缓冲区溢出攻击与防范实验
缓冲区溢出攻击与防御措施
龙源期刊网
缓冲区溢出攻击与防御措施
作者:高永仁
来源:《计算机时代》2008年第01期
摘要:缓冲区溢出是最常见的安全漏洞,针对缓冲区溢出进行攻击,是很常见的攻击手段,它可以使本地用户获得超级用户权限,也可以让外部攻击者通过网络直接进入系统。
文章主要介绍缓冲区溢出的基本原理及防范措施。
关键词:安全漏洞;缓冲区溢出;攻击手段;用户权限
0引言
针对各种软件中存在的缓冲溢出漏洞,进行相应的攻击,可以破坏栈中的内容,导致程序控制的转移,达到攻击的目的。
所谓缓冲,就是一段存放数据的连续内存,如数组。
由于许多系统程序、应用程序都是用c编写的,所以下面将以c语言为例来说明缓冲溢出。
1缓冲区溢出的基本原理
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
Linux系统下缓冲区溢出漏洞攻击防范
Linux系统下缓冲区溢出漏洞攻击的防范摘要:利用缓冲区溢出漏洞对计算机系统实施攻击,是黑客常用、并且最有效的攻击手法之一。
为了应对不断涌现的缓冲区溢出攻击,研究了在linux系统下防范缓冲区溢出的方法,通过研究,总结了在linux平台下防范缓冲区溢出攻击的安全策略,这些安全策略可以应用于一般企业内部服务器,包括web服务器、mail服务器、samba服务器、ftp服务器以及proxy服务器等。
在实际使用中,发现通过这些安全策略的配置能够对缓冲区溢出攻击起到很好的防范措施。
abstract: using computer system overflow vulnerability to carry out attacks is one of the common and the most effective attack techniques for hackers. in order to deal with the emerging buffer overflow attack, we come up with some solutions against this problem under linux system. through the study, we summarize the security strategy against the overflow buffer attack, which can be applied to general enterprise internal server, including web server, mail server, samba server, ftp server and proxy server, etc. in actual use, we can see it is very good to prevent the attack through these security setup.关键字:linux 缓冲区溢出攻击key word: linux, buffer overflow, attack第一次大规模的缓冲区溢出攻击发生在1988年的morris蠕虫,它造成了6000多台机器瘫痪,损失在$100000至$10000000之间。
缓冲区溢出原因及解决
第三讲缓冲区溢出n1 缓冲区溢出问题简介n2 几种典型的缓冲区溢出n3 防范措施缓冲区溢出1 缓冲区溢出问题简介缓冲区溢出是一种常见的漏洞.据统计,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上.这种错误的状态发生在写入内存的数据超过了分配给缓冲区的大小的时候,就像一个杯子只能盛一定量的水,如果放到杯子中的水太多,多余的水就会一出到别的地方。
由于缓冲区溢出,相邻的内存地址空间被覆盖,造成软件出错或崩溃。
