版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
2022/12/1网络安全
NetworkSecurity2022/12/1网络安全
NetworkSecurity2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区溢出概述缓冲区溢出攻击的原理缓冲区溢出攻击的防御技术2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区溢出概述缓冲区溢出攻击的原理缓冲区溢出攻击的防御技术2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区2022/12/1缓冲溢出概述1.缓冲区的定义连续的一段存储空间。2.缓冲区溢出的定义指写入缓冲区的数据量超过该缓冲区能容纳的最大限度,造成溢出的数据改写了与该缓冲区相邻的原始数据的情形。Bufferoverflowistheresultofwritingmoredataintoabufferthanthebuffercanhold.
2022/12/1缓冲溢出概述1.缓冲区的定义2022/12/1ExampleConsiderthefollowingcodeintmain(void){charbuffer[4];strcpy(buffer,“AAA”);……}mainstackframe
previousstackframe…………buffer[4]HighaddressesLowaddressesAAA\02022/12/1ExampleConsiderthef2022/12/1Example(contd.)Nowweinput4+4+3‘A’sinsteadof4‘A’main(void){charbuffer[4];strcpy(buffer,“”);}AAAAAAAAAAAAAAmainstackframe
previousstackframe…………buffer[4]HigheraddressesLoweraddresses?AAAAAAAAAAA\0……2022/12/1Example(contd.)Noww2022/12/1缓冲溢出概述(续)3.缓冲区溢出的危害利用缓冲区溢出实现在本地或者远程系统上实现任意执行代码的目的,从而进一步达到对被攻击系统的完全掌控;利用缓冲区溢出进行DoS(DenialofService)攻击;利用缓冲区溢出破坏关键数据,使系统的稳定性和有效性受到不同程度的影响;实现蠕虫程序1988RobertT.Morris蠕虫利用UNIX系统中In,theMorrisInternetwormexploitedbufferoverflowvulnerabilityinfingerdserverprogramonUNIXsystems.曾在2001年造成大约26亿美元损失的CodeRed蠕虫及其变体就是利用了MicrosoftIIS中的缓冲区溢出进行攻击2002年的Sapphire蠕虫和2004年的Witty蠕虫也都利用了缓冲区溢出进行攻击。In2004,theWittywormtakesadvantageofabufferoverflowflawinseveralInternetSecuritySystems™(ISS)products.2022/12/1缓冲溢出概述(续)3.缓冲区溢出的危害2022/12/1SourcefromCERT(ComputerEmergencyResponseTeam)CERTAdvisories,/advisories/缓冲区溢出相关的软件安全隐患数目占整个软件安全隐患数目的比例2022/12/1SourcefromCERT(Com2022/12/1缓冲溢出概述(续)4.造成缓冲区溢出的根本原因代码在操作缓冲区时,没有有效地对缓冲区边界进行检查,使得写入缓冲区的数据量超过缓冲区能够容纳的范围,从而导致溢出的数据改写了与该缓冲区相邻存储单元的内容。
CandC++arethemostcommonlanguagestocreatebufferoverflows.C语言中许多字符串处理函数如:Strcpy、Strcat、Gets、Sprintf等都没有对数组越界加以检测和限制。2022/12/1缓冲溢出概述(续)4.造成缓冲区溢出的根2022/12/1缓冲溢出概述(续)MicrosoftWindows,Linux/Unix,AppleMacintosh等主流操作系统无一例外存在缓冲区溢出问题。存在缓冲区溢出问题的应用程序也广泛存在,涉及数据库系统例如MicrosoftSQLServer2000,Oracle9i,网络服务(MicrosoftIIS),网络协议实现(例如OpenSSL),多媒体软件(AppleQuickTime)等等
2022/12/1缓冲溢出概述(续)MicrosoftWi2022/12/1缓冲溢出概述(续)缓冲区溢出可以成为攻击者实现攻击目标的手段,但是单纯地溢出缓冲区并不能达到攻击的目的。在绝大多数情况下,一旦程序中发生缓冲区溢出,系统会立即中止程序并报告“faultsegment”。例如缓冲区溢出,将使返回地址改写为一个非法的、不存在的地址,从而出现coredump错误,不能达到攻击目的。只有对缓冲区溢出“适当地”加以利用,攻击者才能通过其实现攻击目标。2022/12/1缓冲溢出概述(续)缓冲区溢出可以成为攻击者2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区溢出概述缓冲区溢出攻击的原理缓冲区溢出攻击的防御技术2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区2022/12/1缓冲溢出攻击的原理1.缓冲区溢出攻击模式AttackedSystem溢出缓冲区重定向到攻击程序任意地执行程序执行攻击程序Attacker注入恶意数据获得控制权找到可利用的缓冲区溢出隐患恶意数据可以通过命令行参数、环境变量、输入文件或者网络数据注入2022/12/1缓冲溢出攻击的原理1.缓冲区溢出攻击模式2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可能发生的位置预备知识点进程在内存中的布局2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可2022/12/1缓冲溢出攻击的原理(续)代码段/文本段用于放置程序的可执行代码(机器码)。数据段用于放置已初始化的全局变量和已初始化的局部静态变量。BSS(BlockStartedbySymbol)段用于放置未初始化的全局变量和未初始化的局部静态变量。堆用于动态分配内存。堆栈段用于存放函数的参数,返回地址,调用函数的栈基址以及局部非静态变量。进程的环境变量和参数
.text.data.bssheapunusedstackenvLowaddressHighaddressLinux/IntelIA-32architecture
2022/12/1缓冲溢出攻击的原理(续)代码段/文本段.t2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可能发生的位置(续)堆栈(stack)堆(heap)数据段(data)BSS段.text.data.bssheapunusedstackenvLowaddressHighaddressLinux/IntelIA-32architecture
2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可能发生的位置(续)堆栈(stack)堆(heap)数据段(data)BSS段.text.data.bssheapunusedstackenvLowaddressHighaddressLinux/IntelIA-32architecture
2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可2022/12/1被调函数堆栈布局堆栈采用后进先出(LIFO)的方式管理数据,这种方式是实现函数嵌套调用的关键。
