缓冲区溢出攻击技术系统介绍
缓冲区溢出攻击的基本原理
缓冲区溢出攻击的基本原理
缓冲区溢出攻击(Buffer Overflow Attack)是一种常见的安全漏洞,指的是攻击者利用输入数据的长度或格式错误,超出程序设计者预留的存储空间范围,从而写入到相邻内存空间中,进而控制程序的执行或修改程序的行为。
缓冲区溢出攻击的基本原理如下:
1.内存分配:程序在运行时会根据变量类型和长度来分配内存空间。
2.缓冲区溢出:攻击者通过向程序输入异常数据,超出了程序预留的内存空
间。
3.覆盖关键数据:溢出的数据覆盖了原本存储的数据,可能是程序的返回地
址、函数指针等关键信息。
4.控制程序行为:攻击者利用溢出的数据修改程序的执行路径,跳转到自己
准备好的恶意代码。
5.执行恶意代码:程序执行了攻击者注入的恶意代码,可能导致系统崩溃、
拒绝服务或远程执行任意命令。
为了避免缓冲区溢出攻击,开发人员可以采取以下措施:
•使用安全的编程语言和工具,如内存安全的语言(如Rust)或经过良好测试的C/C++库。
•限制输入数据的长度,确保不会超过缓冲区可容纳的大小。
•进行输入验证和过滤,确保输入数据符合预期的格式和范围。
•定期更新软件和操作系统,及时修补已知的漏洞。
•实施数据执行保护(DEP)和地址空间布局随机化(ASLR)等安全机制。
综上所述,缓冲区溢出攻击是一种常见的安全漏洞,它利用错误处理输入数据的程序中的缺陷,从而控制程序行为。
开发人员和系统管理员应该密切关注安全问题,采取相应的防护措施,以保护系统和用户的信息安全。
缓冲区溢出原理及防范
摘要:正文:大纲:1.引言;随着网络安全技术的飞速发展,缓冲区溢出漏洞已经成为当前最具安全威胁的漏洞之一,缓冲区溢出攻击也成为一种非常有效而常见的攻击方法。
如Internet上的第1例蠕虫(Morris)攻击,就是利用了fingerd的缓冲区溢出漏洞。
SANS评选出的2005年威胁最大的20个漏洞中,有8个跟缓冲区溢出有关。
根据CNCERT最近几周的计算机安全漏洞的统计数据,与缓冲区溢出有关的安全事件占了很大的比例。
这些都充分说明了研究缓冲区溢出的重要性。
本文主要介绍了windows下的缓冲区溢出的相关知识。
2.漏洞原因和原理;2.1 产生原因;当向一个已分配了确定存储空间的缓冲区内复制多于该缓冲区处理能力的数据时,就会发生缓冲区溢出,溢出包括堆溢出和堆栈溢出。
它与程序在内存中的分布有关,而它产生的直接原因是由于C/C++程序中的一些函数调用时,没有进行边界检查,如C函数库中的strcpy(),strcat(),sprintf(),gets()等都是不安全的。
由上面的分析可知要产生缓冲区溢出,需要有几个条件: 1) 程序编译时在堆栈上分配了固定大小的缓冲区,并且在对缓冲区进行访问时没有提供边界检查。
这条在C/C ++语言中就满足,而对于有边界检查的语言,如Pascal 等,就没有这样的溢出问题。
2) 程序调用了没有进行边界检查的函数来访问(写操作) 缓冲区,这些函数没有对访问的缓冲区的大小进行判断。
由于在C语言中,字符串以0字节来标识结尾,其中没有字符串的长度信息,所以几个没有判断字符串长度的字符串拷贝函数就是容易出现问题的函数。
这些函数有: strcat()、strcpy()、sprintf()等。
3) 即使程序使用了上面所说的问题函数也不一定会出现溢出漏洞,漏洞发生的最后一个条件是程序员由于粗心,未检查用户输入数据的长度就将其直接复制到缓冲区中去。
虽然这看起来是一件小事,很容易杜绝。
可惜的是正因为有大量粗心的程序员的存在,使得溢出漏洞变得非常的普遍。
缓冲区溢出黑客攻击及防范技术的研究
关键词: 黑客 ; 网络 攻 击 ; 冲 区 溢 出 ; 范 缓 防
1 概 述
试 探 性 攻 击 , 后 执 行 类 似 “xes ) 执行 代 码 来 获得 具 有 r t 限 的 然 ee(h 的 o 权 o
的就是使不进行边界检查或者有其他弱点的缓 冲区溢 出, 这样就扰乱了 程序正常的执行顺序 。通过使一个缓 冲区镒 出, 攻击者可以用暴力的方 法改写相邻的程序空间而直接跳过 了系统的检查 。 总之 , 冲区溢 出是一种在各种操作 系统 、 用软件 中广泛存在危 缓 应 险的漏洞 , 冲区溢出攻 击可以导致程序运行失败 、 缓 系统崩溃等后果 。 更 31 缓 冲 区溢 出 . 为 严 重 的是 , 以利 用 它执 行 非 授 权指 令 , 至 可 以 取 得 系统 特 权 , 而 可 甚 进 堆 栈 溢 出 ( 称 缓 冲 区溢 出 )攻击 是 最 常 用 的 黑 客攻 击技 术 之 一 。 进 行 各 种 非 法 操作 。第 一 个 缓 冲 区攻 击 — — Mo s 虫 , 生 在 十 多 年 又 m 蠕 发 它 0 0多 台 网络 服 务 器 瘫 痪 。 