如果没有采取限制措施,可以使用精心设计的输入数据使缓冲区溢出,从而导致安全问题。
缓冲区溢出缓冲区溢出问题的历史很长一段时间以来,缓冲区溢出都是一个众所周知的安全问题, C程序的缓冲区溢出问题早在70年代初就被认为是C语言数据完整性模型的一个可能的后果。
这是因为在初始化、拷贝或移动数据时,C语言并不自动地支持内在的数组边界检查。
虽然这提高了语言的执行效率,但其带来的影响及后果却是深远和严重的。
•1988年Robert T. Morris的finger蠕虫程序.这种缓冲区溢出的问题使得Internet几乎限于停滞,许多系统管理员都将他们的网络断开,来处理所遇到的问题. •1989年Spafford提交了一份关于运行在VAX机上的BSD版UNIX的fingerd的缓冲区溢出程序的技术细节的分析报告,引起了部分安全人士对这个研究领域的重视•1996年出现了真正有教育意义的第一篇文章, Aleph One在Underground发表的论文详细描述了Linux系统中栈的结构和如何利用基于栈的缓冲区溢出。
缓冲区溢出Aleph One的贡献还在于给出了如何写开一个shell的Exploit的方法,并给这段代码赋予shellcode的名称,而这个称呼沿用至今,我们现在对这样的方法耳熟能详--编译一段使用系统调用的简单的C程序,通过调试器抽取汇编代码,并根据需要修改这段汇编代码。
•1997年Smith综合以前的文章,提供了如何在各种Unix变种中写缓冲区溢出Exploit更详细的指导原则。
缓冲区溢出攻击课程设计
缓冲区溢出攻击课程设计一、课程目标知识目标:1. 学生能够理解缓冲区溢出攻击的基本概念,掌握其工作原理;2. 学生能够描述常见缓冲区溢出漏洞的类型及其影响;3. 学生能够解释防范缓冲区溢出攻击的策略和技术。
技能目标:1. 学生能够运用所学知识分析简单的缓冲区溢出漏洞;2. 学生能够运用相关工具检测并修复简单的缓冲区溢出漏洞;3. 学生能够编写简单的防止缓冲区溢出攻击的代码。
情感态度价值观目标:1. 学生培养对计算机安全的兴趣,增强网络安全意识;2. 学生树立正确的道德观念,遵循网络安全法律法规,不参与非法攻击行为;3. 学生培养合作精神,学会在团队中分享和交流网络安全知识。
课程性质:本课程属于计算机科学领域,针对高中年级学生,旨在让他们了解网络安全的基本概念,提高防范网络攻击的能力。
学生特点:高中年级学生对计算机有一定了解,具备基本的编程能力,但对网络安全知识相对陌生。
教学要求:结合学生特点,课程设计需注重理论与实践相结合,通过案例分析和实际操作,让学生掌握缓冲区溢出攻击的相关知识,提高网络安全技能。
同时,注重培养学生的道德观念和合作精神,使他们在学习过程中形成正确的价值观。
二、教学内容1. 缓冲区溢出攻击基本概念:介绍缓冲区溢出的定义、原理以及攻击者利用该漏洞的目的。
教材章节:第三章“计算机网络安全”第二节“缓冲区溢出攻击”2. 缓冲区溢出漏洞类型:分析常见缓冲区溢出漏洞,如栈溢出、堆溢出等,并举例说明。
教材章节:第三章“计算机网络安全”第二节“缓冲区溢出攻击”3. 防范缓冲区溢出攻击的策略和技术:讲解防范缓冲区溢出攻击的方法,如边界检查、使用安全编程语言等。
教材章节:第三章“计算机网络安全”第三节“防范网络攻击策略”4. 实践操作:结合相关工具,指导学生进行以下操作:a. 分析并检测简单的缓冲区溢出漏洞;b. 修复缓冲区溢出漏洞;c. 编写防止缓冲区溢出攻击的代码。
教材章节:第三章“计算机网络安全”第四节“实践操作”5. 案例分析:通过实际案例,让学生了解缓冲区溢出攻击对系统安全的影响,并分析案例中的漏洞和防范措施。
attacklab实验总结
attacklab实验总结攻击实验室实验总结一、实验目标本次实验的目标是深入理解网络安全中的攻击技术,通过实践各种攻击手段,提升我们的安全防范意识和应对能力。
