文档介绍:网络与信息安全�网络安全(五)
潘爱民,北京大学计算机研究所
.cn/ourse
内容
缓冲区溢出
原理
Windows平台的Buffer overflows
Linux平台的Buffer overflows
其他网络安全技术
后门
隐藏痕迹
网络安全部分复习
第二次作业
Buffer Overflows
基本的思想
通过修改某些内存区域,把一段恶意代码存储到一个buffer中,并且使这个buffer被溢出,以便当前进程被非法利用(执行这段恶意的代码)
危害性
在UNIX平台上,通过发掘Buffer Overflow, 可以获得一个交互式的shell
在Windows平台上,可以上载并执行任何的代码
溢出漏洞发掘起来需要较高的技巧和知识背景,但是,一旦有人编写出溢出代码,则用起来非常简单
与其他的攻击类型相比,缓冲区溢出攻击
不需要太多的先决条件
杀伤力很强
技术性强
在Buffer Overflows攻击面前,防火墙往往显得很无奈
Buffer Overflow的历史
1988年的Morris蠕虫病毒,放倒了6000多台机器:利用UNIX服务finger中的缓冲区溢出漏洞来获得访问权限,得到一个shell
1996年前后,开始出现大量的Buffer Overflow攻击,因此引起人们的广泛关注
源码开放的操作系统首当其冲
随后,Windows系统下的Buffer Overflows也相继被发掘出来
已经有一些非常经典细致的文章来介绍与Buffer overflows有关的技术
进程的内存空间示意图
Stack
Heap
Bss
Data
Text
一点关于Intel x86系列的汇编知识
段式结构
从段式结构-> 线性结构
内存区域的访问控制
段描述符
指令流的控制
ECS:EIP
Jmp指令(及其他跳转指令)
Call指令/ret
栈段ESS
两个指针:ESP(动态), EBP(静态)
Call/ret指令
Push/pop/pusha/popa
一个函数调用示例
函数:
int func(int a, int b){
int retVal = a + b;
return retVal;
}
int main(int argc, char* argv[])
{
int result = func(1, 2);
printf("Hello World!\n");
return 0;
}
EIP、EBP、ESP指针
2
1
Ret-add
ebp
retVal
…
…
Stack frame
为什么会缓冲区溢出?
在C语言中,指针和数组越界不保护是Buffer overflow的根源,而且,在C语言标准库中就有许多能提供溢出的函数,如strcat(), strcpy(), sprintf(), vsprintf(), bcopy(), gets()和scanf()
通过指针填充数据
不好的编程习惯
溢出类型
栈溢出
堆溢出
栈溢出(stack overflow)
#include <>
#include <>
char shellcode[] = "\xeb\x1f\x……";
char large_string[128];
int main(int argc, char **argv){
char buffer[96];
int i;
long *long_ptr = (long *) large_string;
for (i = 0; i < 32; i++)
*(long_ptr + i) = (int) buffer;
for (i = 0; i < (int) strlen(shellcode); i++)
large_string[i] = shellcode[i];
strcpy(buffer, large_string);
return 0;
}
para1
para2
Return add
Buffer
(96bytes)
i
long_ptr
高地址
低地址
shellcode
堆溢出(heap overflow)
内存中的一些数据区
.text 包含进程的代码
.data 包含已经初始化的数据(全局的,或者static的、并且已经初始化的数据)
.bss 包含未经初始化的数据(全局的,或者static的、并且未经初始化的数据)
heap 运行时刻动态分配的数据区
还有一些其他的数据区
、.bss和heap中溢出的情形,都称为heap overflow,这些数据区的特点是:�数据的增长由低地址向高地址