由段錯(cuò)誤引申出的緩沖區(qū)溢出攻擊分析

    前段時(shí)間在寫(xiě)《段錯(cuò)誤造成的常見(jiàn)詭異宕機(jī)情況總結(jié)(中)》時(shí)，分析到 程序中數(shù)據(jù)寫(xiě)超時(shí)有可能寫(xiě)到this指針?biāo)诘牡刂防锩妫瑢?dǎo)致最終詭異的宕機(jī)。其實(shí)網(wǎng)絡(luò)攻防里常用的緩沖區(qū)溢出攻擊也是這個(gè)道理，除了使用戶(hù)程序甚至計(jì)算機(jī)掛掉外，還有可能執(zhí)行攻擊者想執(zhí)行的任何程序，這篇文章主要詳細(xì)剖析一下第二種攻擊的方法以及現(xiàn)在Linux(包括各種修改版本，例如Android)、Windows下常使用的防范措施。
   話(huà)不多說(shuō)，先貼一則小例子：
   
運(yùn)行結(jié)果：
整個(gè)過(guò)程沒(méi)有顯示調(diào)用hack函數(shù)，而最終hack函數(shù)卻得以運(yùn)行。下面給出三個(gè)函數(shù)的匯編代碼：
0000000000400814 <_Z4hackv>:
在調(diào)用test函數(shù)后，gdb打印結(jié)果：
(gdb) p $rsp
在test函數(shù)堆棧前面(如上，堆棧地址：0x7fffffffe2a8 )有函數(shù)返回的地址(即0x400860 )。test函數(shù)調(diào)用時(shí)的內(nèi)存模型大致為：
   估計(jì)這時(shí)候大家都已經(jīng)知道整個(gè)實(shí)現(xiàn)的詳細(xì)過(guò)程了，test函數(shù)中ret指針指向test函數(shù)返回地址0x7fffffffe2a8(注：這個(gè)很容易分析得到)，然后通過(guò)函數(shù)偏移值0x48(注：這個(gè)根據(jù)特定平臺(tái)和特定編譯器來(lái)分析得出)來(lái)重定向返回值地址，即定向到hack函數(shù)，這段重定向代碼 也就是常說(shuō)的shellcode。
   緩沖區(qū)溢出攻擊在平時(shí)的網(wǎng)絡(luò)攻擊中能占到50%的比例，上面test函數(shù)可以輕易的讓計(jì)算機(jī)崩潰，也可以輕易的執(zhí)行任何病毒或者木馬程序。
   現(xiàn)在來(lái)分析一下防范措施。首先當(dāng)然是作為程序員的我們需要注意的：寫(xiě)數(shù)據(jù)時(shí)，特別警惕數(shù)據(jù)邊界，嚴(yán)防存在數(shù)據(jù)寫(xiě)溢出的情況，類(lèi)似于strcpy等函數(shù)不要使用或者小心使用。其次當(dāng)然是通過(guò)其他方式的防范，上面我也提到了，shellcode中有兩個(gè)值是需要計(jì)算的，第一個(gè)是函數(shù)返回值地址，這個(gè)比較容易分析出來(lái)，因?yàn)榫幾g器是有固定的入棧壓棧規(guī)則的；第二個(gè)是兩個(gè)函數(shù)之間的偏移地址，函數(shù)地址在編譯階段就已經(jīng)在代碼段固定下來(lái)了，偏移 只需要根據(jù)反匯編出的片段地址猜解出來(lái)(如果能完全反匯編出來(lái)，就不用猜了……)。這兩個(gè)值只要增加任何一個(gè)的計(jì)算難度，都可以有效減少這種漏洞的攻擊。目前Linux (包括各種修改版本，例如Android) 、FreeBSD、Windows 等主流操作系統(tǒng)都已采用 ASLR（Address space layout randomization）技術(shù)（iOS系統(tǒng)自iOS 4.3以后也支持了ASLR技術(shù) ），這種技術(shù)就是通過(guò)對(duì)堆、棧、共享庫(kù)映射等線(xiàn)性區(qū)布局的隨機(jī)化來(lái)達(dá)到增加猜解出函數(shù)偏移的目的。當(dāng)然這種技術(shù)僅僅是減少而非杜絕緩沖區(qū)溢出攻擊。
世界上沒(méi)有完美的程序，只有暫時(shí)想不到的bug                                                  by peakflys

posted on 2012-10-24 16:51 peakflys 閱讀(2528) 評(píng)論(2)  編輯 收藏 引用 所屬分類(lèi): C++ 、服務(wù)器