U I 自身 以及 其 上 层 的许 多应 用 程 序都 是用 C语 言编 写 的 , NX C语 言 不 前 , 曾造 成 了全 世 界 6 0 检查 缓 冲 区 的边 界 。 在某 些 情 况 下 , 如果 用 户 输 入 的 数据 长度 超 过 应 用 4 缓 冲 区 溢 出攻 击 的 防 范 程 序 给定 的 缓 冲 区 , 会 覆 盖 其 他 数 据 区 , 称 作 “ 栈 溢 出或 缓 冲 溢 就 这 堆 传统安全工具如防火墙对缓冲区溢出攻击无 能为力 , 因为攻击者传 出” 。 输 的数 据 分 组 并 无异 常 特 征 , 有 任 何 欺 骗 。 另外 可 以用 来 实施 缓 冲 区 没 般情 况 下 , 盖 其 他 数 据 区 的数 据 是 没 有 意 义 的 , 多 造 成应 用 溢出攻击的字符串非常多样化 , 覆 最 无法与正常数据有效地进行区分。缓 冲 程序错误 。 但是 , 如果输入的数据是经过黑客精心设计的 , 覆盖堆栈的数 区溢 出攻击不是一种窃密和欺骗的手段 , 而是从计算机系统的最低层发 据恰恰是黑客的入侵程序代码, 黑客就获取了程序的控制权。如果该程 起攻击 , 因此身份验证和访 问权限等安全策略对于缓冲区溢出攻击形 同 序恰好是以 ro运行 的, ot 黑客就 获得 了 ro 权 限, ot 然后就 可以编译黑 客 虚设 。通常采用 以下防范措施 。 程序 、 留下入侵后 门, 实施进一步攻击。 按照这种原理实现的黑客入侵就 1 编写攻击防范的代码。缓冲区溢 出根源在于程序, 由编程错误 ) 是 叫做“ 堆栈溢出攻击” 。 引 起 的 。 防止 利 用缓 冲 区溢 出 发 起地 攻 击 , 键 在 于 程序 开发 者 在 开 发 关 3 缓 冲 区溢 出攻 击 的原 理 . 2 程序时仔细检查溢出情况 , 不允许数据溢出缓冲区。 ) 2 非执行的缓冲区。 当正 常 的使 用 者操 作 程 序 的 时候 , 进 行 的操 作 一 般 不 会 超 出程 序 使被攻击程序的数据段地址空间不可执行 , 所 从而使 得攻击者不可能执行 的运行范围, 而黑客却利用缓冲长度界限 向程序输入超过其常规长度的 被植入 的攻击程序输入缓冲区的代码 , 这种技术被称为非执行的缓冲区 内容 , 造成缓 冲区的溢 出从 析破坏程序 的堆栈 , 使程序运行 出现特殊 的 技 术 。 ) 组 边 界 检查 。数组 边 界 检 查 完 全 不会 有 缓 冲 区溢 出 的产 生和 3数 问题转 而执行其他指令 , 以达到攻击的 目的。造成缓冲区溢出的原因是 攻击。 只要数组不能被溢出 , 溢出攻击也就无从谈起 。 为了实现数组边界 程序没有仔细检查用户输入的参数 , 属于程序开发过程考虑不周 到的结 检查 , 应检查所有数组操作范围 , 还可 以用一些优化技术来减少检查的 果。 次数。4 程序指针完整性检查。程序指针完整性检查指 的是在程序指针 ) 通 过 制造 缓 冲区 溢 出使 程 序 运 行 一 个用 户 sel hl ,再 通 过 sel 行 被 引 用之 前 检 测 到 它 的变 化 。 因 此 , h l执 即使 一 个 攻 击 者 成 功地 改变 了程 序 其他 命 令 。如果 该 程 序属 于 ro 且有 si 限 的话 。 击 者 就 获得 了一 的 指 针 , 于 系统 事 先 检 测 到 了 指 针 的 变 化 , 此 这 个 指 针 将 不 会 被 使 ot ud权 攻 由 因 个 有 ro权 限 的 sel可以 对 系统 进 行 任 意操 作 了 。 ot hl , 用 。这 种 方 法 不 能解 决 所 有 的缓 冲 区溢 出 问题 , 是 在 性 能 上 有 很 大 的 但 缓冲区溢出攻击之所以成为一种常见网络安全攻击手段 , 其原因在 优 势 , 且 兼 容性 也 很 好 。 而 于缓冲区溢 出漏洞普遍并且易于实现。 而缓冲区溢 出成为远程攻击的主 此外 , 用户需要经常登录操作系统和应用程序提供商 的网站 , 跟踪 要手段原 因在于缓 冲区溢出漏洞给予了攻击者想要的一切 , 如植入并且 公 布 的 系 统 漏洞 , 时 下 载补 丁程 序 , 补 系统 漏 洞 。 及 弥 执 行攻 击 代 码 。 植 入 的 攻 击代 码 以一定 的权 限 运 行有 缓 冲区 溢 出 漏洞 被 总 结 的程序从而得 到被攻击主机的控制权 。 冲区溢 出是一种常见 的网络攻击方法 ,它易于攻击 而且危害性大 , 在 19 年 Ln o 98 icl 验 室 用来 评 估 入 侵 检 测 的 五 种远 程 攻 击 中 , n实 有 给系统的安全带来了巨大的危险。因此 , 如何及时有效地检测出计算机 两种是缓冲区溢 出。而在 19 98年 C R E T的 l 3份建议 中, 9份是与缓 网络系统入侵行为 , 有 已成为网络安全信息管理的一项重要量工作。 冲 区溢 出 有关 的 。 19 , 少 有半 数 的建 议 是 和缓 冲 区有 关 的 。在 在 99年 至 参 考 文 献 B grq的调 查 中 ,有 分 之 二 的 被 调 查 者 认 为缓 冲 区溢 出漏 洞 是 一 个 []赵 有 恩 , 守 军. 冲 区 溢 出攻 击 的 分析 及 防 范 『BOL.t :w . ut a 1 周 缓 E / J t / ww hp/