二、实验过程1. 实验准备:在实验开始前,我们了解了各种可能的攻击手段,包括但不限于:端口扫描、缓冲区溢出、SQL注入、XSS攻击等。
同时,我们也准备了相应的防御措施和工具。
2. 实施攻击:在实验室环境中,我们对预先设定的目标系统进行了各种攻击尝试。
我们利用Nmap进行了端口扫描,尝试利用Metasploit进行缓冲区溢出攻击,对一个简单的Web应用进行了SQL注入和XSS攻击。
3. 防御与缓解:在实施攻击的同时,我们也尝试了各种防御手段。
对于端口扫描,我们使用了iptables进行端口限制和阻断。
对于缓冲区溢出,我们使用了StackGuard进行保护。
对于SQL注入和XSS攻击,我们通过参数化查询和输入验证进行了防御。
三、实验结果与分析1. 实验结果:在实验过程中,我们成功地对目标系统实施了多种攻击,也成功地应用了各种防御手段进行了防护。
这让我们对攻击和防御手段有了更深入的理解。
2. 数据分析:通过对实验数据的分析,我们发现防御手段在一定程度上能够有效地阻止攻击。
但是,我们也发现了一些防御手段的局限性,例如对于一些复杂的攻击手段,单纯的输入验证可能无法完全防御。
3. 实验结论:通过本次实验,我们深入理解了网络安全中的攻击技术,也提升了自己的安全防范意识和应对能力。
同时,我们也认识到防御手段的局限性,需要在实际工作中持续关注和学习新的安全技术和策略。
四、建议与展望1. 建议:在未来的工作中,我们应该加强对安全知识和技术的持续学习,提高自身的安全防范意识。
同时,我们也应该定期进行安全演练和测试,模拟真实的攻击场景,以提升应对能力。
2. 展望:随着网络安全技术的不断发展,新的攻击手段和防御策略也将不断涌现。
我们应该保持敏锐的洞察力,关注最新的安全动态,以便及时调整和更新我们的安全策略。
C语言中常见的安全漏洞及防范方法
C语言中常见的安全漏洞及防范方法C语言作为一种广泛应用于系统开发和嵌入式设备的编程语言,虽然具有高效性和灵活性,但在安全性方面却存在一些常见的漏洞。
本文将介绍C语言中常见的安全漏洞,并提供相应的防范方法。
一、缓冲区溢出漏洞缓冲区溢出是C语言中最常见的安全漏洞之一。
当程序试图向一个已经装满数据的缓冲区写入更多的数据时,就会导致缓冲区溢出。
攻击者可以利用这个漏洞来修改程序的执行流,执行恶意代码或者获取敏感信息。
防范方法:1. 使用安全的函数:应该使用安全的函数,如`strncpy`、`snprintf`等,而不是不安全的函数`strcpy`、`sprintf`等。
安全的函数会检查数据长度,避免发生缓冲区溢出。
2. 输入验证:对于用户输入的数据,应该进行输入验证,确保输入的数据不会超出缓冲区的长度。
3. 使用堆栈保护技术:可以使用堆栈保护技术,如栈溢出检测、堆栈随机化等,在一定程度上提高程序对缓冲区溢出漏洞的防护能力。
二、格式化字符串漏洞格式化字符串漏洞是由于未正确使用格式化字符串函数(如`printf`、`sprintf`等)导致的安全问题。
当攻击者能够控制格式化字符串的参数时,就可能导致信息泄露或者任意代码执行。
防范方法:1. 限制格式化字符串的输入:应该限制用户输入的格式化字符串,确保输入的格式化字符串参数是合法且不含恶意代码。
2. 使用安全的格式化函数:使用安全的格式化函数,如`snprintf`等,这些函数会检查参数的有效性,避免格式化字符串漏洞的发生。
3. 程序审计:对于已经存在的代码,应进行定期的程序审计,识别和修复潜在的格式化字符串漏洞。
三、整数溢出漏洞整数溢出漏洞是由于未对输入数据进行正确的检查和验证,导致整数值超出其数据类型范围,从而引发安全问题。
攻击者可以利用这个漏洞来改变程序的行为,执行未经授权的操作。
防范方法:1. 输入验证:对于用户输入的数据,应该进行输入验证,确保输入的数据范围在合理的范围内。
