欧美三区美女,亚洲日韩成人,欧美精品少妇一区二区三区

peakflys

由段錯誤引申出的緩沖區(qū)溢出攻擊分析

前段時間在寫《段錯誤造成的常見詭異宕機(jī)情況總結(jié)(中)》時，分析到程序中數(shù)據(jù)寫超時有可能寫到this指針?biāo)诘牡刂防锩妫瑢?dǎo)致最終詭異的宕機(jī)。其實網(wǎng)絡(luò)攻防里常用的緩沖區(qū)溢出攻擊也是這個道理，除了使用戶程序甚至計算機(jī)掛掉外，還有可能執(zhí)行攻擊者想執(zhí)行的任何程序，這篇文章主要詳細(xì)剖析一下第二種攻擊的方法以及現(xiàn)在Linux(包括各種修改版本，例如Android)、Windows下常使用的防范措施。
話不多說，先貼一則小例子：

  1  **
  2  *\author peakflys
  3  *\email peakflys@gmail.com
  4  *\brief Buffer overflow attack
  5  */
  6 #include <iostream>
  7 using namespace std;
  8
  9 void hack()
10 {
11     cout<<"hacked"<<endl;
12 }
13
14 void test()
15 {
16     char a[4];
17     int *ret = (int *)(a + 24);
18     *ret -= 0x48;
19 }
20
21 int main()
22 {
23     test();
24     return 0;
25 }

運(yùn)行結(jié)果：

hacked

整個過程沒有顯示調(diào)用hack函數(shù)，而最終hack函數(shù)卻得以運(yùn)行。下面給出三個函數(shù)的匯編代碼：
0000000000400814 <_Z4hackv>:

void hack()
{
  400814:   55                      push   %rbp
  400815:   48 89 e5 mov    %rsp,%rbp
cout<<"hacked"<<endl;
  400818:   be b8 09 40 00 mov    $0x4009b8,%esi
  40081d:   bf 80 0d 60 00 mov    $0x600d80,%edi
  400822:   e8 c1 fe ff ff callq  4006e8 <_ZStlsISt11char_traitsIcEERSt13basic_ostreamIcT_ES5_PKc@plt>
  400827:   be 08 07 40 00 mov    $0x400708,%esi
  40082c:   48 89 c7 mov    %rax,%rdi
  40082f:   e8 c4 fe ff ff callq  4006f8 <_ZNSolsEPFRSoS_E@plt>
  400834:   c9                      leaveq
  400835:   c3                      retq
}

0000000000400836 <_Z4testv>:
void test()
{
  400836:   55                      push   %rbp
  400837:   48 89 e5 mov    %rsp,%rbp
  char a[4];
  int *ret = (int *)(a + 24);
  40083a:   48 8d 45 f0 lea    -0x10(%rbp),%rax
  40083e:   48 83 c0 18 add    $0x18,%rax
  400842:   48 89 45 f8 mov    %rax,-0x8(%rbp)
*ret -= 0x48;
  400846:   48 8b 45 f8 mov    -0x8(%rbp),%rax
  40084a:   8b 00                   mov    (%rax),%eax
  40084c:   8d 50 b8 lea    -0x48(%rax),%edx
  40084f:   48 8b 45 f8 mov    -0x8(%rbp),%rax

  400853:   89 10                   mov    %edx,(%rax)
  400855:   c9                      leaveq
  400856:   c3                      retq
}

0000000000400857 <main>:

int main()
{
  400857:   55                      push   %rbp
  400858:   48 89 e5 mov    %rsp,%rbp
    test();
  40085b:   e8 d6 ff ff ff          callq  400836 <_Z4testv>
    return 0;
  400860:   b8 00 00 00 00 mov    $0x0,%eax
  400865:   c9                      leaveq
  400866:   c3                      retq
}

在調(diào)用test函數(shù)后，gdb打印結(jié)果：
(gdb) p $rsp

$1 = (void *) 0x7fffffffe2a0
(gdb) p $rbp
$2 = (void *) 0x7fffffffe2a0
(gdb) p /x *(0x7fffffffe2a8)
$3 = 0x400860

在test函數(shù)堆棧前面(如上，堆棧地址：0x7fffffffe2a8 )有函數(shù)返回的地址(即0x400860 )。test函數(shù)調(diào)用時的內(nèi)存模型大致為：

