《網(wǎng)絡安全技術原理與實踐》課件第六章 緩沖區(qū)溢出攻擊

6.1緩沖區(qū)溢出基本概念

緩沖區(qū)是程序運行的時候機器內存中用于存放數(shù)據(jù)的臨時內存空間，它的長度事先已經(jīng)被程序或操作系統(tǒng)定義好。緩沖區(qū)在系統(tǒng)中的表現(xiàn)形式是多樣的，高級語言定義的變量、數(shù)組、結構體等在運行時可以說都是保存在緩沖區(qū)內的，因此所謂緩沖區(qū)可以更抽象地理解為一段可讀寫的內存區(qū)域。高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材6.2緩沖區(qū)溢出攻擊方式目前的緩沖區(qū)溢出攻擊，可以按照以下方法進行分類:(1)按照溢出位置分類：棧溢出、堆溢出和BSS段溢出。(2)按照攻擊者欲達到的目標分類：在程序的地址空間里植入適當?shù)拇a以及通過適當?shù)爻跏蓟拇嫫骱痛鎯ζ鲝亩刂瞥绦蜣D移到攻擊者安排的地址空間去執(zhí)行。(3)按照攻擊目標分類：攻擊棧中的返回地址、攻擊棧中保存的舊框架指針、攻擊堆或BSS段中的局部變量或參數(shù)、攻擊堆或BSS段中的長跳轉緩沖區(qū)。6.2.1棧溢出攻擊原理

棧是一種數(shù)據(jù)結構，是一種先進后出的數(shù)據(jù)表。在Windows平臺下，寄存器“EBP”和“ESP”分別指向當前棧幀的棧底和棧頂。函數(shù)調用時，一般需要經(jīng)過以下步驟：

1）參數(shù)入棧：參數(shù)按一定的順序壓入系統(tǒng)棧，在StdCall約定的情況下，從右到左的順序壓入系統(tǒng)棧。

2）返回地址入棧：將當前代碼區(qū)調用指令的下一條指令存入棧中，函數(shù)返回時，繼續(xù)執(zhí)行。。

高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材3）指令代碼跳轉：中央處理器從當前的代碼區(qū)跳轉到被調用函數(shù)的入口處。在示例代碼中，就是跳轉到function函數(shù)的入口。示例代碼voidfunction(char*p){charout[10];strcpy(out,p);}/*主函數(shù)*/main(){chara[]=”AAAABBBBCC”;function(a);}4）棧楨調整：首先保存當前棧楨，也就是將前棧楨壓入棧，將當前棧楨切換到新棧楨，為新的函數(shù)棧楨分配存儲空間。被調用函數(shù)執(zhí)行完之后，返回到調用函數(shù)繼續(xù)執(zhí)行，包括以下步驟：

保存返回值：通常將函數(shù)的返回值傳給EAX寄存器。

恢復棧頂：在堆棧平衡的基礎上，彈出原先保存的EBP值，并修改ESP值，使調用函數(shù)的棧楨成為系統(tǒng)當前棧楨。

指令地址返回：將先前保存的函數(shù)返回地址傳給指令指針寄存器。高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材函數(shù)調用時棧楨變化圖高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材6.2.2堆溢出攻擊原理

所謂堆，就是由應用程序動態(tài)分配的內存區(qū)。操作系統(tǒng)中，大部分的內存區(qū)是在內核一級被動態(tài)分配的，但段是由應用程序來分配的，它在編譯的時候被初始化。非初始化的數(shù)據(jù)段用于存放程序的靜態(tài)變量，這部分內存都是被初始化為零的。在大部分的系統(tǒng)包括系統(tǒng)中，段是向上增長的，向高地址方向增長。堆管理系統(tǒng)主要有三類操作：堆塊分配，堆塊釋放和堆塊合。堆溢出時單鏈表在刪除節(jié)點堆溢出攻擊主要有為以下幾類。(1)內存變量：修改能夠影響程序執(zhí)行的重要標志變量，例如更改身份驗證函數(shù)的返回值就可以直接通過認證。(2)代碼邏輯：修改代碼段重要函數(shù)的關鍵邏輯，有時可以達到一定的攻擊效果。(3)函數(shù)返回地址：通過修改函數(shù)的返回地址能夠改變程序執(zhí)行流程，堆溢出可以利用ArbitraryDwordReset更改函數(shù)返回地址。(4)異常處理機制：當程序產(chǎn)生異常時，Windows執(zhí)行流程會轉入異常處理例程。(5)函數(shù)指針：系統(tǒng)有時會使用函數(shù)指針，例如C++中的虛函數(shù)、動態(tài)鏈接庫中的導出函數(shù)等。修改這些函數(shù)指針后，函數(shù)調用時，就可以成功地劫持進程。高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材6.2.3流程跳轉技術

