本文是coursera软件安全课程学习总结,算是梳理知识,细节太多,只写了要点。
0. 内存模型
0.1 内存分配
使用malloc函数分配的内存在heap区域,stack从高地址向低地址生长,heap相反。
0.2 函数调用时的堆栈变化
每当使用call指令进行函数调用时,都会将原来的eip寄存器中的值压栈,然后,将新的函数指针写入eip寄存器,这是由机器自动执行的,保存原eip的同时,将新的执行地址写入eip.详细过程可以关注我的博客中一篇详细描述堆栈变化的博文click here。
这里我们知道,一旦函数调用完毕,返回地址如果被修改(比如被修改成为恶意程序的入口地址),那么后果不堪设想。使用缓冲区溢出可以实现攻击 ,我们会在例子中给出解释。
接下来我们使用一个例子来形象的表示出函数调用时堆栈的变化
{
local1;
local2;
...
}
{
...
f(,,);
...
}
1. 代码注入
如何进行代码注入?首先,我们需要把代码放入内存。其次,需要让eip指向我们的代码起始位置,才能执行它。
1.1 将代码加载到内存
(1)代码必须是已编译的可执行机器码
(2)代码不能包括零,否则,零之后I/O函数将停止拷贝
(3)不能使用loder
我们的目标是执行一个我们可以操纵的shell,加载shell的代码被称为shellcode。
main( ) {
*name[];
name[] = “/bin/sh”;
name[] = ;
execve(name[], name, );
}1.2 让已经加载的代码运行起来
由于在函数调用的末尾,需要将原eip值取出加载到eip寄存器,那么,如果我们修改了原eip的值,使其变为我们shellcode代码执行地址,那么函数返回后就执行shellcode。
可是,怎么知道我们的shellcode指令开始地址呢?因为如果地址不正确,CPU就故障了。
如果我们没有权限获取代码,我们当让不知道缓冲区距离ebp有多远,那么,我们怎么办呢?
(1)尝试!不停尝试(这个看运气,而且几率不高)
(2)如果没有地址随机优化,那么每次堆栈都从一个固定的地址开始执行,而且堆栈一般不会很深,那么,可以知道esp大体在某个区间。可以使用 nop sleds 提高我们的命中几率。
nop sleds:
以上我们讨论的就是所谓的stack smashing。
2. 其他内存攻击
2.1 堆溢出
把缓冲区溢出的原理用在堆上,就是所谓的堆溢出。
2.2 整数溢出
2.3 读溢出
读取了不该读取的内存
the Heartbleed bug 通过发送特定的消息,拥有bug的ssl服务器没有检查长度就将攻击者指定的返回字符串返回攻击者。因此,攻击者可以通过增大字符串长度,非法读取其他数据。
2.4 被释放的指针再次使用
3.格式化字符串攻击
3.1 正常情况下的printf函数
3.2 不安全时
读取了调用者的数据!
举例:
(“% dave”); Prints stack entry byes above saved (“”); Prints bytes pointed to by that stack entry (“ …”); Prints a series of stack entries as integers (“ …”); Same, but nicely formatted (“% way!”)" //WRITES the number 3 to address pointed to by stack entry
3.3 例子解释
greeting[] = ;
prompt[] = ;
pat[] = ;
secret[] = ;
infd = ;
outfd = ;
_WisdomList {
_WisdomList *next;
data[DATA_SIZE];
} WisdomList;
_WisdomList *head = NULL;
;
{
write(outfd, secret, (secret));
;
}
{
write(outfd, pat, (pat));
;
}
{
buf[] = ;
(head == NULL) {
write(outfd, buf, (buf)-());
} {
WisdomList *l = head;
(l != NULL) {
write(outfd, l->data, (l->data));
write(outfd, , );
l = l->next;
}
}
;
}
{
wis[DATA_SIZE] = {};
r;
r = write(outfd, prompt, (prompt)-());
(r < ) {
;
}
r = ()gets(wis);
(r == )
;
WisdomList *l = ((WisdomList));
(l != NULL) {
(l, , (WisdomList));
(l->data, wis);
(head == NULL) {
head = l;
} {
WisdomList *v = head;
(v->next != NULL) {
v = v->next;
}
v->next = l;
}
}
;
}
fptr ptrs[] = { NULL, get_wisdom, put_wisdom };
{
() {
buf[] = {};
r;
fptr p = pat_on_back;
r = write(outfd, greeting, (greeting)-());
(r < ) {
;
}
r = read(infd, buf, (buf)-());
(r > ) {
buf[r] = ;
s = atoi(buf);
fptr tmp = ptrs[s];
tmp();
} {
;
}
}
;
}本实验所有材料来自coursera软件安全课程。
这个例子包含两个缓冲区溢出攻击。主函数中包含一个全局缓冲区攻击,函数put_wisdom中的wis缓冲区是一个栈上的缓冲区溢出。
执行过程:
(1)编译程序,gcc -fno-stack-protector -ggdb -m32 wisdom-alt.c -o wisdom-alt
(2)使用bash打开一个终端,运行./runbin.sh
(3)打开另一个终端,使用命令 gdb -p `pgrep wisdom-alt`调试
(1)ptrs输入超过2的索引出现错误
回想之前的缓冲区溢出,如果我们输入的索引值恰好能到达fptr p = pat_on_back;中p的存储区域,那么就能读取到pat_on_back,进而执行该函数!
首先,确定p的地址:在启动运行gdb中print &p和print buf:
通过计算,知道p在buf之前771675416个内存位置处,我们输入该数字:
发现我们获取到了到了pat_on_back函数指针!
(2)void put_wisdom(void)函数中的栈上缓冲区溢出
同样的原理,我们通过找到函数void put_wisdom(void) 被调用时缓冲区wis的地址和返回地址在内存中的差,用同样的方法,将我们函数指针write_secret的地址写入保存返回地址的内存区域,那么函数put_wisdom调用结束后,就会执行write_secret函数。