缓冲区溢出详解
缓冲区溢出详解缓冲区溢出(Buffer Overflow)是计算机安全领域内既经典⽽⼜古⽼的话题。
随着计算机系统安全性的加强,传统的缓冲区溢出攻击⽅式可能变得不再奏效,相应的介绍缓冲区溢出原理的资料也变得“⼤众化”起来。
其中看雪的《0day安全:软件漏洞分析技术》⼀书将缓冲区溢出攻击的原理阐述得简洁明了。
本⽂参考该书对缓冲区溢出原理的讲解,并结合实际的代码实例进⾏验证。
不过即便如此,完成⼀个简单的溢出代码也需要解决很多书中⽆法涉及的问题,尤其是⾯对较新的具有安全特性的编译器——⽐如MS的Visual Studio2010。
接下来,我们结合具体代码,按照对缓冲区溢出原理的循序渐进地理解⽅式去挖掘缓冲区溢出背后的底层机制。
⼀、代码 <=> 数据顾名思义,缓冲区溢出的含义是为缓冲区提供了多于其存储容量的数据,就像往杯⼦⾥倒⼊了过量的⽔⼀样。
通常情况下,缓冲区溢出的数据只会破坏程序数据,造成意外终⽌。
但是如果有⼈精⼼构造溢出数据的内容,那么就有可能获得系统的控制权!如果说⽤户(也可能是⿊客)提供了⽔——缓冲区溢出攻击的数据,那么系统提供了溢出的容器——缓冲区。
缓冲区在系统中的表现形式是多样的,⾼级语⾔定义的变量、数组、结构体等在运⾏时可以说都是保存在缓冲区内的,因此所谓缓冲区可以更抽象地理解为⼀段可读写的内存区域,缓冲区攻击的最终⽬的就是希望系统能执⾏这块可读写内存中已经被蓄意设定好的恶意代码。
按照冯·诺依曼存储程序原理,程序代码是作为⼆进制数据存储在内存的,同样程序的数据也在内存中,因此直接从内存的⼆进制形式上是⽆法区分哪些是数据哪些是代码的,这也为缓冲区溢出攻击提供了可能。
图1 进程地址空间分布图1是进程地址空间分布的简单表⽰。
代码存储了⽤户程序的所有可执⾏代码,在程序正常执⾏的情况下,程序计数器(PC指针)只会在代码段和操作系统地址空间(内核态)内寻址。
数据段内存储了⽤户程序的全局变量,⽂字池等。
简述缓冲区溢出攻击的原理以及防范方法
简述缓冲区溢出攻击的原理以及防范方法
一、缓冲区溢出攻击原理
缓冲区溢出攻击(Buffer Overflow Attack)是一种非法异常的程序运行行为,它发生的目的是让受害者的程序运行出现崩溃,从而获得机器控制权限,可以获取机器中存有的敏感资料,并进行恶意操作,如发送垃圾邮件,拒绝服务攻击(DoS attack),远程控制等行为破坏网络安全。
缓冲区溢出攻击的基本原理,就是恶意程序使用某种方法,将程序缓冲区中存放的数据或者信息溢出,超出缓冲区的容量,而这种溢出的数据又存放了受害者程序控制机器的恶意命令,从而给受害者程序植入恶意代码,使恶意程序获得了机器的控制权限,进而达到攻击系统的目的。
二、防范方法
1、使用受检程序,受检程序是一种编译技术,通过对程序源代码进行类型检查、安全检查等操作,来把漏洞修复好,从而起到防止缓冲区溢出攻击的作用。
2、使用数据流分析技术,它是一种动态分析技术,可以识别出恶意代码并阻止其危害,对程序运行的漏洞进行检查,从而防止攻击者利用缓冲区溢出攻击系统。
3、实行严格的安全审计制度,对程序源码、程序诊断、数据加密技术等进行严格的审计,确保程序运行的安全性,以及防止攻击者利用缓冲区溢出攻击系统。
4、采用虚拟化技术,虚拟化技术可以在不同的安全层次上对程序进行控制,对程序运行的过程进行审查,从而防止攻击者使用缓冲区溢出攻击系统。
5、对网络环境进行安全审计,包括电脑中存在的安全漏洞,系统的安全配置,网络设备的稳定性以及系统的社会工程学攻击等,从而确保网络环境能够不被缓冲区溢出攻击所侵袭。
缓存溢出BufferOverflow
缓存溢出BufferOverflow缓存溢出(Buffer overflow),是指在存在缓存溢出安全漏洞的计算机中,攻击者可以⽤超出常规长度的字符数来填满⼀个域,通常是内存区地址。
在某些情况下,这些过量的字符能够作为“可执⾏”代码来运⾏。
从⽽使得攻击者可以不受安全措施的约束来控制被攻击的计算机。
缓存溢出(或译为缓冲溢出)为最为常⽤的攻击⼿段之⼀,蠕⾍病毒对操作系统的溢出⾼速与⼤规模传播均是利⽤此技术。
缓存从理论上来讲可以⽤于攻击任何有缺陷不完美的程序,包括对、等安全产品的攻击以及对银⾏程序的攻击。
