,缓冲区溢出的含义是为缓冲区提供了多于其存储容量的数据,就像往杯子里倒入了过量的水一样。
通常情况下,缓冲区溢出的数据只会破坏程序数据,造成意外终止。
但是如果有人精心构造溢出数据的容,那么就有可能获得系统的控制权!如果说用户(也可能是黑客)提供了水——缓冲区溢出攻击的数据,那么系统提供了溢出的容器——缓冲区。
缓冲区在系统中的表现形式是多样的,高级语言定义的变量、数组、结构体等在运行时可以说都是保存在缓冲区的,因此所谓缓冲区可以更抽象地理解为一段可读写的存区域,缓冲区攻击的最终目的就是希望系统能执行这块可读写存中已经被蓄意设定好的恶意代码。
按照冯·诺依曼存储程序原理,程序代码是作为二进制数据存储在存的,同样程序的数据也在存中,因此直接从存的二进制形式上是无法区分哪些是数据哪些是代码的,这也为缓冲区溢出攻击提供了可能。
图1 进程地址空间分布图1是进程地址空间分布的简单表示。
代码存储了用户程序的所有可执行代码,在程序正常执行的情况下,程序计数器(PC指针)只会在代码段和操作系统地址空间(核态)寻址。
数据段存储了用户程序的全局变量,文字池等。
缓冲区溢出原理
缓冲区溢出原理缓冲区溢出是一种常见的安全漏洞,它利用了程序在处理数据时没有正确限制输入长度的特点。
当程序接收用户输入数据并存储在缓冲区中时,如果输入的数据超过了缓冲区所能容纳的大小,就会导致溢出。
这种溢出可能导致程序崩溃、系统崩溃,甚至是远程攻击者能够利用溢出来执行恶意代码。
缓冲区溢出的原理是利用了程序在内存中分配缓冲区时的特性。
通常,程序在内存中为缓冲区分配一块连续的内存空间,并将用户输入的数据存储在这个缓冲区中。
然而,程序并没有对用户输入的数据长度进行有效的检查和限制,导致用户可以输入超出缓冲区大小的数据。
当用户输入的数据超过缓冲区大小时,多余的数据会被存储在相邻的内存区域中。
攻击者可以利用这个特性,通过输入特定的数据,覆盖控制程序的返回地址或其他关键数据,从而控制程序的行为。
一旦攻击者成功利用缓冲区溢出漏洞,可能会导致以下问题:1. 执行任意代码:攻击者可以注入恶意代码,并使程序执行该代码,这可能导致系统被完全控制。
2. 提升权限:攻击者可以修改关键数据,包括用户权限、系统配置等,从而获得更高的权限。
3. 拒绝服务:攻击者可以通过溢出来破坏程序的正常运行,导致程序崩溃或系统崩溃,从而拒绝正常用户的服务。
为了防止缓冲区溢出,开发者应该采取以下措施:1. 输入验证:对用户输入进行有效验证和过滤,确保输入的数据长度不会超过缓冲区的大小。
2. 使用安全的库函数:使用具有长度检查的安全库函数替代容易造成溢出的不安全函数,例如使用strncpy替代strcpy。
3. 栈保护机制:启用操作系统提供的栈保护机制,如栈保护、地址空间布局随机化(ASLR)等,以减少攻击的可能性。
4. 定期修补和更新:及时安装系统和应用程序的安全补丁,以修复已知的缓冲区溢出漏洞。
通过采取上述措施,可以有效减少缓冲区溢出漏洞的风险,提高系统的安全性。
缓冲区溢出攻击.ppt
-----------
返回指令
系统栈的作用
• CPU是如何知道要去FUNC_A的代码区取指,在 执行完FUNC_A后又是如何知道跳回到MAIN函数 (而不是FUNC_B的代码区)? CPU从何得知这 些函数的调用及返回信息? • 在代码区中精确的跳转都是借助系统栈的配合。 当函数被调用时,系统栈会为这个函数开辟一个 新的栈帧,并把它压入栈中,这个栈帧中的内存 空间被它所属的函数独占,是不会和别的函数共 享的。当函数返回时,系统栈会弹出该函数所对 应的栈帧。
• 在上图中,在默认情况下,一般PE文件的0 字节将映射到虚拟内存的0X00400000位置, 即为装载基址(IMAGE BASE)。 • 文件偏移是相对于文件开始处0字节的偏移, RVA是相对于装载基址0X00400000处的偏 移,OS在装载时基本上保持PE中的各种数 据结构,所以文件偏移地址和RVA有很大 的关系。
理解缓冲区溢出攻击的条件
• CPU、寄存器、内存的协同工作让程序流 畅地执行。
内存的不同用途
• 不同的OS,一个进程可被分配到不同的内 存区域去执行,但进程使用的内存可按功 能大致分成4个部分。 • 代码区:存储被装入执行的二进制机器代 码,处理器会到这个区域取指令并执行。 • 数据区:存储全局变量等。 • 堆区:进程可在堆区动态请求一定大小的 内存,并在用完后还给堆区,是动态分配 和回收。
系统栈在函数调用时的变化
栈顶方向 TOP
FUNC_B栈帧 局部变量 返回地址