PreviousstackframesFunctionargumentsReturnaddressPreviousframepointerLocalvariablesHighaddressLowaddress从右到左的顺序指令寄存器(EIP)基址寄存器(EBP)局部非静态变量2022/12/1被调函数堆栈布局堆栈采用后进先出(LIFO2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢出voidfunction(char*str){ charbuffer[4]; strcpy(buffer,str);}voidmain(intargc,char**argv){ charlarge_string[8]; inti; for(i=0;i<8;i++) large_buffer[i]=‘A’ function(large_string);}2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢2022/12/1Example(contd.)Large_string上一个栈帧地址
返回地址
argv内存低端内存高端argcESPmain函数栈帧voidmain(intargc,char**argv)i2022/12/1Example(contd.)Large2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢出voidfunction(char*str){ charbuffer[4]; strcpy(buffer,str);}voidmain(intargc,char**argv){ charlarge_string[8]; inti; for(i=0;i<8;i++) large_buffer[i]=‘A’ function(large_string);}2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢2022/12/1Example(contd.)Large_string上一个栈帧地址返回地址argv内存低端内存高端argcESPMain函数的栈帧i*str返回地址main函数的栈帧地址bufferfunction函数栈帧function函数被调用,调用strcpy之前voidfunction(char*str)…………2022/12/1Example(contd.)Large2022/12/1Example(contd.)Large_string上一个栈帧地址返回地址argv内存低端内存高端argcESPMain函数的栈帧i*str返回地址AAAAAAAAfunction函数栈帧function函数被调用,调用strcpy之后voidfunction(char*str)…………2022/12/1Example(contd.)Large2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢出的潜在危害改写返回地址改写调用函数栈的栈帧地址
被调函数……movl%ebp,%esppopl%ebpret调用函数……movl%ebp,%esppopl%ebpret2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢出的潜在危害(续)改写函数指针改写虚函数指针改写异常处理指针改写数据指针
voidBadCode(char*string){void(*p)()=...;charbuff[100];strcpy(buff,string);p();……}2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可能发生的位置(续)堆栈(stack)堆(heap)数据段(data)BSS段.text.data.bssheapunusedstackenvLowaddressHighaddressLinux/IntelIA-32architecture
2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可2022/12/1缓冲溢出攻击的原理(续)基于堆的缓冲区溢出Heapisacontiguousmemoryusedtodynamicallyallocatespacewherethesizewillbeknownonlyduringtheexecutionofthecode.
在Linux中,堆空间按照DougLea算法实现动态分配。在C程序中,标准库函数malloc()/free()用于从堆中动态申请/释放块;对于C++程序,相应函数为new/delete。2022/12/1缓冲溢出攻击的原理(续)基于堆的缓冲区溢出2022/12/1缓冲溢出攻击的原理(续)基于堆的缓冲区溢出(续)voidmain(intargc,char**argv){char*buf1=(char*)malloc(16);char*buf2=(char*)malloc(16);strcpy(buf1,”AAAAAAAAAAAAAAA”);strcpy(buf2,argv[1]);}0030035000300360003003700030034000300380buf[2]buf[1]buf[2]AAAAAAAAAAAAAAA\02022/12/1缓冲溢出攻击的原理(续)基于堆的缓冲区溢出2022/12/1buf[2]AAAAAAAAAAAAAAAA基于堆的缓冲区溢出正常输入Prompt:>BB..BBB(total15‘B’s)产生溢出的输入Prompt:>BB..BBB(total40‘B’s)(a)heaplayoutwithoutoverflow0030035000300360003003700030034000300380BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB\0AAAAAA\0(b)heaplayoutwithoverflowBBBBBBBBBBBBBBB\0AAAAAAAAAAAAAAA\02022/12/1buf[2]AAAAAAAAAAAAAAA2022/12/1基于堆的缓冲区溢出攻击举例1996年BSDIcrontab被发现存在基于堆的缓冲区溢出隐患,攻击者可以通过输入一个长文件名溢出在堆上的缓冲区,溢出数据改写的区域是保存有用户名、密码、uid,gid等信息的区域。2022/12/1基于堆的缓冲区溢出攻击举例1996年BSD2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可能发生的位置(续)堆栈(stack)堆(heap)数据段(data)BSS段.text.data.bssheapunusedstackenvLowaddressHighaddressLinux/IntelIA-32architecture
2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可2022/12/1缓冲溢出攻击的原理(续)基于数据段的缓冲区溢出voidOverflow_Data(char*input){staticcharbuf[4]=”CCCC”;inti;for(i=0;i<12;i++)buf[i]=‘A’;}2022/12/1缓冲溢出攻击的原理(续)基于数据段的缓冲区2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可能发生的位置(续)堆栈(stack)堆(heap)数据段(data)BSS段.text.data.bssheapunusedstackenvLowaddressHighaddressLinux/IntelIA-32architecture
2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可2022/12/1缓冲溢出攻击的原理(续)基于BSS段的缓冲区溢出voidOverflow_BSS(char*input){staticcharbuf[4];inti;for(i=0;i<12;i++)buf[i]=‘A’;}2022/12/1缓冲溢出攻击的原理(续)基于BSS段的缓冲2022/12/1缓冲溢出攻击的原理(续)3.常见的溢出缓冲区的途径利用C的标准函数库常见的有strcpy、strcat、sprintf、gets“Mudge”.HowtoWriteBufferOverflows.http:///advisories/bufero.html,1997.PaulA.HenryMCP+Ietal.BufferOverflowAttacks.CyberGuardCorp.C.Cowanetal.Bufferoverflows:Attacksanddefensesforthevulnerabilityofthedecade.ProceedingsoftheDARPAInformationSurvivabilityConferenceandExpo,1999.
