这是一定要的啦-逢甲大学课件

BufferOverflow原理簡介參考資料:SmashingTheStackForFunAndProfit(ByAlephOne)逢甲大學資工所平行實驗室鍾宜勳BufferOverflow原理簡介參考資料:逢甲大學資1Stack的運作方式(1/9)Stack的運作方式(1/9)2Stack的運作方式(2/9)Stack的運作方式(2/9)3Stack的運作方式(3/9)Stack的運作方式(3/9)4Stack的運作方式(4/9)Stack的運作方式(4/9)5Stack的運作方式(5/9)Stack的運作方式(5/9)6Stack的運作方式(6/9)Stack的運作方式(6/9)7Stack的運作方式(7/9)Stack的運作方式(7/9)8Stack的運作方式(8/9)Stack的運作方式(8/9)9Stack的運作方式(9/9)Stack的運作方式(9/9)10Stack向下成長,Array向上遞增.Stack的成長方向,與Array的成長方向剛好相反.Stack向下成長,Array向上遞增.Stack的成長方向11Array被寫入超過其容量的資料

(BufferOverflow)造成ReturnAddress和SFP被覆寫Array被寫入超過其容量的資料

(BufferOverf12BufferOverflow

造成ReturnAddress不正確可能造成程式Return到隨機的Address去BufferOverflow

造成ReturnAddre13Idea1.利用ReturnAddress

利用BufferOverflow可以更改ReturnAddress的特性,透過巧妙的安排,我們可以執行我們想執行的任何程式區段.甚至我們把code放在Stack中,code也可以順利執行.Idea1.利用ReturnAddress

利用Buf14Idea2.取得Root權限的Shell

那個被我們Overflow的執行檔,如果它的suid是root的話,那麼我們可以在overflow時,產生一個shell出來,而得到一個有root權限的shell.然後我們就可以為所欲為了.Idea2.取得Root權限的Shell

那個被我們Ov15Idea3.由命令列參數引發

BufferOverflow在前面的二個Idea中,我們知道Stack裡也可以執行code,而且這樣的作法有機會可以取得“具有Root權限的Shell”來為所欲為,不過有幾個問題要解決:Stack中要執行的code要從哪來?ReturnAddress要怎麼去更改?要怎麼去bufferoverflow別人的程式?這個答案就是透過命令列參數輸入code以及所想要return的新位址.sh-2.04$./vulnerable$CODEIdea3.由命令列參數引發

B16初步的作法把要輸入Stack的code及returnaddress放到環境變數中,這樣進行bufferoverflow的輸入會方便許多.缺點:我們所需的returnaddress很難求得,必需靠許多次的嘗試才能得到結果.初步的作法把要輸入Stack的code及returnadd17ShellCode欲輸入Stack的code,我們稱之為Shellcode.其結構如下:ShellCode欲輸入Stack的code,我們稱之為S18ShellCode的運作過程(1/6)ShellCode的運作過程(1/6)19ShellCode的運作過程(2/6)ShellCode的運作過程(2/6)20ShellCode的運作過程(3/6)ShellCode的運作過程(3/6)21ShellCode的運作過程(4/6)ShellCode的運作過程(4/6)22ShellCode的運作過程(5/6)ShellCode的運作過程(5/6)23ShellCode的運作過程(6/6)ShellCode的運作過程(6/6)24初步作法

技術細節(1/3)ShellCode的內容必需避免有00H的值.因為有的程式可能會用strcpy()等函式,將命令列參數予以複製並進行處理.這時,ShellCode如果有00H的值,將會被誤以為是字串結尾‘\0’,而使得ShellCode被複製的不完全,而喪失完整性,進而導致Code無法運作.我們也就沒辦法得到Shell了.透過暫存器與自己做xor運算,產生我們所需要的0,並且避免使用highword是0的立即值,使code中能夠不再有00H出現.例:movb$0x0,0x7(%esi)代換成xorl%eax,%eax

初步作法

技術細節(1/3)ShellCode的內容必需避25透過使用環境變數,簡化輸入ShellCode的動作.初步作法

技術細節(2/3)sh-2.04$./vulnerable$CODEshellcode[]= "\xeb\x2a\x5e\x89\x76\x08\xc6\x46\x07\x00\xc7\x46\x0c\x00\x00\x00" "\x00\xb8\x0b\x00\x00\x00\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80" "\xb8\x01\x00\x00\x00\xbb\x00\x00\x00\x00\xcd\x80\xe8\xd1\xff\xff" "\xff\x2f\x62\x69\x6e\x2f\x73\x68\x00\x89\xec\x5d\xc3";輸入容易輸入不便透過使用環境變數,簡化輸入ShellCode的動作.初步作26要BufferOverflow別人的程式,常常會算不準要Return的Address,我們可以在ShellCode前面增加一段nop指令來增加我們的成功機會.初步作法

技術細節(3/3)要BufferOverflow別人的程式,常常會算不準要R27Array太小

無法成功Overflow不時會遇到左圖的情形,導致無法順利地跳到我們的ShellCode執行.所以必需予以改善.Array太小

無法成功Overflow不時會遇到左圖的情形28為了改善Array太小,無法動作的窘況.將ShellCode也移到環境變數中.Stack中只充填新的ReturnAddress.進階作法

技術細節為了改善Array太小,無法動作的窘況.將ShellCod29結論透過BufferOverflow的方式,我們可以不需要擁有root的password,就可以由一般使用者變成superuser,進而掌控整個系統.C語言並沒有bo