缓冲区溢出攻击的工作原理及防范策略
服 务病毒黑客图1 计算机程序内存存放示意图为了搞清楚“黑客”基于缓冲区溢出漏洞攻击的工作原理,我们先来分析一下计算机程序在内存中的存储和运行方式,计算机程序在内存中通常分为[1]程序段、数据段和堆栈部分,其具体存放策略如图示,程序段存放的是可执行的二进制机器代码或者只读数据,这个段的内容只允许读或者执行操作,不允许写服 务病毒黑客操作如下:首先把参数‘c’,’b’,’a’压入堆栈;然后保存指令寄存器(I P)中的内容,作为返回地址(R E T);第三个放入堆栈的是基址寄存器(F P);接着把当前的栈指针(S P)拷贝到F P,作为新的基地址;最后为函数变量留出一定空间,把S P减去适当的数值,使其指向局部变量的位置;执行完上述函数调用操作后,程序转到函数中继续执行,此时堆栈中的数据如图2所示。
图2 堆栈工作原理示意图函数执行完毕后,执行出栈操作,其中最主要的是将r e t送到I P中[3],正常执行此操作会使程序返回到函数调用指令的下一条指令,继续程序的正常执行,不会产生缓冲区的溢出,那么什么情况下会产生缓冲区的溢出呢?让我们来分析一下面的程序。
Buffer_overflow.c void function(char *str){ char buffer[16]; strcpy(buffer,str);}void main(){ char large_str [512];int i; for( i = 0; i < 512; i++) large_str [i] = \'A\'; function(large_str); }在程序Buffer_overflow.c执行过程中,当调用函数function时,函数将字符串*str不经过边界检查,直接拷贝到内存区域buffer[16]。
此时堆栈结果如图3所示:首先将参数*str压入堆栈,占用512字节的内存,接着将返回地址将指令寄存器IP中的返回地址ret入栈,然后将基址指针FP入栈,最后分配16字节的函数局部变量存储空间,随后程序转入function执行,当执行完strcpy(buffer,str)指令后,溢出产生了,程序执行的结果是从buffer开始的512个字节都将被*str的内容\'A\'覆盖,包括基址指针SFP和程序返回地址ret,甚至部分*str的内容。
缓冲区溢出黑客攻击及防范技术的研究
关键词: 黑客 ; 网络 攻 击 ; 冲 区 溢 出 ; 范 缓 防
1 概 述
试 探 性 攻 击 , 后 执 行 类 似 “xes ) 执行 代 码 来 获得 具 有 r t 限 的 然 ee(h 的 o 权 o
的就是使不进行边界检查或者有其他弱点的缓 冲区溢 出, 这样就扰乱了 程序正常的执行顺序 。通过使一个缓 冲区镒 出, 攻击者可以用暴力的方 法改写相邻的程序空间而直接跳过 了系统的检查 。 总之 , 冲区溢 出是一种在各种操作 系统 、 用软件 中广泛存在危 缓 应 险的漏洞 , 冲区溢出攻 击可以导致程序运行失败 、 缓 系统崩溃等后果 。 更 31 缓 冲 区溢 出 . 为 严 重 的是 , 以利 用 它执 行 非 授 权指 令 , 至 可 以 取 得 系统 特 权 , 而 可 甚 进 堆 栈 溢 出 ( 称 缓 冲 区溢 出 )攻击 是 最 常 用 的 黑 客攻 击技 术 之 一 。 进 行 各 种 非 法 操作 。第 一 个 缓 冲 区攻 击 — — Mo s 虫 , 生 在 十 多 年 又 m 蠕 发 它 0 0多 台 网络 服 务 器 瘫 痪 。 U I 自身 以及 其 上 层 的许 多应 用 程 序都 是用 C语 言编 写 的 , NX C语 言 不 前 , 曾造 成 了全 世 界 6 0 检查 缓 冲 区 的边 界 。 