下⾯让我们了解⼀下缓存溢出的原理。
众说周知,c语⾔不进⾏的边界检查,在许多运⽤c语⾔实现的应⽤程序中,都假定缓冲区的⼤⼩是⾜够的,其容量肯定⼤于要拷贝的字符串的长度。
然⽽事实并不总是这样,当程序出错或者恶意的⽤户故意送⼊⼀过长的字符串时,便有许多意想不到的事情发⽣,超过的那部分字符将会覆盖与相邻的其他的空间,使变量出现不可预料的值。
如果碰巧,与的返回地址邻近时,便有可能由于超出的⼀部分字符串覆盖了⼦程序的返回地址,⽽使得⼦程序执⾏完毕返回时转向了另⼀个⽆法预料的地址,使程序的执⾏流程发⽣了错误。
甚⾄,由于应⽤程序访问了不在进程范围的地址,⽽使进程发⽣违例的故障。
这种错误其实是编程中常犯的。
组成部分⼀个利⽤⽽企图破坏或⾮法进⼊系统的程序通常由如下⼏个部分组成:1.准备⼀段可以调出⼀个shell的形成的字符串,在下⾯我们将它称为shellcode。
2.申请⼀个缓冲区,并将填⼊缓冲区的低端。
3.估算在中可能的起始位置,并将这个位置写⼊缓冲区的⾼端。
这个起始的位置也是我们执⾏这⼀程序时需要反复调⽤的⼀个参数。
4.将这个缓冲区作为系统⼀个有缓冲区溢出错误程序的⼊⼝参数,并执⾏这个有错误的程序。
通过以上的分析和实例,我们可以看到缓存溢出对系统的安全带来的巨⼤威胁。
在unix系统中,使⽤⼀类精⼼编写的程序,利⽤suid程序中存在的这种错误可以很轻易地取得系统的的权限。
缓冲区溢出-原理和简单利用-概述说明以及解释
缓冲区溢出-原理和简单利用-概述说明以及解释1.引言概述部分是文章的开篇,旨在引入读者对于缓冲区溢出问题的背景和概念。
下面是概述部分的内容:1.1 概述在计算机科学和网络安全领域中,缓冲区溢出(Buffer Overflow)是一种常见的安全漏洞,它可能导致系统崩溃、数据泄露、远程命令执行等严重后果。
本文将介绍缓冲区溢出的原理和简单利用方法。
缓冲区溢出指的是当向一个缓冲区写入数据时,超出了该缓冲区所能容纳的大小,导致溢出的数据覆盖到相邻的内存区域。
这种溢出可能会覆盖控制流程信息,改变程序执行路径,从而使攻击者能够执行恶意代码。
缓冲区溢出是一种经典的安全漏洞,其发现最早可以追溯到20世纪70年代。
尽管多年来在软件和系统的开发过程中进行了一系列的改进和加固,但仍然存在很多软件和系统容易受到缓冲区溢出攻击的漏洞存在。
正因如此,了解缓冲区溢出的原理和简单利用方法对于计算机科学和网络安全从业人员来说是至关重要的。
本文的主要目的是帮助读者理解缓冲区溢出的原理,并介绍常见的利用方法。
在深入研究和了解缓冲区溢出的背景之后,读者将能够更好地理解和应对这种常见的安全威胁。
接下来的章节将分别介绍缓冲区溢出的原理,并提供一些简单的利用方法作为案例。
最后,我们将总结本文的内容,并进一步讨论缓冲区溢出的意义和应对措施。
通过阅读本文,我们希望读者能够加深对于缓冲区溢出问题的理解,提高对于软件和系统安全的意识,并能够采取相应的措施来预防和应对这种安全漏洞。
让我们一起深入探索缓冲区溢出的原理和简单利用方法吧!文章结构是指文章整体组织的安排和框架。
一个良好的文章结构可以帮助读者更好地理解和吸收文章内容。
本文主要讨论缓冲区溢出的原理和简单利用方法,因此文章结构如下:1. 引言1.1 概述引入缓冲区溢出的基本概念和定义,解释缓冲区溢出在计算机领域的重要性和普遍存在的问题。
1.2 文章结构介绍本文的文章结构以及各个部分的内容安排,方便读者了解整个文章的组织。
缓冲区溢出攻击原理及防范_XXX
缓冲区溢出攻击原理及防范作者姓名:XXX 班级:计算机网络XXX学号:2200951XXX 指导教师:XXX教授摘要缓冲区简单来说是一块连续的计算机内存区域,可以保存相同数据类型的多个实例, 缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区又被称为"堆栈". 在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出。
缓冲区溢出是最常见的安全漏洞,针对缓冲区溢出的漏洞进行攻击,是很常见的攻击手段,可以使本地用户获得超级用户权限,也可以使外部攻击者通过网络直接进入系统。
本文详细分析了缓冲区溢出的基本原理,描述了利用缓冲区溢出漏洞进行攻击的基本方式,并通过对一段实例程序的溢出和构建攻击语句直观的演示了缓冲区溢出的形成过程及其攻击原理,最后提出了防范缓冲区溢出的有效措施。