2022/12/1缓冲溢出攻击的原理(续)3.常见的溢出缓2022/12/1缓冲溢出攻击的原理(续)利用数组下标的越界操作Off-by-one缓冲区溢出利用数组的最大下标与数组长度的差异产生。例如1998年10月BugTraq公布出Linuxlibc中的realpath函数存在single-byte缓冲区溢出隐患,攻击者可以利用它获得root权限。参见O.Kirch.Thepoisonednulbyte,posttothebugtraqmailinglist,October1998.2000年12月OpenBSD安全组公布ftpd存在类似安全隐患。参见OpenBSDdevelopers,single-bytebufferoverflowvulnerabilityinftpd,December2000.
voidBadCode(char*str){charbuffer[512];for(i=0;i<=512;i++)buffer[i]=str[i];}2022/12/1缓冲溢出攻击的原理(续)利用数组下标的越界2022/12/1缓冲溢出攻击的原理(续)利用有符号整数与无符号整数的转换
voidBadCode(char*input){shortlen;charbuf[64];len=strlen(input);if(len<MAX_BUF)strcpy(buf,input);}2022/12/1缓冲溢出攻击的原理(续)利用有符号整数与无2022/12/1缓冲溢出攻击的原理(续)4.恶意代码(注入)例如为实现:“exec(/bin/sh)”charshellcode[]=”\xeb\x1f\x5e\x89\x76\x08\x31\xc0””\x88\x46\x07\x89\x46\x0c\xb0\x0b””\x89\xf3\x8d\x4e\x08\x8d\x56\x0c””\xcd\x80\x31\xdb\x89\xd8\x40\xcd””\x80\xe8\xdc\xff\xff\xff/bin/sh”;charlarge_string[128];voidmain(){charbuffer[96];inti;long*long_ptr;long_ptr=(long*)large_string;for(i=0;i<32;i++)*(long_ptr+i)=(int)buffer;for(i=0;i<strlen(shellcode);i++)large_string[i]=shellcode[i];strcpy(buffer,large_string);}2022/12/1缓冲溢出攻击的原理(续)4.恶意代码(注2022/12/1Thesecretoftheshellcodecharshellcode[]=/*main:*/"\xeb\x1f"/*jmp$0x1forjmpcallz *//*start:*/"\x5e"/*popl%esi */"\x89\x76\x08"/*movl%esi,$0x08(%esi) */"\x31\xc0"/*xorl%eax,%eax */"\x88\x46\x07"/*movb%al,0x07(%esi) */"\x89\x46\x0c"/*movl%eax,$0x0c(%esi) */"\xb0\x0b"/*movb$0x0b,%al */"\x89\xf3"/*movl%esi,%ebx */"\x8d\x4e\x08"/*leal0x08(%esi),%ecx */"\x8d\x56\x0c"/*leal0x0c(%esi),%edx */"\xcd\x80"/*int$0x80 */"\x31\xdb"/*xorl%ebx,%ebx */"\x89\xd8"/*movl%ebx,%eax */"\x40"/*inc%eax */"\xcd\x80"/*int$0x80 *//*callz:*/"\xe8\xdc\xff\xff\xff"/*callstart *//*DATA*/"/bin/sh";1322022/12/1Thesecretoftheshe2022/12/1基于堆栈的缓冲区溢出攻击举例charshellcode[]=”\xeb\x1f\x5e\x89\x76\x08\x31\xc0””\x88\x46\x07\x89\x46\x0c\xb0\x0b””\x89\xf3\x8d\x4e\x08\x8d\x56\x0c””\xcd\x80\x31\xdb\x89\xd8\x40\xcd””\x80\xe8\xdc\xff\xff\xff/bin/sh”;charlarge_string[128];voidmain(){charbuffer[96];inti;long*long_ptr;long_ptr=(long*)large_string;for(i=0;i<32;i++)*(long_ptr+i)=(int)buffer;for(i=0;i<strlen(shellcode);i++)large_string[i]=shellcode[i];strcpy(buffer,large_string);}for(i=0;i<strlen(shellcode);i++)large_string[i]=shellcode[i];strcpy(buffer,large_string);2022/12/1基于堆栈的缓冲区溢出攻击举例charsh2022/12/1溢出前后堆栈内容对比HigheraddressesLoweraddressespreviousstackframeilong_ptrreturnaddresssavedEBPbuffer[96]mainstackframepreviousstackframeilong_ptraddress/bin/sh……\xeb\x1f堆栈溢出前堆栈溢出后2022/12/1溢出前后堆栈内容对比Higheraddr2022/12/1缓冲溢出攻击的原理(续)4.恶意代码(已在内存)利用已在内存中的代码作为攻击代码,但是需要提供调用这些现成代码产生攻击的参数。由于libc中的库函数常被用作现成的攻击代码,所以有时把这种攻击方式称为
return-to-libc。可参见Nergal.Theadvancedreturn-into-lib(c)exploits:Paxcasestudy.Phrack,Dec.2001.