在某 些 情 况 下 , 如果 用 户 输 入 的 数据 长度 超 过 应 用 4 缓 冲 区 溢 出攻 击 的 防 范 程 序 给定 的 缓 冲 区 , 会 覆 盖 其 他 数 据 区 , 称 作 “ 栈 溢 出或 缓 冲 溢 就 这 堆 传统安全工具如防火墙对缓冲区溢出攻击无 能为力 , 因为攻击者传 出” 。 输 的数 据 分 组 并 无异 常 特 征 , 有 任 何 欺 骗 。 另外 可 以用 来 实施 缓 冲 区 没 般情 况 下 , 盖 其 他 数 据 区 的数 据 是 没 有 意 义 的 , 多 造 成应 用 溢出攻击的字符串非常多样化 , 覆 最 无法与正常数据有效地进行区分。缓 冲 程序错误 。 但是 , 如果输入的数据是经过黑客精心设计的 , 覆盖堆栈的数 区溢 出攻击不是一种窃密和欺骗的手段 , 而是从计算机系统的最低层发 据恰恰是黑客的入侵程序代码, 黑客就获取了程序的控制权。如果该程 起攻击 , 因此身份验证和访 问权限等安全策略对于缓冲区溢出攻击形 同 序恰好是以 ro运行 的, ot 黑客就 获得 了 ro 权 限, ot 然后就 可以编译黑 客 虚设 。通常采用 以下防范措施 。 程序 、 留下入侵后 门, 实施进一步攻击。 按照这种原理实现的黑客入侵就 1 编写攻击防范的代码。缓冲区溢 出根源在于程序, 由编程错误 ) 是 叫做“ 堆栈溢出攻击” 。 引 起 的 。 防止 利 用缓 冲 区溢 出 发 起地 攻 击 , 键 在 于 程序 开发 者 在 开 发 关 3 缓 冲 区溢 出攻 击 的原 理 . 2 程序时仔细检查溢出情况 , 不允许数据溢出缓冲区。 ) 2 非执行的缓冲区。 当正 常 的使 用 者操 作 程 序 的 时候 , 进 行 的操 作 一 般 不 会 超 出程 序 使被攻击程序的数据段地址空间不可执行 , 所 从而使 得攻击者不可能执行 的运行范围, 而黑客却利用缓冲长度界限 向程序输入超过其常规长度的 被植入 的攻击程序输入缓冲区的代码 , 这种技术被称为非执行的缓冲区 内容 , 造成缓 冲区的溢 出从 析破坏程序 的堆栈 , 使程序运行 出现特殊 的 技 术 。 ) 组 边 界 检查 。数组 边 界 检 查 完 全 不会 有 缓 冲 区溢 出 的产 生和 3数 问题转 而执行其他指令 , 以达到攻击的 目的。造成缓冲区溢出的原因是 攻击。 只要数组不能被溢出 , 溢出攻击也就无从谈起 。 为了实现数组边界 程序没有仔细检查用户输入的参数 , 属于程序开发过程考虑不周 到的结 检查 , 应检查所有数组操作范围 , 还可 以用一些优化技术来减少检查的 果。 次数。4 程序指针完整性检查。程序指针完整性检查指 的是在程序指针 ) 通 过 制造 缓 冲区 溢 出使 程 序 运 行 一 个用 户 sel hl ,再 通 过 sel 行 被 引 用之 前 检 测 到 它 的变 化 。 因 此 , h l执 即使 一 个 攻 击 者 成 功地 改变 了程 序 其他 命 令 。如果 该 程 序属 于 ro 且有 si 限 的话 。 击 者 就 获得 了一 的 指 针 , 于 系统 事 先 检 测 到 了 指 针 的 变 化 , 此 这 个 指 针 将 不 会 被 使 ot ud权 攻 由 因 个 有 ro权 限 的 sel可以 对 系统 进 行 任 意操 作 了 。 ot hl , 用 。这 种 方 法 不 能解 决 所 有 的缓 冲 区溢 出 问题 , 是 在 性 能 上 有 很 大 的 但 缓冲区溢出攻击之所以成为一种常见网络安全攻击手段 , 其原因在 优 势 , 且 兼 容性 也 很 好 。 而 于缓冲区溢 出漏洞普遍并且易于实现。 而缓冲区溢 出成为远程攻击的主 此外 , 用户需要经常登录操作系统和应用程序提供商 的网站 , 跟踪 要手段原 因在于缓 冲区溢出漏洞给予了攻击者想要的一切 , 如植入并且 公 布 的 系 统 漏洞 , 时 下 载补 丁程 序 , 补 系统 漏 洞 。 