• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>

            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            

    
            

            




            







												


        
			
			


			
            
				
					
	
            
		
            
			由段錯誤引申出的緩沖區溢出攻擊分析
		
            
		    前段時間在寫《段錯誤造成的常見詭異宕機情況總結(中)》時,分析到 程序中數據寫超時有可能寫到this指針所在的地址里面,導致最終詭異的宕機。其實網絡攻防里常用的緩沖區溢出攻擊也是這個道理,除了使用戶程序甚至計算機掛掉外,還有可能執行攻擊者想執行的任何程序,這篇文章主要詳細剖析一下第二種攻擊的方法以及現在Linux(包括各種修改版本,例如Android)、Windows下常使用的防范措施。
            
   話不多說,先貼一則小例子:
            
   
            

              1  ** 
            
  2  *\author peakflys 
            
  3  *\email peakflys@gmail.com
            
  4  *\brief Buffer overflow attack 
            
  5              */
            
  6 #include <iostream>
            
  7 using namespace std;
            
  8 
            
  9 void hack()
            
 10 {
            
 11     cout<<"hacked"<<endl;
            
 12 }
            
 13 
            
 14 void test()
            
 15 {
            
 16     char a[4];
            
 17     int *ret = (int *)(a + 24);
            
 18     *ret -= 0x48;
            
 19 }
            
 20 
            
 21 int main()
            
 22 {
            
 23     test();
            
 24     return 0;
            
 25 }
            
運行結果:
            

                 hacked
            
整個過程沒有顯示調用hack函數,而最終hack函數卻得以運行。下面給出三個函數的匯編代碼:
            
0000000000400814 <_Z4hackv>:
            

            void hack()
            
{
            
  400814:   55                      push   %rbp
            
  400815:   48 89 e5              mov    %rsp,%rbp
            
  cout<<"hacked"<<endl;
            
  400818:   be b8 09 40 00     mov    $0x4009b8,%esi
            
  40081d:   bf 80 0d 60 00      mov    $0x600d80,%edi
            
  400822:   e8 c1 fe ff ff        callq  4006e8 <_ZStlsISt11char_traitsIcEERSt13basic_ostreamIcT_ES5_PKc@plt>
            
  400827:   be 08 07 40 00     mov    $0x400708,%esi
            
  40082c:   48 89 c7              mov    %rax,%rdi
            
  40082f:   e8 c4 fe ff ff         callq  4006f8 <_ZNSolsEPFRSoS_E@plt>
            
  400834:   c9                      leaveq 
            
  400835:   c3                      retq   
            
}
            

            
0000000000400836 <_Z4testv>:
            
void test()
            
{
            
  400836:   55                      push   %rbp
            
  400837:   48 89 e5              mov    %rsp,%rbp
            
  char a[4];
            
  int *ret = (int *)(a + 24);
            
  40083a:   48 8d 45 f0          lea    -0x10(%rbp),%rax
            
  40083e:   48 83 c0 18         add    $0x18,%rax
            
  400842:   48 89 45 f8          mov    %rax,-0x8(%rbp)
            
   *ret -= 0x48;
            
  400846:   48 8b 45 f8           mov    -0x8(%rbp),%rax
            
  40084a:   8b 00                   mov    (%rax),%eax
            
  40084c:   8d 50 b8               lea    -0x48(%rax),%edx
            
  40084f:   48 8b 45 f8            mov    -0x8(%rbp),%rax
            

            
  400853:   89 10                   mov    %edx,(%rax)
            
  400855:   c9                      leaveq
            
  400856:   c3                      retq
            
}
            

            
0000000000400857 <main>:
            

            
int main()
            
{
            
  400857:   55                      push   %rbp
            
  400858:   48 89 e5              mov    %rsp,%rbp
            
    test();
            
  40085b:   e8 d6 ff ff ff          callq  400836 <_Z4testv>
            
    return 0;
            
  400860:   b8 00 00 00 00      mov    $0x0,%eax
            
  400865:   c9                      leaveq
            
  400866:   c3                      retq
            
}
            
在調用test函數后,gdb打印結果:
            
(gdb) p $rsp
            

            $1 = (void *) 0x7fffffffe2a0
            
(gdb) p $rbp
            
$2 = (void *) 0x7fffffffe2a0
            
(gdb) p /x *(0x7fffffffe2a8)
            
$3 = 0x400860
            
在test函數堆棧前面(如上,堆棧地址:0x7fffffffe2a8 )有函數返回的地址(即0x400860 )。test函數調用時的內存模型大致為:
            


            

            
   估計這時候大家都已經知道整個實現的詳細過程了,test函數中ret指針指向test函數返回地址0x7fffffffe2a8(注:這個很容易分析得到),然后通過函數偏移值0x48(注:這個根據特定平臺和特定編譯器來分析得出)來重定向返回值地址,即定向到hack函數,這段重定向代碼 也就是常說的shellcode。
            