关键词:缓冲区溢出堆栈漏洞AbstractSimply ,buffer is a continuous computer memory area, can keep the same data types of multiple instances, buffer overflow is when computer to the buffer filled with data f igures within the capacity of the buffer itself more than the data covered in legal spill data, the ideal situation is not allowed to check the data length program more than the length of the input buffer characters, but most of the program will be always with the assumption that data length distribution of storage space match, this is the buffer overf low buried hidden trouble. Operating system used by buffer is known as the "stack". I n between each operation process, the instructions will be temporarily stored in the "st ack" of "stack" also can appear buffer overflow. Buffer overrun is the most common s ecurity flaws in the buffer overflow vulnerability to attack, it is very common attack method, can make local users get super user permissions, also can make the external a ttackers through the network directly into the system.This paper analyzes the basic principle of buffer overflow, describes the use of buf fer overrun vulnerabilities to attack the basic way of, and through the example of a pr ogram and the construction of overflow attack statement intuitive demonstrates buffer overflow the forming process and the principle of attack, finally puts forward the cou ntermeasures of buffer overflow effective measures.Keywords:buffer overflow Stack shellcod目录摘要 (1)Abstract (2)绪论 (1)第一章缓冲区溢出基本原理 (2)1.1 栈缓冲区溢出 (2)1.2 HEAP/BSS缓冲区溢出 (4)1.2.1重要性 (4)1.2.2相关概念介绍 (4)1.2.3Heap/BSS溢出攻击 (5)第二章缓冲区溢出攻击 (8)2.1 shellcode基础 (9)2.2 可注入shellcode的编写 (11)2.3 远程缓冲区溢出威胁 (15)第三章缓冲区溢出攻击防御 (17)3.1 给有漏洞的程序打补丁 (17)3.2 编写安全的代码 (17)3.3 静态分析 (17)3.4 动态测试 (17)3.5软件开发过程中的防范策略 (18)3.6 缓冲区溢出攻击的抵御 (23)第四章缓冲区溢出攻击与防御实例设计 (25)4.1 缓冲区溢出攻击实例 (25)总结与展望 (27)致谢 (28)参考文献 (29)绪论随着计算机技术、现代通信技术和网络技术的发展,尤其是Internet的广泛使用,计算机网络与人们的工作和生活的联系越来越密切、越来越深入,同时也使网络系统的安全问题日益复杂和突出。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