用弹出的返回地址 回溯出上一个函数 的代码空间
FUNC_A栈帧 局部变量 返回地址 MAIN函数栈帧 MAIN函数栈帧
FUNC_A栈帧 局部变量 返回地址 MAIN函数栈帧
FUNC_A栈帧 局部变量 返回地址 MAIN函数栈帧
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1)攻击者可用任意数据覆盖堆栈中变量的内容; 2)覆盖堆栈中保存的寄存器内容,导致程序崩溃; 3)把堆栈里面的返回地址覆盖,替换成一个自己指定的
地方,而在这个个地方,可以植入一些精心设计了的 代码以达到攻击的目的。
2019/11/29
计算机系统安全原理与技术(第2版)
17
缓冲区溢出程序2
2).覆盖堆栈中变量的内容(7-2pass)
2019/11/29
计算机系统安全原理与技术(第2版)
10
1 缓冲区溢出基础知识-寄存器
1个指令指针寄存器(EIP): 指令指针EIP(Instruction Pointer)是存放下次 将要执行的指令在代码段的偏移量。
2019/11/29
计算机系统安全原理与技术(第2版)
11
1 缓冲区溢出基础知识-常用汇编指令
在格式化控制符中,有一种鲜为人知的控制符 %n。这个控制符用于把当前输出的所有数据 的长度写回一个变量中去
2019/11/29
计算机系统安全原理与技术(第2版)
25
2 格式化字符串漏洞
3.用printf向内存写数据
2019/11/29
计算机系统安全原理与技术(第2版)
26
2 格式化字符串漏洞
3.用printf向内存写数据
2019/11/29
计算机系统安全原理与技术(第2版)
29
3 安全编程
1.C语言的安全编程
(5)C语言没有提供异常处理机制,其异常检测处理 是由程序员预设完成的。
微软的Michael Howard与David LeBlanc所合著的 “Writing Secure Code”(编写安全的代码)一书中集 中讨论了编写安全代码的方方面面,读者可进一步阅 读。
以printf()函数为例:
int printf(const char*format,agr1,agr2,……);
format的内容可能为(%s,%d,%p,%x,%n……), 将数据格式化后输出。这种函数的问题在于函数 printf不能确定数据参数arg1,arg2,……究竟在什么 地方结束,也就是说,它不知道参数的个数。printf 函数只会根据format中的打印格式的数目依次打印堆 栈中参数format后面地址的内容。
2个变址寄存器(ESI和EDI) :
寄存器ESI、EDI称为变址寄存器(Index Register),它们主要用于存放存储单元在段内 的偏移量,用它们可实现多种存储器操作数的 寻址方式,为以不同的地址形式访问存储单元 提供方便。
2019/11/29
计算机系统安全原理与技术(第2版)
7
1 缓冲区溢出基础知识-寄存器
2019/11/29
计算机系统安全原理与技术(第2版)
18
缓冲区溢出程序3
3).覆盖堆栈中寄存器的内 容( 7-3字符覆盖溢出)
在栈上声明的各种变量的位 置就紧靠着调用函数的返回 地址。如果用户输入的数据 越过边界就会将调用函数的 返回地址覆盖,造成程序崩 溃。
2019/11/29
计算机系统安全原理与技术(第2版)
应用系统的编程安全
1 缓冲区溢出 2 格式化字符串漏洞 3 安全编程
2019/11/29
计算机系统安全原理与技术(第2版)
1
1 缓冲区溢出
1).什么是缓冲区溢出
简单的说,缓冲区溢出(Buffer Overflow)就 是通过在程序的缓冲区写入超出其长度的内容, 从而破坏程序的堆栈,使程序转而执行其他指 令,以达到攻击的目的。
for(int j=0;j<4;j++)
{
buf[k-j-1]=addr[3-j];
}
}
void main()
{
void test(int i);
test(1);
பைடு நூலகம்20
2 格式化字符串漏洞
格式化字符串的漏洞产生于数据输出函数中对输出格 式解析的缺陷,其根源也是C程序中不对数组边界进 行检查的缓冲区错误。
2个指针寄存器(ESP和EBP) :
它们主要用于访问堆栈内的存储单元,并且规定: EBP为基指针(Base Pointer)寄存器,用它可直接 存取堆栈中的数据; ESP为堆栈指针(Stack Pointer)寄存器,用它只可 访问栈顶。
2019/11/29
计算机系统安全原理与技术(第2版)
8