估計這時候大家都已經(jīng)知道整個實現(xiàn)的詳細(xì)過程了，test函數(shù)中ret指針指向test函數(shù)返回地址0x7fffffffe2a8(注：這個很容易分析得到)，然后通過函數(shù)偏移值0x48(注：這個根據(jù)特定平臺和特定編譯器來分析得出)來重定向返回值地址，即定向到hack函數(shù)，這段重定向代碼也就是常說的shellcode。
緩沖區(qū)溢出攻擊在平時的網(wǎng)絡(luò)攻擊中能占到50%的比例，上面test函數(shù)可以輕易的讓計算機(jī)崩潰，也可以輕易的執(zhí)行任何病毒或者木馬程序。
現(xiàn)在來分析一下防范措施。首先當(dāng)然是作為程序員的我們需要注意的：寫數(shù)據(jù)時，特別警惕數(shù)據(jù)邊界，嚴(yán)防存在數(shù)據(jù)寫溢出的情況，類似于strcpy等函數(shù)不要使用或者小心使用。其次當(dāng)然是通過其他方式的防范，上面我也提到了，shellcode中有兩個值是需要計算的，第一個是函數(shù)返回值地址，這個比較容易分析出來，因為編譯器是有固定的入棧壓棧規(guī)則的；第二個是兩個函數(shù)之間的偏移地址，函數(shù)地址在編譯階段就已經(jīng)在代碼段固定下來了，偏移只需要根據(jù)反匯編出的片段地址猜解出來(如果能完全反匯編出來，就不用猜了……)。這兩個值只要增加任何一個的計算難度，都可以有效減少這種漏洞的攻擊。目前Linux (包括各種修改版本，例如Android) 、FreeBSD、Windows 等主流操作系統(tǒng)都已采用 ASLR（Address space layout randomization）技術(shù)（iOS系統(tǒng)自iOS 4.3以后也支持了ASLR技術(shù) ），這種技術(shù)就是通過對堆、棧、共享庫映射等線性區(qū)布局的隨機(jī)化來達(dá)到增加猜解出函數(shù)偏移的目的。當(dāng)然這種技術(shù)僅僅是減少而非杜絕緩沖區(qū)溢出攻擊。
世界上沒有完美的程序，只有暫時想不到的bug by peakflys

posted on 2012-10-24 16:51 peakflys 閱讀(2541) 評論(2) 編輯收藏引用所屬分類: C++ 、服務(wù)器

樓主這個例子很不錯，但是有幾點(diǎn)沒講清楚哈，主要是以下兩句話
int *ret = (int *)(a + 24);
*ret -= 0x48;
我補(bǔ)充一下，班門弄斧了。
int *ret = (int *)(a + 24);
這句話的意思是取棧中的一個值，這個值其實就是call test之后下一條指令的地址偏移，也就是eip。為什么是24呢，首先char a[4]會被編譯器優(yōu)化擴(kuò)展成int，這是4*4=16,然后是test內(nèi)部的push ebp4個字節(jié)，然后是push eip的4個字節(jié)，一共24個。拿到這個地址后，修改里面的內(nèi)容即可。為什么是0x48呢，因為這個時候，真正的eip值是0x40085b,減去0x48=0x400818，也就是hack中的cout部分了。
回復(fù) 更多評論

# re: 由段錯誤引申出的緩沖區(qū)溢出攻擊分析 2012-10-25 10:44 peakflys

24那個值看一下匯編或者 info frame 看一下堆棧幀也可以看出來但是你計算的不對，上面的編譯環(huán)境使用的寄存器是rbp、rsp、rip(從上面匯編也可以看出來) 這些都是64位的，24的具體計算過程是這樣的：a數(shù)據(jù)擴(kuò)展成4個int是16個字節(jié)，然后加上test函數(shù)調(diào)用時壓進(jìn)堆棧的rbp 8個字節(jié)，總共是24個字節(jié)，這個位置就是調(diào)用test函數(shù)后的返回地址，修改內(nèi)容即可，具體可以用gdb調(diào)試看一下 @zuhd
回復(fù) 更多評論

刷新評論列表

只有注冊用戶登錄后才能發(fā)表評論。


相關(guān)文章: SGI STL中默認(rèn)Allocator為何變?yōu)閚ew_allocator？以題論道----關(guān)于虛函數(shù)的一些解讀從一道面試題來闡釋一個普遍的認(rèn)知誤區(qū) 關(guān)于最優(yōu)無限循環(huán)的考證由段錯誤引申出的緩沖區(qū)溢出攻擊分析小議c++之回調(diào) 編譯器背后的小故事

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

<

2012年10月

>

日

一

二

三

四

五

六

30

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

1

2

3

4

5

6

7

8

9

10

導(dǎo)航

統(tǒng)計

隨筆 - 23
文章 - 18
評論 - 119
引用 - 0

公告

人不淡定的時候，就愛表現(xiàn)出來，敲代碼如此，偶爾的靈感亦如此……

# re: 由段錯誤引申出的緩沖區(qū)溢出攻擊分析 2012-10-25 10:30 zuhd

# re: 由段錯誤引申出的緩沖區(qū)溢出攻擊分析 2012-10-25 10:44 peakflys

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

由段錯誤引申出的緩沖區(qū)溢出攻擊分析

評論

導(dǎo)航

統(tǒng)計

公告

常用鏈接

留言簿(4)

隨筆分類

隨筆檔案

文章檔案

搜索

最新評論

閱讀排行榜

評論排行榜