2022/12/1缓冲溢出攻击的原理(续)4.恶意代码(已2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区溢出概述缓冲区溢出攻击的原理缓冲区溢出攻击的防御技术2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术类型安全的编程语言相对安全的函数库修改的编译器内核补丁静态分析方法动态检测方法基于硬件的防御技术处理器结构方面的改进2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术类型安全的编程语言相对安全的函数库修改的编译器内核补丁静态分析方法动态检测方法基于硬件的防御技术处理器结构方面的改进2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术2022/12/1基于软件的防御技术安全的编程语言Java,C#,VisualBasic,Pascal,Ada,Lisp,ML属于类型安全的编程语言。可参考MishaZiseretal.TestingStaticAnalysisToolsUsingExploitableBufferOverflowsFromOpenSourceCode.Proceedingsofthe12thACMSIGSOFTtwelfthinternationalsymposiumonFoundationsofsoftwareengineering,2004.
缺点性能代价类型安全的编程语言自身的实现可能存在缓冲区溢出问题。
2022/12/1基于软件的防御技术安全的编程语言2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术类型安全的编程语言相对安全的函数库修改的编译器内核补丁静态分析方法动态检测方法基于硬件的防御技术处理器结构方面的改进2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术2022/12/1基于软件的防御技术(续)相对安全的标准库函数例如在使用C的标准库函数时,做如下替换strcpy->strncpystrcat->strncatgets->fgets缺点使用不当仍然会造成缓冲区溢出问题。例如MicrosoftVisualStudio提供的C的标准函数库strsafe;
2022/12/1基于软件的防御技术(续)相对安全的标准库函2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术类型安全的编程语言相对安全的函数库修改的编译器内核补丁静态分析方法动态检测方法基于硬件的防御技术处理器结构方面的改进2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术2022/12/1基于软件的防御技术(续)修改的编译器增强边界检查能力的C/C++编译器例如针对GNUC编译器扩展数组和指针的边界检查。WindowsVisualC++.NET的GS选项也提供动态检测缓冲区溢出的能力。返回地址的完整性保护将堆栈上的返回地址备份到另一个内存空间;在函数执行返回指令前,将备份的返回地址重新写回堆栈。许多高性能超标量微处理器具有一个返回地址栈,用于指令分支预测。返回地址栈保存了返回地址的备份,可用于返回地址的完整性保护
缺点性能代价检查方法仍不完善
2022/12/1基于软件的防御技术(续)修改的编译器2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术类型安全的编程语言相对安全的函数库修改的编译器内核补丁静态分析方法动态检测方法基于硬件的防御技术处理器结构方面的改进2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术2022/12/1基于软件的防御技术(续)内核补丁将堆栈标志为不可执行来阻止缓冲区溢出攻击;将堆或者数据段标志为不可执行。例如Linux的内核补丁Openwall、RSX、kNoX、ExecShield和PaX等实现了不可执行堆栈,并且RSX、kNoX、ExecShield、PaX还支持不可执行堆。另外,为了抵制return-to-libc这类的攻击,PaX增加了一个特性,将函数库映射到随机的内存空间缺点:对于一些需要堆栈/堆/数据段为可执行状态的应用程序不合适;需要重新编译原来的程序,如果没有源代码,就不能获得这种保护。
2022/12/1基于软件的防御技术(续)内核补丁2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术类型安全的编程语言相对安全的函数库修改的编译器内核补丁静态分析方法动态检测方法基于硬件的防御技术处理器结构方面的改进2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术2022/12/1基于软件的防御技术(续)静态分析方法字典检查法遍历源程序查找其中使用到的不安全的库函数和系统调用。例如静态分析工具ITS4、RATS(RoughAuditingToolforSecurity)等。其中RATS提供对C,C++,Perl,PHP以及Python语言的扫描检测。缺点:误报率很高,需要配合大量的人工检查工作。2022/12/1基于软件的防御技术(续)静态分析方法2022/12/1基于软件的防御技术(续)静态分析方法(续)程序注解法
包括缓冲区的大小,指针是否可以为空,输入的有效约定等等。例如静态分析工具LCLINT、SPLINT(SecureProgrammingLint)。缺点:依赖注释的质量2022/12/1基于软件的防御技术(续)静态分析方法(续)2022/12/1基于软件的防御技术(续)静态分析方法(续)整数分析法将字符串形式化为一对整数,表明字符串长度(以字节数为单位)以及目前已经使用缓冲区的字节数。通过这样的形式化处理,将缓冲区溢出的检测转化为整数计算。例如静态分析工具BOON(BufferOverrundetectiON)。缺点:仅检查C中进行字符串操作的标准库函数。检查范围很有限。