1 缓冲区溢出基础知识-寄存器
19
缓冲区溢出程序4
void come()
{ printf("Success!");
} void test(int i) {
char buf[12];//用于发生溢出的数组 int addr[4]; int k=(int)&i-(int)buf; int go=(int)&come;
addr[0]=(go<<24)>>24; addr[1]=(go<<16)>>24; addr[2]=(go<<8)>>24; addr[3]=go>>24;
12
1 缓冲区溢出基础知识-常用汇编指令
push:入栈指令 32位平台,push指令将一个32位的操作数压入 堆栈,导致esp减4。因为esp指向栈顶,且堆 栈是向小地址生长的,所以会导致esp减4。 pop:出桟指令 跟push指令对应,在32位平台,pop指令将一 个32的数弹出堆栈,会导致esp加4. pop指令 的参数一般是寄存器,将栈顶的数据弹出到寄 存器。
2019/11/29
计算机系统安全原理与技术(第2版)
4
1 缓冲区溢出基础知识-寄存器
32位CPU所含有的寄存器有:
4个数据寄存器(EAX、EBX、ECX和EDX) 2个变址和指针寄存器(ESI和EDI) 2个指针寄存 器(ESP和EBP) 6个段寄存器(ES、CS、SS、DS、FS和GS) 1个指令指针寄存器(EIP) 1个标志寄存器 (EFlags)
2019/11/29
计算机系统安全原理与技术(第2版)
28
3 安全编程
1.C语言的安全编程
(1)对内存访问错误的检测和修改。
(2)对于缓冲区溢出的覆盖错误,可由程序员预设缓 冲区的大小。
(3)指针引用是C中最灵活、最核心、最复杂,也是 最易出错的部分。
(4)出于保密的需要,在程序设计时要涉及到创建密 钥或密码等问题,具体到C程序设计中则是随机数的 选取和使用问题。
2019/11/29
计算机系统安全原理与技术(第2版)
9
1 缓冲区溢出基础知识-寄存器
EES——附加段寄存器(Extra Segment Register), ESS——堆栈段寄存器(Stack Segment Register), EFS——附加段寄存器(Extra Segment Register), EGS——附加段寄存器(Extra Segment Register),
2019/11/29
计算机系统安全原理与技术(第2版)
30
7.4 软件保护
7.4.1 软件技术保护的基本原则 7.4.2 密码保护技术 7.4.3 电子注册保护技术 7.4.4 结合硬件的保护技术 7.4.5 基于数字签名的保护技术 7.4.6 软件水印 7.4.7 软件的反动态跟踪技术
2019/11/29
2019/11/29
计算机系统安全原理与技术(第2版)
21
2 格式化字符串漏洞
1.printf中的缺陷
第一个printf调用是正确的, 第二个调用中则缺少了输出 数据的变量列表。那么第二 个调用将引起编译错误还是 照常输出数据?如果输出数 据又将是什么类型的数据呢?
2019/11/29
计算机系统安全原理与技术(第2版)
2019/11/29
计算机系统安全原理与技术(第2版)
2
1 缓冲区溢出
1).什么是缓冲区溢出
程序是从内存低端向高端按顺序存放的,输入 的形参按照自右至左的顺序入栈,而堆栈的生 长方向与内存的生长方向相反,因此在堆栈中 压入的数据超过预先给堆栈分配的容量时,就 会出现堆栈溢出。
简单地说,缓冲区溢出的原因是由于字符串处 理等函数没有对数组的越界加以监视和限制, 结果覆盖了堆栈数据。缓冲区的溢出有各种不 同的类型。
2019/11/29
计算机系统安全原理与技术(第2版)
3
1 缓冲区溢出
1).什么是缓冲区溢出
一般而言,有以下几种缓冲区溢出攻击的方式:
1)攻击者可用任意数据覆盖堆栈中变量的内容。 2)覆盖堆栈中保存的寄存器内容,导致程序崩溃。 3)把堆栈里面的返回地址覆盖,替换成一个自己 指定的地方,而在那个地方,可以植入一些精心设 计了的代码以达到攻击的目的。
22
2 格式化字符串漏洞
1.printf中的缺陷
2019/11/29
计算机系统安全原理与技术(第2版)
23
2 格式化字符串漏洞
2.用printf读取内存数据 输入“%p,%p,%p……”,实际上可以读出 栈中的数据
2019/11/29
计算机系统安全原理与技术(第2版)
24
2 格式化字符串漏洞
3.用printf向内存写数据
int local; local=m+n; }