緩沖區(qū)溢出的一個非常關鍵的步驟就是要實現(xiàn)進程執(zhí)行流程跳轉，這也正是緩沖區(qū)溢出攻擊的首要目的。只有實現(xiàn)了流程的跳轉，才能在被攻擊的主機上執(zhí)行所植入的代碼，實現(xiàn)控制被攻擊主機的目的。要實現(xiàn)執(zhí)行流程跳轉，攻擊者可以通過緩沖區(qū)溢出漏洞修改有關執(zhí)行流程的管理信息，如返回地址。緩沖區(qū)溢出攻擊示意圖6.3緩沖區(qū)溢出攻擊步驟高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材6.3.1獲取漏洞信息緩沖區(qū)溢出漏洞信息的獲取，主要有兩種途徑，一是自己挖掘，二是從漏洞公告中獲得。當前，公布漏洞信息的權威機構主要有公共漏洞公告(CommonVulnerabilitiesandExposures，CVE)和計算機應急響應小組(ComputerEmergencyResponseTeam,CERT）中獲取漏洞信息，如圖所示。高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材6.3.2定位漏洞位置

漏洞位置定位是指確定緩沖區(qū)溢出漏洞中發(fā)生溢出的指令地址（通常稱為溢出點），并可以在跟蹤調試環(huán)境中查看與溢出點相關的代碼區(qū)和數(shù)據(jù)區(qū)的詳細情況，根據(jù)此信息，精心構造注入的數(shù)據(jù)。具體來說，通常使用以下三種方法。1）如果受影響程序有源代碼，那么通過調試程序、確定漏洞所在位置，修改源程序就可修復漏洞。2）如果存在緩沖區(qū)溢出漏洞的程序，沒有源代碼，則一般采用反匯編法和探測法定位漏洞。3）如果能夠獲得廠商提供的漏洞補丁程序，那么一個有效的辦法是使用補丁比較法。6.3.3更改控制流程高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材

更改控制流程是將系統(tǒng)從正常的控制流程轉向到攻擊者設計的執(zhí)行流程，其實質就是要執(zhí)行剛剛注入的SHELLCODE代碼。因為程序執(zhí)行完函數(shù)后會返回到EIP所指向的地址繼續(xù)執(zhí)行，因此覆蓋返回地址可以控制程序的執(zhí)行流程。該方法是緩沖區(qū)溢出漏洞利用時用得最多的一種方法。其它的還有改寫函數(shù)指針和改寫異常處理指針。（1）改寫函數(shù)指針。（2）改寫異常處理指針。高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材6.4緩沖區(qū)溢出攻擊的防范方法

目前有三種基本的方法保護緩沖區(qū)免受緩沖區(qū)溢出的攻擊和影：強制寫正確的代碼的方法基于探測方法的防御對緩沖區(qū)溢出漏洞檢測研究主要分為如下的三類：1）基于源代碼的靜態(tài)檢測技術2）基于目標代碼的檢瀏技術3）基于源代碼的動態(tài)檢測技術基于操作系統(tǒng)底層的防御1）庫函數(shù)的保護2）操作系統(tǒng)內核補丁保護（a）NOEXEC技術（b）ASLR（AddressSpaceLayoutRandomization，地址空間結構隨機化）1.實驗環(huán)境WindowsXPSP332-bitVisualC++6.0OllyDbg高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材6.5緩沖區(qū)攻擊實驗高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材2.實驗步驟編寫具有緩沖區(qū)溢出的程序，程序代碼如下:#include<stdio.h>#include<string.h>#include<windows.h>#defineTEMP_BUFF_LEN8intbof(constchar*buf){ chartemp[TEMP_BUFF_LEN]; strcpy(temp,buf); return0;}

intmain(){ charbuff[]="1234567"; MessageBox(NULL,"SampleBOFTest","SampleBOF",MB_OK); bof(buff); printf("SampleBOFEnd\n"); return0;}編譯上述代碼，生成可執(zhí)行文件。在OllyDbg中打開程序，如圖所示。高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材

