缓冲区溢出攻击的原理与实践.docVIP

. .. 课程设计任务书 计通 学院 网络工程 专业 课程名称 网络管理与安全课程设计 时间 2014～2015学年第一学期1～2周 学生姓名 指导老师 向凌云 题 目 缓冲区溢出攻击的原理与实践 主要内容： 了解缓冲区溢出的类型，掌握缓冲区溢出攻击原理。设计一个缓冲区溢出的简单实例程序，编写shellcode，利用缓冲区溢出程序自动运行另一个程序，从而实现缓冲区溢出攻击，最后对攻击过程进行详细分析。 要求： 综合运用计算机网络管理和信息安全知识。 学会文献检索的基本方法和综合运用文献的能力。 独立完成任务书规定的任务并按要求编写课程设计报告书。 通过课程设计培养严谨的科学态度，认真的工作作风和团队协作。 应当提交的文件： （1）课程设计报告。 （2）课程设计附件。 一、缓冲区溢出概念 1、缓冲区溢出：指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区 又被称为堆栈. 在各个操作进程之间,指令会被临时储存在堆栈当中,堆栈也会出现缓冲区溢出。 2、缓冲区最常见的攻击手段是通过制造缓冲区溢出使程序运行一个用户shell,在通过shell执行其他命令. 若该程序输入root且有suid权限的话,攻击者就获得了一个有root权限的shell,此时就可以对系统进行随意操作了.下面我来介绍一下如何控制程序跳转到攻击代码　　①打开记录(Activation Records)　　在程序中,每一个函数调用发生,在堆栈中会留下一个Activation Records,它包括函数结束时返回的地址,攻击者通过溢出这些自动变量,使地址指向攻击程序代码. 通过改变程序的返回地址,当调用结束时,程序就跳到攻击者设定的地址,而不是原地址.这类溢出被称为 stacks mashing attack.　　②函数指针(Function Pointers)　　void(*foo)(1)定义一个返回函数指针的变量foo, Function Pointers可用来定位任何地址空间. 所以只需在任何空间内的Function Pointers附近找到一个能溢出的缓冲区,然后溢出它来改变Function Pointers. 在某时刻,当程序通过Function Pointers调用函数时,程序的流程就按黑客的意图实现了(典型的溢出程序有:Linux下的Superprobe程序).　　③长跳转缓冲区(Longjmpbuffers)　　在C语言中,包含了一个简单的检验/恢复系统,称为setjmp/longjmp.即在检验点设定setjmp(buffer),用longjmp(buffer)恢复. 但若攻击者能够进入缓冲区空间,则longjmp(buffer)实际上跳转到攻击者的程序代码. 像Function Pointers, longjmp缓冲区能指向任何地方,所以攻击者要做的就是找到一个可供溢出的buffer即可.　　最常见的是在一个字符串中综合了代码植入和打开记录. 攻击者定位或提供溢出的自动变量,然后向程序传一个超大字符串,在引发buffer溢出改变打开记录时植入程序代码,由此达到入侵系统的目的. 二、缓冲区溢出实例实现原理 堆栈的组成： 图2.1 堆栈由数据存储区、EBP（栈底指针）、EIP（指令寄存器，指向下一条指令的地址） DcbaH Dcba Hgf Ebp 原EIP …. Dcba Hgf Lkji Ponm …. 正常时的 堆栈情况 内存低址 00EBP的值 原EIP的值 内存高址 溢出后的 堆栈情况 内存低址 000x696a6b6c 0x6d6e6f70 内存高址 图2.2 编写一个漏洞利用程序，给它赋超过本身长度的值，使其溢出，但是我们要找到这个漏洞，我们需用shellcode进行填充，填充一定数量的值，使我们能够清晰的找到漏洞（EIP），如果EIP指向的下一个地址不存在，那么它就出错，警告你哪里的指令引用的地址内存不能为“read”，那么那个地址就是EIP所在的位子，由于每一个地址空间都是4个字节，所以EBP和EIP都占4个字节，所以在出错的地址前4个地址就是EBP的地址。 为了利用漏洞，我们就必须利用EIP的这个空间，将这个地址用JMP ESP来赋值，这样EIP—JMP ESP，这样程序执行到了EIP的地址空间时，就会跳转去执行JMP ESP，这样就会执行另一个shellcode的代码，