缓冲区溢出攻击技术文伟平博士副教授weipingwen@北京大学软件与微电子学院信息安全系北京大学信科学院软件所信息安全实验室课程内容缓冲区溢出相关背景概念 缓冲区溢出原理溢出保护技术安全编程技术引子988o s蠕虫事件 1988MorrisCERT统计数据缓冲区¾从程序的角度,缓冲区就是应用程序用来保存用户输入数据程序临时数据的内存间输入数据、程序临时数据的内存空间¾缓冲区的本质z数组¾存储位置z Stackz Heapz数据段缓冲区溢出¾如果用户输入的数据长度超出了程序为其分配的内存空间,这些数据就会覆盖存间,这些数据就会覆程序为其它数据分配的内存空间,形成所谓的缓冲区溢出缓冲区溢出攻击的发展历史 1980s¾Morris蠕虫-fingerd缓冲区溢出攻击1996¾Aleph One,Smashing the Stack for Funand Profit,Phrack491998¾Dildog:提出利用栈指针的方法完成跳转¾The Tao of Windows Buffer Overflows1999¾Dark Spyrit:提出使用系统核心DLL中的JmpESP指令完成跳转,Phrack55¾M.Conover:基于堆的缓冲区溢出教程缓冲区溢出攻击背景知识与技巧 编译器调试器的使用编译器、调试器的使用¾Linux:gcc+gdb¾Win32:VC6.0+OllyDbgVC60+OllyDbg进程内存空间结构汇编语言基本知识栈的基本结构函数调用过程GCC编译器基础著名的的/编译器著名的GNU的Ansi c/c++编译器¾gcc[options][filenames]¾编译:gcc c test.c生成test.o-c test c test o¾连接:gcc-o test test.o¾同时搞定:gcc test.c o testtest c-omake:用于控制编译过程¾Makefile How ToGDB调试器的使用 断点相关指令/,//¾break/clear,disable/enable/delete¾watch–表达式值改变时,程序中断执行相关指令¾run/continue/next/step¾attach–调试已运行的进程¾finish/return信息查看相关指令reg/break/files/args/frame/functions/¾info reg/break/files/args/frame/functions/…¾backtrace–函数调用栈¾print/f exp–显示表达式的值/f dd¾x/nfu addr–显示指定内存地址的内容¾list–列出源码¾disass func–反汇编指定函数VC6.0命令行环境变量我的电脑属性高级环境变量¾我的电脑-属性-高级-环境变量¾PATH:z C:\Program Files\Microsoft Visual Studio\VC98\Bin;z C:\Program Files\Microsoft VisualStudio\Common\MSDev98\Bin;¾INCLUDE:z C:\Program Files\Microsoft VisualStudio\VC98\Include¾LIB:z C:\Program Files\Microsoft Visual Studio\VC98\Lib 命令行指令¾cl sourcefilename–编译并链接Win32平台调试器OllyDbg¾32-bit assembler level analysing debugger by Oleh Yuschuk¾Free¾支持插件机制z OllyUni:查找跳转指令功能z Uiltra String Referennce:查找字符串SofticeSyser DebuggerWinDbgP W32DASMIDA Pro,W32DASM简单溢出实例#include<stdio.h>int main(){char name[8]={0};printf(Your name:);printf(“Your name:”);gets(name);printf(Hello,%s!,name);printf(“Hello%s!”name);return0;}test0.c缓冲区溢出的危害应用程序异常系统不稳定甚至崩溃统稳定甚崩溃程序跳转到恶意代码,控制权被窃缓冲区溢出原理 预备知识¾理解程序内存空间¾理解堆栈¾理解函数调用过程¾理解缓冲区溢出的原理Windows环境下的堆栈程序空间由何构成程序空间由何构成?堆栈是什么?堆栈里面放的都是什么信息?堆栈面放的都是什么信息程序使用超过了堆栈默认的大小怎么办? 