   緩沖區溢出攻擊在平時的網絡攻擊中能占到50%的比例,上面test函數可以輕易的讓計算機崩潰,也可以輕易的執行任何病毒或者木馬程序。
            
   現在來分析一下防范措施。首先當然是作為程序員的我們需要注意的:寫數據時,特別警惕數據邊界,嚴防存在數據寫溢出的情況,類似于strcpy等函數不要使用或者小心使用。其次當然是通過其他方式的防范,上面我也提到了,shellcode中有兩個值是需要計算的,第一個是函數返回值地址,這個比較容易分析出來,因為編譯器是有固定的入棧壓棧規則的;第二個是兩個函數之間的偏移地址,函數地址在編譯階段就已經在代碼段固定下來了,偏移 只需要根據反匯編出的片段地址猜解出來(如果能完全反匯編出來,就不用猜了……)。這兩個值只要增加任何一個的計算難度,都可以有效減少這種漏洞的攻擊。目前Linux
(包括各種修改版本,例如Android) 、FreeBSD、Windows 等主流操作系統都已采用 ASLR(Address space layout randomization)技術(iOS系統自iOS 4.3以后也支持了ASLR技術 ),這種技術就是通過對堆、棧、共享庫映射等線性區布局的隨機化來達到增加猜解出函數偏移的目的。當然這種技術僅僅是減少而非杜絕緩沖區溢出攻擊。
            
世界上沒有完美的程序,只有暫時想不到的bug                                                  by peakflys
		
            
			posted on 2012-10-24 16:51 peakflys 閱讀(2505) 評論(2)  編輯 收藏 引用  所屬分類: C++ 、服務器 
		
            
	
            
	
	


	


            
	    
    


            

            評論
            
	
	
			
            
				# re: 由段錯誤引申出的緩沖區溢出攻擊分析
					
						2012-10-25 10:30
					
				zuhd
			
            
			
            
				樓主這個例子很不錯,但是有幾點沒講清楚哈,主要是以下兩句話
            int *ret = (int *)(a + 24);
            *ret -= 0x48;
            我補充一下,班門弄斧了。
            int *ret = (int *)(a + 24);
            這句話的意思是取棧中的一個值,這個值其實就是call test之后下一條指令的地址偏移,也就是eip。為什么是24呢,首先char a[4]會被編譯器優化擴展成int,這是4*4=16,然后是test內部的push ebp4個字節,然后是push eip的4個字節,一共24個。拿到這個地址后,修改里面的內容即可。為什么是0x48呢,因為這個時候,真正的eip值是0x40085b,減去0x48=0x400818,也就是hack中的cout部分了。
              回復  更多評論
				  
			
            
		
			
            
				# re: 由段錯誤引申出的緩沖區溢出攻擊分析
					
						2012-10-25 10:44
					
				peakflys
			
            
			
            
				24那個值看一下匯編 或者 info frame 看一下堆棧幀也可以看出來 但是你計算的不對,上面的編譯環境使用的寄存器是rbp、rsp、rip(從上面匯編也可以看出來) 這些都是64位的,24的具體計算過程是這樣的:a數據擴展成4個int是16個字節,然后加上test函數調用時壓進堆棧的rbp 8個字節,總共是24個字節,這個位置就是調用test函數后的返回地址,修改內容即可,具體可以用gdb調試看一下 @zuhd
              回復  更多評論
				  
			
            
		

            




            






            

				
				

			
            
			
            
				
					
            
	
            
		
            <2012年10月>
            
	
            30123456
            78910111213
            14151617181920
            21222324252627
            28293031123
            45678910
            

            

					

            導航
            

					

            統計
            
	
					

            公告
            
	人不淡定的時候,就愛表現出來,敲代碼如此,偶爾的靈感亦如此……

					

            常用鏈接
            


            留言簿(4)
            


		
            隨筆分類
            
		
				
			
	
		
            隨筆檔案
            
		
				
			
	
		
            文章檔案
            
		
				
			
	



            搜索
            



            最新評論
	
            

            
	
			
		

            


            閱讀排行榜
            



            評論排行榜
            


				
			
            
			
			
			
			
			 

	
    
    







            
	   
	



久久成人18免费网站|
久久精品国产只有精品2020|
久久久噜噜噜久久|
久久久久国产视频电影|
亚洲v国产v天堂a无码久久|
思思久久99热只有频精品66|
久久精品黄AA片一区二区三区|
国产产无码乱码精品久久鸭|
免费一级欧美大片久久网|
伊人久久大香线蕉av不卡|
久久777国产线看观看精品|
久久亚洲av无码精品浪潮|
欧美喷潮久久久XXXXx|
国产成人无码精品久久久久免费
|
99久久免费国产精品热|
久久国产综合精品五月天|
久久久久人妻精品一区二区三区|
久久99精品免费一区二区|
精品久久人妻av中文字幕|
97视频久久久|
欧美国产成人久久精品|
99热成人精品免费久久|
奇米综合四色77777久久|
亚洲美日韩Av中文字幕无码久久久妻妇
|
中文字幕无码精品亚洲资源网久久|
国产精品久久久久久|
久久精品国产久精国产思思|
2021国内久久精品|
无码8090精品久久一区|
成人午夜精品久久久久久久小说|
一本色道久久99一综合|
亚洲人成网站999久久久综合|
国产精品无码久久四虎|
国产精品成人99久久久久|
国产精品一区二区久久|
久久精品aⅴ无码中文字字幕不卡|
久久国产欧美日韩精品免费|
欧美麻豆久久久久久中文|
久久综合久久鬼色|
亚洲七七久久精品中文国产|
国内精品久久国产|