缓冲区溢出介绍.pptVIP

缓冲区溢出介绍 潘爱民，北京大学计算机研究所 2003-10-24 /CompCourse2003 Buffer Overflows 基本的思想 通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码) 危害性 在UNIX平台上，通过发掘Buffer Overflow, 可以获得一个交互式的shell 在Windows平台上，可以上载并执行任何的代码 溢出漏洞发掘起来需要较高的技巧和知识背景，但是，一旦有人编写出溢出代码，则用起来非常简单 与其他的攻击类型相比，缓冲区溢出攻击 不需要太多的先决条件 杀伤力很强 技术性强 在Buffer Overflows攻击面前，防火墙往往显得很无奈 Buffer Overflow的历史 1988年的Morris蠕虫病毒，感染了6000多台机器：利用UNIX服务fingerd中的缓冲区溢出漏洞来获得访问权限，得到一个shell 1996年前后，开始出现大量的Buffer Overflow攻击，因此引起人们的广泛关注 源码开放的操作系统首当其冲 随后，Windows系统下的Buffer Overflows也相继被发掘出来 已经有一些非常经典细致的文章来介绍与Buffer overflows有关的技术 这两年广泛流行的一些Internet worms利用了一些Buffer Overflow漏洞 进程的内存空间示意图 Stack Heap Bss Data Text 一点关于Intel x86系列的汇编知识 段式结构 从段式结构 - 线性结构 内存区域的访问控制 段描述符 指令流的控制 CS:EIP Jmp指令(及其他跳转指令) Call指令/ret 栈段SS 两个指针：ESP(动态), EBP(静态) Call/ret指令 Push/pop/pusha/popa 一个函数调用示例 函数： int func(int a, int b){ int retVal = a + b; return retVal; } int main(int argc, char* argv[]) { int result = func(1, 2); printf(Hello World!\n); return 0; } EIP、EBP、ESP指针 为什么会缓冲区溢出？ 在C语言中，指针和数组越界不保护是Buffer overflow的根源，而且，在C语言标准库中就有许多能提供溢出的函数，如strcat(), strcpy(), sprintf(), vsprintf(), bcopy(), gets()和scanf() 通过指针填充数据 不好的编程习惯 溢出类型 栈溢出 堆溢出 栈溢出(stack overflow) #include stdio.h #include string.h char shellcode[] = \xeb\x1f\x……; char large_string[128]; int main(int argc, char **argv){ char buffer[96]; int i; long *long_ptr = (long *) large_string; for (i = 0; i 32; i++) *(long_ptr + i) = (int) buffer; for (i = 0; i (int) strlen(shellcode); i++) large_string[i] = shellcode[i]; strcpy(buffer, large_string); return 0; } 堆溢出(heap overflow) 内存中的一些数据区 .text 包含进程的代码 .data 包含已经初始化的数据(全局的，或者static的、并且已经初始化的数据) .bss 包含未经初始化的数据(全局的，或者static的、并且未经初始化的数据) heap 运行时刻动态分配的数据区 还有一些其他的数据区 在.data、.bss和heap中溢出的情形，都称为heap overflow，这些数据区的特点是：数据的增长由低地址向高地址 关于heap overflow 比较少引起人们的关注，原因在于 比栈溢出难度更大 需要结合其他的技术，比如 函数指针改写 Vtable改写 Malloc库本身的漏洞 对于内存中变量的组织方式有一定的要求 指针改写 要求： 先定义一个buffer，再定义一个指针 溢出情形 当对buffer填充数据的时候，如果不进行边界判断和控制的话，自然就会溢出到指针的内存区，从而