2022/12/1基于软件的防御技术(续)静态分析方法(续)2022/12/1基于软件的防御技术(续)静态分析方法(续)控制流程分析法将源程序中的每个函数抽象成语法树,然后再把语法树转换为调用图/控制流程图来检查函数参数和缓冲区的范围。例如静态分析工具ARCHER(ARrayCHeckER)、UNO、PREfast和Coverity等。缺点:对于运行时才会显露的问题无法进行分析;存在误报的可能。
2022/12/1基于软件的防御技术(续)静态分析方法(续)2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术类型安全的编程语言相对安全的函数库修改的编译器内核补丁静态分析方法动态检测方法基于硬件的防御技术处理器结构方面的改进2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术2022/12/1基于软件的防御技术(续)动态检测方法
Canary-based检测方法将canary(一个检测值)放在缓冲区和需要保护的数据之间,并且假设如果从缓冲区溢出的数据改写了被保护数据,检测值也必定被改写。例如动态检测工具StackGuard、StackGhost、ProPolice、PointGuard等。缺点:多少工具通过修改编译器实现检测功能,需要重新编译程序;这种方法无法检测能过绕过检测值的缓冲区溢出攻击。
protectedDatacanary......buffer2022/12/1基于软件的防御技术(续)动态检测方法pro2022/12/1基于软件的防御技术(续)动态检测方法(续)输入检测方法向运行程序提供不同的输入,检查在这些输入条件下程序是否出现缓冲区溢出问题。不仅能检测缓冲区溢出问题,还可以检测其它内存越界问题。采用输入检测方法的工具有Purify、Fuzz和FIST(FaultInjectionSecurityTool)。缺点:系统性能明显降低。输入检测方法的检测效果取决于输入能否激发缓冲区溢出等安全问题的出现。
2022/12/1基于软件的防御技术(续)动态检测方法(续)2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术类型安全的编程语言相对安全的函数库修改的编译器内核补丁静态分析方法动态检测方法基于硬件的防御技术处理器结构方面的改进2022/12/1缓冲区溢出攻击的防御技术基于软件的防御技术2022/12/1基于硬件的防御技术64位处理器的支持
Intel/AMD64位处理器引入称为NX(NoExecute)或者AVP(AdvancedVirusProtection)的新特性,将以前的CPU合为一个状态存在的“数据页只读”和“数据页可执行”分成两个独立的状态。ELF64SystemVABI通过寄存器传递函数参数而不再放置在堆栈上,使得64位处理器不仅可以抵制需要注入攻击代码的缓冲区溢出攻击还可以抵制return-to-libc这类的攻击。缺点:无法抵制“borrowedcodechunks”这类的攻击。可参见SebastianKrahmer.X86-64bufferoverflowexploitsandtheborrowedcodechunksexploitationtechnique.http://www.suse.de/~krahmer/no-nx.pdf,Sep.2005.
2022/12/1基于硬件的防御技术64位处理器的支持2022/12/1缓冲区溢出攻击防御技术展望Software-basedsolutionsinconjunctionwithexistinghardware-basedtechniques.Practicalsecuritypolicestoimplementsafesoftwareengineering.Comprehensivetoolsormethodologiesshouldbeavailabletohelpdevelopersdesignandimplementsoftwareinasecurityconsciousmanner.
2022/12/1缓冲区溢出攻击防御技术展望Software2022/12/1教材与参考书教材:李毅超曹跃,网络与系统攻击技术电子科大出版社2007周世杰陈伟钟婷,网络与系统防御技术电子科大出版社2007
参考书阙喜戎等编著,信息安全原理及应用,清华大学出版社ChristopherM.King,CuritisE.Dalton,T.ErtemOsmanoglu(常晓波等译).安全体系结构的设计、部署与操作,清华大学出版社,2003(ChristopherM.King,etal,SecurityArchitecture,design,deployment&Operations)WilliamStallings,密码编码学与网络安全-原理与实践(第三版),电子工业出版社,2004StephenNorthcutt,深入剖析网络边界安全,机械工业出版社,2003冯登国,计算机通信网络安全,2001BruceSchneier,AppliedCryptography,Protocols,algorithms,andsourcecodeinC(2ndEdition)(应用密码学-协议、算法与C源程序,吴世忠、祝世雄、张文政等译)蔡皖东,网络与信息安全,西北工业大学出版社,20042022/12/1教材与参考书教材:2022/12/1AnyQuestion?Q&A2022/12/1AnyQuestion?2022/12/1网络安全
NetworkSecurity2022/12/1网络安全
NetworkSecurity2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区溢出概述缓冲区溢出攻击的原理缓冲区溢出攻击的防御技术2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区溢出概述缓冲区溢出攻击的原理缓冲区溢出攻击的防御技术2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区2022/12/1缓冲溢出概述1.缓冲区的定义连续的一段存储空间。2.缓冲区溢出的定义指写入缓冲区的数据量超过该缓冲区能容纳的最大限度,造成溢出的数据改写了与该缓冲区相邻的原始数据的情形。Bufferoverflowistheresultofwritingmoredataintoabufferthanthebuffercanhold.
