CISP-缓冲区溢出解析.ppt

缓冲区溢出 中国信息安全测评中心 2009年10月 缓冲区溢出简介 基本的思想 通过修改某些内存区域，把一段恶意代码存储到一个缓冲区中，并且使这个缓冲区被溢出，以便当前进程被非法利用(执行这段恶意的代码) 危害性 在UNIX平台上，通过发掘缓冲区溢出, 可以获得一个交互式的shell 在Windows平台上，可以上载并执行任何的代码 溢出漏洞攻击极简单，而且可以穿透防火墙 进程的内存空间示意图 Stack Heap Bss Data Text x86的汇编基础 段式结构 从段式结构 - 线性结构 内存区域的访问控制 段描述符 指令流的控制 CS:EIP Jmp指令(及其他跳转指令) Call指令/ret 栈段SS 两个指针：ESP(动态), EBP(静态) Call/ret指令 Push/pop/pusha/popa 堆栈 C/C++程序分块 栈区（stack）— 由编译器自动分配释放 ，存放函数的参数值，局部变量的值等。其操作方式类似于数据结构中的栈。 堆区（heap） — 一般由程序员分配释放， 若程序员不释放，程序结束时可能由OS回收 。它与数据结构中的堆不同，分配方式类似于链表。 全局区（静态区）（static）— 全局变量和静态变量的存储是放在一块的，初始化的全局变量和静态变量在一块区域， 未初始化的全局变量和未初始化的静态变量在相邻的另一块区域。程序结束后由系统释放。 文字常量区 — 常量字符串就是放在这里的，程序结束后由系统释放 。 程序代码区 — 存放函数体的二进制代码。 堆栈 例： int a = 0; 全局初始化区 char *p1; 全局未初始化区 main() { 　　int b; 栈 　　char s[] = abc; 栈 　　char *p2; 栈 　　char *p3 = 123456; 123456\0在常量区，p3在栈上。 　　static int c =0； 全局（静态）初始化区 　　p1 = (char *)malloc(10); 　　p2 = (char *)malloc(20); } 堆栈 区别 申请方式 堆：需要程序员自己申请，并指明大小。 栈：由系统自动分配。 申请后的系统响应 堆：首先应该知道操作系统有一个记录空闲内存地址的链表，当系统收到程序的申请时，会遍历该链表，寻找第一个空间大于所申请空间的堆结点。 栈：只要栈的剩余空间大于所申请空间，系统将为程序提供内存。连续分配。 大小限制 堆：堆是向高地址扩展的数据结构，是不连续的内存区域。 栈：在 WINDOWS下，栈的大小是2M。 堆栈 区别 申请效率 堆：速度慢，而且容易产生内存碎片，用起来方便。 栈：自动分配，速度较快，但程序员无法控制。 存储内容 堆：堆的头部用一个字节存放堆的大小。堆中的内容由程序员提供。 栈：入栈（压栈）、退栈。主要是调用过程的返回地址。 存取效率 堆：动态分配，慢，是栈的3~5倍。 栈：编译时就确定，快。 堆栈 重要的两个知识点 在函数调用时，第一个进栈的是主函数中函数调用后的下一条指令（函数调用语句的下一条可执行语句）的地址，然后是函数的各个参数，在大多数的C编译器中，参数是由右往左入栈的，然后是函数中的局部变量。注意静态变量是不入栈的。 当本次函数调用结束后，局部变量先出栈，然后是参数，最后栈顶指针指向最开始存的地址，也就是主函数中的下一条指令，程序由该点继续运行。 计算机无法有效的区分数据和执行代码 缓冲区溢出原因 在C语言中，指针和数组越界不保护是缓冲区溢出的根源，而且，在C语言标准库中就有许多能提供溢出的函数，如strcat() 计算机所有的事物都有长度限制，但编程者往往忽略长度 通过指针填充数据，将数据变成执行代码 溢出类型 栈溢出 堆溢出 栈溢出(stack overflow) #include stdio.h #include string.h char shellcode[] = \xeb\x1f\x……; char large_string[128]; int main(int argc, char **argv){ char buffer[96]; int i; long *long_ptr = (long *) large_string; for (i = 0; i 32; i++) *(long_ptr + i) = (int) buffer; for (i = 0; i (int) strlen(shellcode); i++) large_string[i] = shellcode[i]; strcpy(buffer, large_string)