上圖中標注了每個窗口的用途，向下移動“反匯編窗口”可以看到程序的主入口函數(shù)“main”函數(shù)，以及調用的“bof”函數(shù)，如圖所示。高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材

通過“F2”快捷鍵在“main”和“bof”所在行下斷點，利用快捷鍵“F9”執(zhí)行到斷點處，“F8”單步執(zhí)行，如圖所示。高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材

在“MessageBox”后下斷點，如下圖所示，程序在為調用“bof”函數(shù)準備必要參數(shù)，并壓入棧中。高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材

接下來，仔細分析“bof”函數(shù)的調用過程，該函數(shù)的全部匯編代碼如下圖所示。

從匯編代碼可以看到，函數(shù)“bof”首先將“EBP”入棧保存，緊接著將“ESP”賦值給“EBP”。在調用“bof”函數(shù)時，程序將參數(shù)的地址壓棧保存，而在進入“bof”函數(shù)之后，程序為了保存上一個棧的基址，又進行了一次壓棧操作，因此“bof”函數(shù)的參數(shù)的地址應該位于“ebp+8”的位置處(注意在windows平臺棧是向下生長的)。為了調用“strcpy”函數(shù)，程序首先取得“buf”參數(shù)的地址并壓棧，接著獲取“temp”變量的地址并壓棧保存，所有參數(shù)準備完全，就可以執(zhí)行“strcpy”函數(shù)的調用了。在調用“strcpy”函數(shù)之后，程序就執(zhí)行必要的清理工作然后返回，這就是上面示例代碼所做的工作。在調用“strcpy”函數(shù)時，我們并沒有檢查“temp”變量是否有足夠的空間來保存“buf”中的內容，若“buf”中的內容超出“temp”變量的大小，在“buf”內容超過“temp”變量的空間時所引發(fā)的錯誤。通常情況下，這類錯誤會導致程序的異常退出。緩沖區(qū)溢出利用的實驗代碼如下:#include<stdio.h>#include<string.h>#include<windows.h>#defineTEMP_BUFF_LEN8intbof(constchar*buf){ chartemp[TEMP_BUFF_LEN]; strcpy(temp,buf); return0;}intsbofa(){ MessageBox(NULL, "Congratulations!Youhavethebasicprinciplesofbufferoverflow.", "SampleBOF", MB_OK); return0;}intmain(){ MessageBox(NULL,"SampleBOFTest","SampleBOF",MB_OK); charbuff[]="1234567"; bof(buff); printf("SampleBOFEnd\n"); return0;}

函數(shù)地址上述代碼在原有代碼的基礎上只增加了一個“sbofa”函數(shù)，注意到我們并沒有調用該函數(shù)，而我們需要做的就是通過修改“main”中“buff”的值，使得程序執(zhí)行“sbofa”函數(shù)。同樣，使用“OllyDbg”打開程序，找到程序的入口函數(shù)及“sbofa”和“bof”函數(shù)。如下圖所示：

從圖中可以看到，函數(shù)在調用時，通常是由調用者負責保存返回地址，然后被調用者負責保存調用者的棧幀（EBP），接下來就是函數(shù)的臨時變量空間。因此，只要被復制的內容長度大過12，就會覆蓋掉返回地址。知道如何覆蓋返回地址，接下來就只需要知道“sbofa”函數(shù)的地址就可以了。程序棧結構如下所示修改“buff”的內容，編譯運行。思考1.從函數(shù)地址圖中可以看到“sbofa”函數(shù)的地址為“0040100F”，為什么“buff”的內容卻被修改為"123456781234\x0f\x10\x40"?2.程序棧圖中返回地址之上的內容是什么？3.經(jīng)過上面修改后，能夠執(zhí)行“sbofa”函數(shù)，但是程序依然異常退出，這是為什么？高等學校電子信息類“十三五”規(guī)劃教材應用型網(wǎng)絡與信息安全工程技術人才培養(yǎng)系列教材4.利用緩沖區(qū)溢出原理