在一次函数调用中,堆栈是如何工作的?Win32进程内存空间系统核心内存区间¾0xFFFFFFFF~0x80000000(4G~2G)¾为Win32操作系统保留用户内存区间¾0x00000000~0x80000000(2G~0G)¾堆:动态分配变量(Malloc),向高地址增长¾静态内存区间:全局变量、静态变量¾代码区间:从0x00400000开始¾栈:向低地址增长z单线程进程:(栈底地址:0x0012FFXXXX)¾多线程进程拥有多个堆/栈程序在内存中的映像堆(Heap)……内存低地址(p)堆的增长方向堆栈段内存栈(stack)栈的增长方向数据段递增方初始化数据段非初始化数据段(BSS)文本(代码)段向系统DLL 代码段内存高地址0x800000000x 7FFFFFFF PEB&TEB 内核数据代码080000000栈栈是块连续的内存间栈是一块连续的内存空间¾先入后出¾生长方向与内存的生长方向正好相反,从高地址向低地址生长每一个线程有自己的栈¾提供一个暂时存放数据的区域使用POP/PUSH指令来对栈进行操作 使用ESP寄存器指向栈顶,EBP指向栈帧底栈内容函数的参数函数返回地址的值EBP的值些通用寄存器(EDI,ESI)的值一些通用寄存器(EDI,ESI…)的值 当前正在执行的函数的局部变量三个重要的寄存器()SP(ESP)¾即栈顶指针,随着数据入栈出栈而发生变化BP(EBP)¾即基地址指针,用于标识栈中一个相对稳定的位置。
通过BP,可以方便地引用函数参数以及局部变量IP(EIP)¾即指令寄存器,在将某个函数的栈帧压入栈中时,其中就包含当前的IP值,即函数调用返回后下一个执行语句的地址函数调用过程把参数压入栈保存指令寄存器中的内容,作为返回地址放入堆栈当前的基址寄存器放堆栈当前的基址寄存把当前的栈指针(ESP)拷贝到基址寄存器,作为新的基地址为本地变量留出一定空间,把ESP减去适为本地变量留出定空间把ESP减去适当的数值函数调用中栈的工作过程 调用函数前¾压入栈级函数传给函数的参数z上级函数传给A函数的参数z返回地址(EIP)z当前的EBPz函数的局部变量调用函数后¾恢复EBP¾恢复EIP¾局部变量不作处理例子-(逆向工程演示)#include <stdio.h> #define PASSWORD "1234567"main(){ int valid_flag=0; char password[1024];1234567int verify_password (char *password)char password[1024];while(1){printf("please input password:");{int authenticated; char buffer[8]; printf(please input password: ); scanf("%s",password);valid_flag =verify_password(password); if(lid fl)// add local buff to be overflowed if(valid_flag){ printf("incorrect password!\n\n"); } elseauthenticated=strcmp(passwo rd,PASSWORD);strcpy(buffer,password);{printf("Congratulation! You have passed the verification!\n");strcpy(buffer,password); //over flowed here!return authenticated;break; } }}} test1.c例子二int main()int main(){AFunc(5,6);return 0;}int AFunc(int i,int j) {int BFunc(int i,int j) {int m = 3; int n = 4; m=i;int m=1; int n=2;m = i;n = j; BFunc(m,n);m=i; n=j;(,); return 8;}return m; }test2.cpp函数调用中栈的工作过程EDI AFunc(5,6);push 6push 5ESI EBXcall _AFunc add esp+8当前EBP AFunc48h3(m=3)4(n=4)当前ESP5EIP(Next)_AFunc push ebp mov ebp,esp EBP 6语句执行前的ESPsub esp,48h //压入环境变量语句执行前的EBP//为局部变量分配空间栈中数据分配EDI ESI S EBX48h4(n=4)EIP(Next)EBP 3(m=3)65函数调用中栈的工作过程当前ESP AFunc(56)EDI前AFunc(5,6);……call AFunc ESI EBXcall _AFunc add esp+8AFunc当前EBP_AFunc {……return 0;}pop edi 48h3(m=3)4(n=4)5EIP pop edi pop esi pop ebx EBP 6语句执行前的ESPp padd esp,48h //栈校验b 语句执行前的EBPpop ebp ret当缓冲区溢出发生时……int AFunc(int i,int j){int m = 3;int n=4;int n 4;char