2022/12/1缓冲溢出概述1.缓冲区的定义2022/12/1ExampleConsiderthefollowingcodeintmain(void){charbuffer[4];strcpy(buffer,“AAA”);……}mainstackframe
previousstackframe…………buffer[4]HighaddressesLowaddressesAAA\02022/12/1ExampleConsiderthef2022/12/1Example(contd.)Nowweinput4+4+3‘A’sinsteadof4‘A’main(void){charbuffer[4];strcpy(buffer,“”);}AAAAAAAAAAAAAAmainstackframe
previousstackframe…………buffer[4]HigheraddressesLoweraddresses?AAAAAAAAAAA\0……2022/12/1Example(contd.)Noww2022/12/1缓冲溢出概述(续)3.缓冲区溢出的危害利用缓冲区溢出实现在本地或者远程系统上实现任意执行代码的目的,从而进一步达到对被攻击系统的完全掌控;利用缓冲区溢出进行DoS(DenialofService)攻击;利用缓冲区溢出破坏关键数据,使系统的稳定性和有效性受到不同程度的影响;实现蠕虫程序1988RobertT.Morris蠕虫利用UNIX系统中In,theMorrisInternetwormexploitedbufferoverflowvulnerabilityinfingerdserverprogramonUNIXsystems.曾在2001年造成大约26亿美元损失的CodeRed蠕虫及其变体就是利用了MicrosoftIIS中的缓冲区溢出进行攻击2002年的Sapphire蠕虫和2004年的Witty蠕虫也都利用了缓冲区溢出进行攻击。In2004,theWittywormtakesadvantageofabufferoverflowflawinseveralInternetSecuritySystems™(ISS)products.2022/12/1缓冲溢出概述(续)3.缓冲区溢出的危害2022/12/1SourcefromCERT(ComputerEmergencyResponseTeam)CERTAdvisories,/advisories/缓冲区溢出相关的软件安全隐患数目占整个软件安全隐患数目的比例2022/12/1SourcefromCERT(Com2022/12/1缓冲溢出概述(续)4.造成缓冲区溢出的根本原因代码在操作缓冲区时,没有有效地对缓冲区边界进行检查,使得写入缓冲区的数据量超过缓冲区能够容纳的范围,从而导致溢出的数据改写了与该缓冲区相邻存储单元的内容。
CandC++arethemostcommonlanguagestocreatebufferoverflows.C语言中许多字符串处理函数如:Strcpy、Strcat、Gets、Sprintf等都没有对数组越界加以检测和限制。2022/12/1缓冲溢出概述(续)4.造成缓冲区溢出的根2022/12/1缓冲溢出概述(续)MicrosoftWindows,Linux/Unix,AppleMacintosh等主流操作系统无一例外存在缓冲区溢出问题。存在缓冲区溢出问题的应用程序也广泛存在,涉及数据库系统例如MicrosoftSQLServer2000,Oracle9i,网络服务(MicrosoftIIS),网络协议实现(例如OpenSSL),多媒体软件(AppleQuickTime)等等
2022/12/1缓冲溢出概述(续)MicrosoftWi2022/12/1缓冲溢出概述(续)缓冲区溢出可以成为攻击者实现攻击目标的手段,但是单纯地溢出缓冲区并不能达到攻击的目的。在绝大多数情况下,一旦程序中发生缓冲区溢出,系统会立即中止程序并报告“faultsegment”。例如缓冲区溢出,将使返回地址改写为一个非法的、不存在的地址,从而出现coredump错误,不能达到攻击目的。只有对缓冲区溢出“适当地”加以利用,攻击者才能通过其实现攻击目标。2022/12/1缓冲溢出概述(续)缓冲区溢出可以成为攻击者2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区溢出概述缓冲区溢出攻击的原理缓冲区溢出攻击的防御技术2022/12/1第7章计算机系统安全(缓冲区溢出)缓冲区2022/12/1缓冲溢出攻击的原理1.缓冲区溢出攻击模式AttackedSystem溢出缓冲区重定向到攻击程序任意地执行程序执行攻击程序Attacker注入恶意数据获得控制权找到可利用的缓冲区溢出隐患恶意数据可以通过命令行参数、环境变量、输入文件或者网络数据注入2022/12/1缓冲溢出攻击的原理1.缓冲区溢出攻击模式2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可能发生的位置预备知识点进程在内存中的布局2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可2022/12/1缓冲溢出攻击的原理(续)代码段/文本段用于放置程序的可执行代码(机器码)。数据段用于放置已初始化的全局变量和已初始化的局部静态变量。BSS(BlockStartedbySymbol)段用于放置未初始化的全局变量和未初始化的局部静态变量。堆用于动态分配内存。堆栈段用于存放函数的参数,返回地址,调用函数的栈基址以及局部非静态变量。进程的环境变量和参数
.text.data.bssheapunusedstackenvLowaddressHighaddressLinux/IntelIA-32architecture
2022/12/1缓冲溢出攻击的原理(续)代码段/文本段.t2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可能发生的位置(续)堆栈(stack)堆(heap)数据段(data)BSS段.text.data.bssheapunusedstackenvLowaddressHighaddressLinux/IntelIA-32architecture
2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可能发生的位置(续)堆栈(stack)堆(heap)数据段(data)BSS段.text.data.bssheapunusedstackenvLowaddressHighaddressLinux/IntelIA-32architecture