及 弥 执 行攻 击 代 码 。 植 入 的 攻 击代 码 以一定 的权 限 运 行有 缓 冲区 溢 出 漏洞 被 总 结 的程序从而得 到被攻击主机的控制权 。 冲区溢 出是一种常见 的网络攻击方法 ,它易于攻击 而且危害性大 , 在 19 年 Ln o 98 icl 验 室 用来 评 估 入 侵 检 测 的 五 种远 程 攻 击 中 , n实 有 给系统的安全带来了巨大的危险。因此 , 如何及时有效地检测出计算机 两种是缓冲区溢 出。而在 19 98年 C R E T的 l 3份建议 中, 9份是与缓 网络系统入侵行为 , 有 已成为网络安全信息管理的一项重要量工作。 冲 区溢 出 有关 的 。 19 , 少 有半 数 的建 议 是 和缓 冲 区有 关 的 。在 在 99年 至 参 考 文 献 B grq的调 查 中 ,有 分 之 二 的 被 调 查 者 认 为缓 冲 区溢 出漏 洞 是 一 个 []赵 有 恩 , 守 军. 冲 区 溢 出攻 击 的 分析 及 防 范 『BOL.t :w . ut a 1 周 缓 E / J t / ww hp/
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第 1 页 共 116 页 实验十二 缓冲区溢出攻击与防范实验 1.实验目的 通过实验掌握缓冲区溢出的原理;通过使用缓冲区溢出攻击软件模拟入侵远程主机;理解缓冲区溢出危险性;理解防范和避免缓冲区溢出攻击的措施。 2.预备知识
2.1缓冲区溢出攻击简介 缓冲区溢出攻击之所以成为一种常见的攻击手段,其原因在于缓冲区溢出漏洞太普通了,并且易于实现。而且,缓冲区溢出所以成为远程攻击的主要手段,其原因在于缓冲区溢出漏洞给予了攻击者所想要的一切:植入并且执行攻击代码。被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序,从而得到被攻击主机的控制权。下面简单介绍缓冲区溢出的基本原理和预防办法。 (1)缓冲区概念 缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出。而人为的溢出则是有一定企图的,攻击者写一个超过缓冲区长度的字符串,植入到缓冲区,然后再向一个有限空间的缓冲区中植入超长的字符串,这时可能会出现两个结果:一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统root特级权限。 缓冲区是程序运行的时候机器内存中的一个连续块,它保存了给定类型的数据,随着动态分配变量会出现问题。大多时为了不占用太多的内存,一个有动态分配变量的程序在程序运行时才决定给它们分配多少内存。如果程序在动态分配缓冲区放入超长的数据,它就会溢出了。一个缓冲区溢出程序使用这个溢出的数据将汇编语言代码放到机器的内存里,通常是产生root权限的地方。仅仅单个的缓冲区溢出并不是问题的根本所在。但如果溢出送到能够以root权限运行命令的区域,一旦运行这些命令,那可就等于把机器拱手相让了。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。 缓冲区是一块用于存放数据的临时内存空间,它的长度事先已经被程序或操作系统定义好。缓冲区类似于一个杯子,写入的数据类似于倒入的水。缓冲区溢出就是将长度超过缓冲区大小的数据写入程序的缓冲区,造成缓冲区的溢出,从 第 2 页 共 116 页
而破坏程序的堆栈,使程序转而执行其他指令。发生溢出时,如果用一个实际存在的指令地址来覆盖被调用函数的返回地址,则系统就会转而执行这个指令,这一点就是缓冲区溢出被用来进行攻击的最关键之处。 (2)制造缓冲区溢出