szBuf[8] = {0};strcpy(szBuf, This is a overflow buffer!);strcpy(szBuf,“This is a overflow buffer!”);m = i;n = j;j;BFunc(m,n);return 8;}Linux系统下的栈溢出攻击 栈溢出攻击¾NSR模式¾NRS模式¾RS模式ShellcodeNSR溢出模式…RETRET …NOP shellcodeNOPNOP…RETLow Address HighAddress vulnerable1.c:stackexploit1.c:RNS溢出模式RET shellcode RET …RET …NOP NOP …NOP Low Address High AddressRS 溢出模式-利用环境变量shellcode Low AddressFILE NULL …High Address vulnerable2c:stackexploit3c:0xc0000000RET RET …RET vulnerable2.c:stackexploit3.c:栈溢出模式分析挑战¾溢出点(在哪改写返回地址?)¾Shellcode地址(将返回地址改写成什么?)NSR模式¾最经典的方法–Alpha One¾需要漏洞程序有足够大的缓冲区RNS模式¾能够适合小缓冲区情况,更容易计算返回地址RS模式¾最新的方法:(filename[]execve(filename,argv[],envp[]);¾Ret=0xc0000000–4–strlen(FILENAME)–strlen(shellcode),不需要任何NOP¾但对远程缓冲区溢出攻击不适用Shellcode C版本Shellcode 汇编版本shellcode_asm.c shellcode_asm_fix.c 去除’\0’Shellcode Opcode版本 31d2xor%edx,%edx52push%edx686e2f7368push$0x68732f6e682f2f6269push$0x69622f2f89e3mov%esp,%ebx52push%edx53push%ebxp,89e1mov%esp,%ecx8d420b lea0xb(%edx),%eaxcd80int$0x80远程登录的Shellcode缓冲区溢出攻击发生的直接原因没有内嵌支持的界保护没有内嵌支持的边界保护¾User funcs¾Ansi C/C++:strcat(),strcpy(),sprintf(),vsprintf(),bcopy(),gets(),scanf()…程序员安全编程技巧和意识可执行的栈(堆)¾给出Shell或执行任意的代码缓冲区溢出原理及其利用 缓冲区溢出种类¾栈溢出¾堆溢出¾整型溢出¾格式化字符串溢出¾其他溢出栈溢出特点¾缓冲区在栈中分配¾拷贝的数据过长¾覆盖了函数的返回地址或其它一些重要数据结构、函数指针栈溢出实例int AFunc(int i,int j)用BFunc的地址替换正常的AFunc返回地址,使程{int m = 3;int n =4;的返回地,使程序运行至BFunc int n 4;char szBuf[8] = {0}; *(int *)((int)szBuf+20)=BFunc;(int )((int)szBuf 20) BFunc;m = i;n = j;j;BFunc(m,n);return 8;}堆溢出(Heap Overflow)内存中的一些数据区¾.text包含进程的代码¾.data包含已经初始化的数据(全局的,或者static的、并且已经初始化的数据)¾.bss包含未经初始化的数据(全局的,或者static的、并且未经初始化的数据)¾heap运行时刻动态分配的数据区还有一些其他的数据区¾还有些其他的数据区在.data、.bss和heap中溢出的情形,都称为heap overflow:p,这些数据区的特点是数据的增长由低地址向高地址堆溢出堆和栈有何区别#define BUFLEN32¾内存的动态分配与静态分配int main(int argc,char*argv[]) {堆溢出特点¾char*buf1;buf1=(char*)malloc(BUFLEN); strcpy(buf1,argv[1]);缓冲区在堆中分配¾拷贝的数据过长¾覆盖了堆管理结构printf("%s\n",buf1); free(buf1);return0;}test3.c整型溢出宽度溢出()宽度溢出(Widthness Overflow)¾尝试存储一个超过变量表示范围的大数到变量中 运算溢出(Arithmetic Overflow)¾如果存储值是一个运算操作,稍后使用这个结果的程序的任何一部分都将错误的运行,因为这个计算程序的任何部分都将错误的运行因为这个计算结果是不正确的。