2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可2022/12/1被调函数堆栈布局堆栈采用后进先出(LIFO)的方式管理数据,这种方式是实现函数嵌套调用的关键。
PreviousstackframesFunctionargumentsReturnaddressPreviousframepointerLocalvariablesHighaddressLowaddress从右到左的顺序指令寄存器(EIP)基址寄存器(EBP)局部非静态变量2022/12/1被调函数堆栈布局堆栈采用后进先出(LIFO2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢出voidfunction(char*str){ charbuffer[4]; strcpy(buffer,str);}voidmain(intargc,char**argv){ charlarge_string[8]; inti; for(i=0;i<8;i++) large_buffer[i]=‘A’ function(large_string);}2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢2022/12/1Example(contd.)Large_string上一个栈帧地址
返回地址
argv内存低端内存高端argcESPmain函数栈帧voidmain(intargc,char**argv)i2022/12/1Example(contd.)Large2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢出voidfunction(char*str){ charbuffer[4]; strcpy(buffer,str);}voidmain(intargc,char**argv){ charlarge_string[8]; inti; for(i=0;i<8;i++) large_buffer[i]=‘A’ function(large_string);}2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢2022/12/1Example(contd.)Large_string上一个栈帧地址返回地址argv内存低端内存高端argcESPMain函数的栈帧i*str返回地址main函数的栈帧地址bufferfunction函数栈帧function函数被调用,调用strcpy之前voidfunction(char*str)…………2022/12/1Example(contd.)Large2022/12/1Example(contd.)Large_string上一个栈帧地址返回地址argv内存低端内存高端argcESPMain函数的栈帧i*str返回地址AAAAAAAAfunction函数栈帧function函数被调用,调用strcpy之后voidfunction(char*str)…………2022/12/1Example(contd.)Large2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢出的潜在危害改写返回地址改写调用函数栈的栈帧地址
被调函数……movl%ebp,%esppopl%ebpret调用函数……movl%ebp,%esppopl%ebpret2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢出的潜在危害(续)改写函数指针改写虚函数指针改写异常处理指针改写数据指针
voidBadCode(char*string){void(*p)()=...;charbuff[100];strcpy(buff,string);p();……}2022/12/1缓冲溢出攻击的原理(续)基于堆栈的缓冲区溢2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可能发生的位置(续)堆栈(stack)堆(heap)数据段(data)BSS段.text.data.bssheapunusedstackenvLowaddressHighaddressLinux/IntelIA-32architecture
2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可2022/12/1缓冲溢出攻击的原理(续)基于堆的缓冲区溢出Heapisacontiguousmemoryusedtodynamicallyallocatespacewherethesizewillbeknownonlyduringtheexecutionofthecode.
在Linux中,堆空间按照DougLea算法实现动态分配。在C程序中,标准库函数malloc()/free()用于从堆中动态申请/释放块;对于C++程序,相应函数为new/delete。2022/12/1缓冲溢出攻击的原理(续)基于堆的缓冲区溢出2022/12/1缓冲溢出攻击的原理(续)基于堆的缓冲区溢出(续)voidmain(intargc,char**argv){char*buf1=(char*)malloc(16);char*buf2=(char*)malloc(16);strcpy(buf1,”AAAAAAAAAAAAAAA”);strcpy(buf2,argv[1]);}0030035000300360003003700030034000300380buf[2]buf[1]buf[2]AAAAAAAAAAAAAAA\02022/12/1缓冲溢出攻击的原理(续)基于堆的缓冲区溢出2022/12/1buf[2]AAAAAAAAAAAAAAAA基于堆的缓冲区溢出正常输入Prompt:>BB..BBB(total15‘B’s)产生溢出的输入Prompt:>BB..BBB(total40‘B’s)(a)heaplayoutwithoutoverflow0030035000300360003003700030034000300380BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB\0AAAAAA\0(b)heaplayoutwithoverflowBBBBBBBBBBBBBBB\0AAAAAAAAAAAAAAA\02022/12/1buf[2]AAAAAAAAAAAAAAA2022/12/1基于堆的缓冲区溢出攻击举例1996年BSDIcrontab被发现存在基于堆的缓冲区溢出隐患,攻击者可以通过输入一个长文件名溢出在堆上的缓冲区,溢出数据改写的区域是保存有用户名、密码、uid,gid等信息的区域。2022/12/1基于堆的缓冲区溢出攻击举例1996年BSD2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可能发生的位置(续)堆栈(stack)堆(heap)数据段(data)BSS段.text.data.bssheapunusedstackenvLowaddressHighaddressLinux/IntelIA-32architecture