一个程序在内存中通常分为程序段、数据段和堆栈三部分。程序段里放着程序的机器码和只读数据。数据段放的是程序中的静态数据。动态数据则通过堆栈来存放。在内存中,它们的位置由到高依次是: 内存高端;堆栈;数据段;程序段;内存低端。当程序中发生函数调用时,计算机做如下操作:首先把参数压入堆栈;然后保存指令寄存器(IP)中的内容作为返回地址(RET);第三个放入堆栈的是基址寄存器(FP);然后把当前的栈指针(SP)拷贝到FP,作为新的基地址;最后为本地变量留出一定空间,把SP减去适当的数值。 2.2缓冲区溢出漏洞攻击方式
缓冲区溢出漏洞可以使任何一个有黑客技术的人取得机器的控制权甚至是最高权限。一般利用缓冲区溢出漏洞攻击root程序,大都通过执行类似“exec(sh)”的执行代码来获得root 的shell。黑客要达到目的通常要完成两个任务,就是在程序的地址空间里安排适当的代码和通过适当的初始化寄存器和存储器,让程序跳转到安排好的地址空间执行。 (1)在程序的地址空间里安排适当的代码 在程序的地址空间里安排适当的代码往往是相对简单的。如果要攻击的代码在所攻击程序中已经存在了,那么就简单地对代码传递一些参数,然后使程序跳转到目标中就可以完成了。攻击代码要求执行“exec(‘/bin/sh’)”,而在libc库中的代码执行“exec(arg)”,其中的“arg”是个指向字符串的指针参数,只要把传入的参数指针修改指向“/bin/sh”,然后再跳转到libc库中的响应指令序列就可以了。当然,很多时候这个可能性是很小的,那么就得用一种叫“植入法”的方式来完成了。当向目标程序里输入一个字符串时,程序就会把这个字符串放到缓冲区里,这个字符串包含的数据是可以在这个所攻击的目标的硬件平台上运行的指令序列。缓冲区可以设在:堆栈(自动变量)、堆(动态分配的)和静态数据区(初始化或者未初始化的数据)等的任何地方。也可以不必为达到这个目的而溢出任何缓冲区,只要找到足够的空间来放置这些攻击代码就够了。 (2)控制程序转移到攻击代码的形式 缓冲区溢出漏洞攻击都是在寻求改变程序的执行流程,使它跳转到攻击代码,最为基本的就是溢出一个没有检查或者其他漏洞的缓冲区,这样做就会扰乱程序的正常执行次序。通过溢出某缓冲区,可以改写相近程序的空间而直接跳转过系统对身份的验证。原则上来讲攻击时所针对的缓冲区溢出的程序空间可为任 第 3 页 共 116 页
意空间。但因不同地方的定位相异,所以也就带出了多种转移方式。 ① Function Pointers(函数指针) 在程序中,“void (* foo) ( )”声明了个返回值为“void” Function Pointers的变量“foo”。Function Pointers可以用来定位任意地址空间,攻击时只需要在任意空间里的Function Pointers邻近处找到一个能够溢出的缓冲区,然后用溢出来改变Function Pointers。当程序通过Function Pointers调用函数,程序的流程就会实现。 ②Activation Records(激活记录) 当一个函数调用发生时,堆栈中会留驻一个Activation Records,它包含了函数结束时返回的地址。执行溢出这些自动变量,使这个返回的地址指向攻击代码,再通过改变程序的返回地址。当函数调用结束时,程序就会跳转到事先所设定的地址,而不是原来的地址。这样的溢出方式也是较常见的。 ③Longjmp buffers(长跳转缓冲区) 在C语言中包含了一个简单的检验/恢复系统,称为“setjmp/longjmp”,意思是在检验点设定“setjmp(buffer)”,用longjmp(buffer)“来恢复检验点。如果攻击时能够进入缓冲区的空间,感觉“longjmp(buffer)”实际上是跳转到攻击的代码。像Function Pointers一样,longjmp缓冲区能够指向任何地方,所以找到一个可供溢出的缓冲区是最先应该做的事情。 (3)植入综合代码和流程控制 常见的溢出缓冲区攻击类是在一个字符串里综合了代码植入和Activation Records。攻击时定位在一个可供溢出的自动变量,然后向程序传递一个很大的字符串,在引发缓冲区溢出改变Activation Records的同时植入代码(权因C在习惯上只为用户和参数开辟很小的缓冲区)。植入代码和缓冲区溢出不一定要一次性完成,可以在一个缓冲区内放置代码(这个时候并不能溢出缓冲区),然后通过溢出另一个缓冲区来转移程序的指针。这样的方法一般是用于可供溢出的缓冲区不能放入全部代码时的。如果想使用已经驻留的代码不需要再外部植入的时候,通常必须先把代码作为参数。在libc(熟悉C的朋友应该知道,现在几乎所有的C程序连接都是利用它来连接的)中的一部分代码段会执行“exec(something)”,当中的something就是参数,使用缓冲区溢出改变程序的参数,然后利用另一个缓冲区溢出使程序指针指向libc中的特定的代码段。 程序编写的错误造成网络的不安全性也应当受到重视,因为它的不安全性已被缓冲区溢出表现得淋漓尽致了。 2.3缓冲区溢出的保护方法
目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响: 第 4 页 共 116 页
(1)强制写正确的代码的方法 编写正确的代码是一件非常有意义但耗时的工作,特别像编写C语言那种具有容易出错倾向的程序(如:字符串的零结尾),这种风格是由于追求性能而忽视正确性的传统引起的。尽管花了很长的时间使得人们知道了如何编写安全的程序,具有安全漏洞的程序依旧出现。因此人们开发了一些工具和技术来帮助经验不足的程序员编写安全正确的程序。虽然这些工具帮助程序员开发更安全的程序,但是由于C语言的特点,这些工具不可能找出所有的缓冲区溢出漏洞。所以,帧错技术只能用来减少缓冲区溢出的可能,并不能完全地消除它的存在。除非程序员能保证他的程序万无一失,否则还是要用到以下部分的内容来保证程序的可靠性能。 (2)通过操作系统使得缓冲区不可执行,从而阻止攻击者植入攻击代码。 这种方法有效地阻止了很多缓冲区溢出的攻击,但是攻击者并不一定要植入攻击代码来实现缓冲区溢出的攻击,所以这种方法还是存在很多弱点的。 (3)利用编译器的边界检查来实现缓冲区的保护 这个方法使得缓冲区溢出不可能出现,从而完全消除了缓冲区溢出的威胁,但是相对而言代价比较大。
(4)在程序指针失效前进行完整性检查 这样虽然这种方法不能使得所有的缓冲区溢出失效,但它的确阻止了绝大多数的缓冲区溢出攻击,而能够逃脱这种方法保护的缓冲区溢出也很难实现。 最普通的缓冲区溢出形式是攻击活动纪录然后在堆栈中植入代码。这种类型的攻击在1996年中有很多纪录。而非执行堆栈和堆栈保护的方法都可以有效防卫这种攻击。非执行堆栈可以防卫所有把代码殖入堆栈的攻击方法,堆栈保护可以防卫所有改变活动纪录的方法。这两种方法相互兼容,可以同时防卫多种可能的攻击。剩下的攻击基本上可以用指针保护的方法来防卫,但是在某些特殊的场合需要用手工来实现指针保护。全自动的指针保护需要对每个变量加入附加字节,这样使得指针边界检查在某些情况下具有优势。最为有趣的是,缓冲区溢出漏洞--Morris蠕虫使用了现今所有方法都无法有效防卫的方法,但是由于过于复杂的缘故却很少有人用到。 2.4 ms05-039漏洞原理
MS05-039漏洞是Microsoft Windows即插即用功能远程缓冲区溢出漏洞。Microsoft Windows即插即用(PnP)功能允许操作系统在安装新硬件时能够检测到这些设备。Microsoft Windows即插即用功能中存在缓冲区溢出漏洞,造成该漏洞的原因是Plug and Play 服务中有未经检查的缓冲区。成功利用这个漏洞的攻击者可以完全控制受影响的系统。