2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可2022/12/1缓冲溢出攻击的原理(续)基于数据段的缓冲区溢出voidOverflow_Data(char*input){staticcharbuf[4]=”CCCC”;inti;for(i=0;i<12;i++)buf[i]=‘A’;}2022/12/1缓冲溢出攻击的原理(续)基于数据段的缓冲区2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可能发生的位置(续)堆栈(stack)堆(heap)数据段(data)BSS段.text.data.bssheapunusedstackenvLowaddressHighaddressLinux/IntelIA-32architecture
2022/12/1缓冲溢出攻击的原理(续)2.缓冲区溢出可2022/12/1缓冲溢出攻击的原理(续)基于BSS段的缓冲区溢出voidOverflow_BSS(char*input){staticcharbuf[4];inti;for(i=0;i<12;i++)buf[i]=‘A’;}2022/12/1缓冲溢出攻击的原理(续)基于BSS段的缓冲2022/12/1缓冲溢出攻击的原理(续)3.常见的溢出缓冲区的途径利用C的标准函数库常见的有strcpy、strcat、sprintf、gets“Mudge”.HowtoWriteBufferOverflows.http:///advisories/bufero.html,1997.PaulA.HenryMCP+Ietal.BufferOverflowAttacks.CyberGuardCorp.C.Cowanetal.Bufferoverflows:Attacksanddefensesforthevulnerabilityofthedecade.ProceedingsoftheDARPAInformationSurvivabilityConferenceandExpo,1999.
2022/12/1缓冲溢出攻击的原理(续)3.常见的溢出缓2022/12/1缓冲溢出攻击的原理(续)利用数组下标的越界操作Off-by-one缓冲区溢出利用数组的最大下标与数组长度的差异产生。例如1998年10月BugTraq公布出Linuxlibc中的realpath函数存在single-byte缓冲区溢出隐患,攻击者可以利用它获得root权限。参见O.Kirch.Thepoisonednulbyte,posttothebugtraqmailinglist,October1998.2000年12月OpenBSD安全组公布ftpd存在类似安全隐患。参见OpenBSDdevelopers,single-bytebufferoverflowvulnerabilityinftpd,December2000.
voidBadCode(char*str){charbuffer[512];for(i=0;i<=512;i++)buffer[i]=str[i];}2022/12/1缓冲溢出攻击的原理(续)利用数组下标的越界2022/12/1缓冲溢出攻击的原理(续)利用有符号整数与无符号整数的转换
voidBadCode(char*input){shortlen;charbuf[64];len=strlen(input);if(len<MAX_BUF)strcpy(buf,input);}2022/12/1缓冲溢出攻击的原理(续)利用有符号整数与无2022/12/1缓冲溢出攻击的原理(续)4.恶意代码(注入)例如为实现:“exec(/bin/sh)”charshellcode[]=”\xeb\x1f\x5e\x89\x76\x08\x31\xc0””\x88\x46\x07\x89\x46\x0c\xb0\x0b””\x89\xf3\x8d\x4e\x08\x8d\x56\x0c””\xcd\x80\x31\xdb\x89\xd8\x40\xcd””\x80\xe8\xdc\xff\xff\xff/bin/sh”;charlarge_string[128];voidmain(){charbuffer[96];inti;long*long_ptr;long_ptr=(long*)large_string;for(i=0;i<32;i++)*(long_ptr+i)=(int)buffer;for(i=0;i<strlen(shellcode);i++)large_string[i]=shellcode[i];strcpy(buffer,large_string);}2022/12/1缓冲溢出攻击的原理(续)4.恶意代码(注2022/12/1Thesecretoftheshellcodecharshellcode[]=/*main:*/"\xeb\x1f"/*jmp$0x1forjmpcallz *//*start:*/"\x5e"/*popl%esi */"\x89\x76\x08"/*movl%esi,$0x08(%esi)
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年技术开发外包合同
- 协议买房合同范本
- 《微细加工技术》课件
- 17难忘的泼水节公开课一等奖创新教学设计
- 1《故都的秋》 公开课一等奖创新教学设计统编版高中语文必修上册
- 活动策划简历新人培训
- 年产xx燃料油添加剂项目建议书
- 中小学校岗位安全工作
- 年产xx动物胶项目建议书
- 年产xx光固化机项目建议书
- GB/T 44713-2024节地生态安葬服务指南
- 一年级家长会课件2024-2025学年
- 2024年教资考试时政高频考点141条
- 《扣件式钢管脚手架安全技术规范》JGJ130-2023
- 组拼式全钢大模板施工工法(附示意图)
- 基于人才战略的企业年金在民办高校中的应用研究
- 消防维保年度总结范文(2篇)精选范文
- 天津科技大学 大学物理(下)本科试卷(A卷)(含答案)
- 消防应急组织架构图
- 锅炉安装工程—质量证明书(散装)
- 铁矿矿山环境保护与综合治理方案
评论
0/150
提交评论